Intento masivo de estafa a clientes de banco internacional

La modalidad de estafa es mediante el envío de un mail donde se solicita a los clientes del banco, que a través de un link (dirección) realizaran la confirmación de una serie de datos.

Días pasados los clientes de Crédit Uruguay recibieron un mail con el siguiente texto:

«Estimado cliente, según nuestros registros informáticos, hemos detectado recientemente que los accesos a su cuenta a través de e-banca han sido realizados desde diferentes direcciones IP. Esto seguramente se debe a que la dirección IP de su computador es dinámica y varía constantemente, o debido a que usted ha utilizado más de un computador para acceder a su cuenta.

Debido a este suceso y en cumplimiento con la nueva normativa vigente del Banco Central del Uruguay, hemos actualizado nuestros sistemas informáticos para brindar una mayor seguridad a nuestros clientes, por lo cual necesitaremos que ingrese en su cuenta y efectúe una verificación de su actividad reciente. Los procedimientos de seguridad requieren que usted verifique la actividad en su cuenta antes del 29 de abril de 2005. Transcurrida esa fecha, el sistema informático automatizado de Crédit Uruguay Banco suspenderá su cuenta indefinidamente. Desde ya le agradecemos su cooperación en este aspecto.

Para ingresar a su cuenta a través de e-banca y verificar la actividad de la misma, puede utilizar el siguiente enlace:

//www.credituruguay.com.uy/ebanca/cliente/login.verificar.actividad

Apreciamos su ayuda y comprensión, pues trabajamos juntos para que Crédit Uruguay Banco sea cada día un lugar más seguro para hacer negocios.

Departamento de Seguridad

Crédit Uruguay Banco».

El enlace en realidad no pertenecía a Crédit Uruguay sino que se desviaba a un servidor ubicado en Rusia, desde donde se ha detectado provienen muchos de estos intentos de fraude.

Crédit Uruguay, alertado de la situación, envió a sus clientes un mail donde en el lugar que se colocaba el logo de la institución se advertía «Esto es un intento de fraude No es un mail de Crédit Uruguay Banco».

LA REPUBLICA confirmó con integrantes de la institución que la operación de intento de fraude se había realizado, y por esa razón se envió el mail de alerta.

Por lo menos los clientes de otros dos bancos internacionales que operan en plaza fueron también víctimas semanas pasadas de estos intentos de fraude.

Los links dirigen a las personas a sitios que son similares a los orignales de los bancos, y donde por ejemplo, se les solicita que coloquen sus claves de acceso, como así también los números de tarjetas de crédito y los «pin» de estas.

 

El «Phishing»

Esta modalidad de estafa está extendida en todo el mundo y se conoce como «Phishing». El comienzo de toda la operación es a través de un mail donde se indica que la cuenta del cliente está por ser deshabilitada.

De ahí se da una dirección para reconfirmar datos como ser las claves de acceso.

Debido a que los «piratas informáticos» no tiene acceso a los sitios web de los bancos, por los altos niveles de seguridad que estos presentan, es que se intenta obtener los datos de los clientes a través de estos mismos.

Mediante el «Phishing», más allá de querer obtener números de tarjetas de crédito, en realidad desean saber los datos «usuario» y contraseña» de la persona, para así acceder a su cuenta bancaria, ver sus movimientos y a la vez intentar realizar transferencias entre cuentas.

 

Un 5% contesta

Sectores de las finanzas a nivel mundial han creado una organización anti-phishing, la cual como primer conclusión indica que los delincuentes consiguen que un 5% de quienes reciben el falso mail, responda al link y deje sus datos.

Brightmail, una compañía norteamericana dedicada a controlar el denominado correo basura (o «spam») compañía con sede en San Francisco dedicada a filtrar millones de correos basura, señala que por mes por lo menos se envían unos 3.000 millones de mensajes no deseados. Entre estos mensajes están los Phishing, que el año pasado provocaron pérdidas por U$S 1.200 millones a bancos y tarjetas de crédito, habiendo afectado a 57 millones de clientes de instituciones financieras.

Por ejemplo en Gran Bretaña los bancos fueron estafados en 2004 por unos U$S 113 millones. Aberdeen Group, dedicado al control financiero, estimó que solamente en el año 2003 se llegaron a estafar mediante este sistema U$S 74 mil millones en Estados Unidos.

Si bien la actividad de los estafadores mediante el phishing se centraba hasta 2004 en los países desarrollados, como ser EEUU, Australia, Gran Bretaña, España, Francia y otros del primer mundo, se comenzó a observar que en 2005 ya la actividad se desplazaba hacia Brasil, Argentina, Chile y ahora Uruguay.

La técnica siempre es la misma: los potenciales estafados son clientes de bancos internacionales.

En cuanto a cómo los estafadores llegan a conocer la dirección de mail de los clientes de los bancos hay dos teorías.

La primera es la del envío masivo. O sea se envían a millones de direcciones de mail, el correo con el cual se pretende realizar la estafa.

Se estima que por lo menos uno, en medio millón, debe ser cliente de ese banco.

La segunda, es que los estafadores están teniendo acceso a las direcciones de mail de los bancos que pretenden estafar, y la obtuvieron porque les fue facilitada desde adentro de la institución, lo cual abre una ventana aún más peligrosa en este tema. *