El fraude inicia con un mensaje de texto que se conoce como smishing, que si el cliente responde da paso al vishing, en el que los ciberdelincuentes llaman al cliente con el fin de obtener los datos confidenciales de su cuenta bancaria.
Ciudad de México, 5 de septiembre (SinEmbargo).- “Espero se encuentre muy bien el día de hoy, el motivo de mi llamada es únicamente para verificar con usted si realizó el movimiento por la cantidad de…”, así inicia una conversación con un presunto ejecutivo bancario que está apunto de realizar un fraude a un cuentahabiente.
El youtuber conocido como Yo soy H2 mostró la forma en que ciberdelincuentes obtienen información de clientes de diversos bancos, con la que podrán tener acceso a los recursos de éstos.
El fraude inicia con un mensaje de texto que se conoce como smishing, en el que cliente recibe un texto por un presunto cargo a su cuenta. Si la víctima responde el mensaje con un NO APRUEBO, los estafadores continúan con el siguiente paso: el vishing.
En esta etapa, los ciberdelincuentes, específicamente una mujer, realizan una llamada al cliente, en la que le hacen saber el monto y hora en la que presuntamente alguien intentó hacer una compra en línea, todo con la intención de que la víctima les proporcione los datos confidenciales de su cuenta bancaria.
“Espero se encuentre muy bien el día de hoy, el motivo de mi llamada es únicamente para verificar con usted si realizó el movimiento por la cantidad de 895 pesos con 20 centavos en Mercado Libre vía internet. El día de ayer a las 11:17 de la noche con cargo a su tarjeta de débito. El cargo no ha procesado ya que intentaron hacer varios intentos de compra. ¿usted sí lo realizó?”.
Como el cliente no reconoce el supuesto cargo y rechaza que alguien más, familiar o amigo, hagan uso de su tarjeta de débito, la presunta ejecutiva bancaria continúa los cuestionamientos sobre si el cliente recibe los acuses de sus movimientos en linea.
Enseguida la mujer le hace saber que el banco ha tenido “problemas relacionados con saldos no reconocidos” y le reitera al cliente que alguien intentó hacer uso de su cuenta. “Muy bien, le explicó que en estos últimos meses hemos tenido problemas relacionados con saldos no reconocidos por nuestros clientes”
“Es por eso que nos comunicamos con usted para verificar si realizó este movimiento, ya que si no lo realizó vamos a tener que declinarlo en este momento”, añade la supuesta ejecutiva bancaria en su discurso para hacer caer al cuentahabiente.
“Como le comente caballero, no le quitaron lo que (ineludible) en su tarjeta de débito, la cual sólo intentaron lo que es la clonación de su tarjeta, la cual sólo intentaron hacer compras por Mércado Libre de 895 pesos con 20 centavos en la sección de autopartes, pero usted me esta comentado que no lo realizó”.
Como la víctima sigue rechazando los movimientos de su cuenta, la estafadora le asegura que “declinaran” la compra, por lo que le solicita al cliente que tenga a la mano su tarjeta y un papel para apuntar. Además, le hace saber el número de folio de la supuesta operación que está realizando.
“Es correcto. Por favor, le pido que tenga su plástico cerca y donde apuntar, le voy a indicar el que es su número de folio, 5421452”, le dice la defraudadora al cuentahabiente durante su llamada telefónica.
La mujer le proporciona al cliente datos obvios que tiene casi cualquier tarjeta de débito, como que está respaldada por VISA, e incluso, al conocer que el cliente tiene una cuenta en un banco específico, proporciona los primeros seis dígitos del número de tarjeta, lo que genera confianza en el cuentahabiente.
Cabe señalar que los primeros seis dígitos de una tarjeta de banco, a lo que se le conoce como identificación bancaria, con lo que se identifica el tipo de plástico, de débito o de crédito y la institución bancaria a la que pertenece.
La estafadora transferirá al cliente con otro presunto ejecutivo del banco, a quien la víctima le dirá el motivo de la llamada, un saldo no reconocido. Durante el traspaso de llamada, los ciberdelincuentes enlazan la llamada a una grabación con opciones para que la víctima seleccione y crea que está en una llamada con el banco original.
En la siguiente llamada, otra mujer responde la llamada y pide el folio que la primer mujer proporcionó. Enseguida le insiste en que intentaron hacer una compra con la tarjeta del cliente, y asegura que por eso se “encienden las alarmas”.
La segunda defraudadora también asegura que si el banco no informa del intento de compra mediante una alerta es porque el cargo aún “no está procesado”, es decir “cuando una persona intenta hacer una compra varias veces, nosotros nos comunicamos con usted”, para verificar el movimiento asegura la ejecutiva falsa.
La mujer repite los primeros seis dígitos de la tarjeta, por lo que pide el resto de los dígitos restantes, 16 en total. Enseguida le asegura que configuraran su “barra de seguridad” y tendrán que “dar de baja su NIP”, lo que el cliente tendrá que realizar en un “buzón personal”.
En el supuesto “buzón personal” el cliente deberá decir su nombre, la frase “No autorizo el cargo” y dar el número de NIP, así como el código verificador, los tres números que se encuentran en la parte trasera de la tarjeta, todo en 17 segundos, y en al que la mujer defraudadora asegura “no tienen acceso a la información”.
Es así como los ciberdelincuentes logran obtener la información confidencial de las cuentas de clientes bancarios. Además, no utilizan el presunto cargo no reconocido, también ponen excusas como actualización de datos, depósitos retenidos, un bloqueo de tarjeta, entre otros, por lo que exhorta a los clientes a estar alertas.