Cabecera-v2-web.jpg

Cómo funcionan las estafas a usuarios de billeteras electrónicas mediante ingeniería social


Recientemente se han reportado nuevos casos de estafa, que afectan a usuarios de billeteras electrónicas, en donde los delincuentes mediante engaños se hacen pasar por funcionarios de las compañías que ofrecen este tipo de servicios, con supuestas promociones y regalos para conseguir que la víctima caiga en el engaño y le revele los códigos de acceso a la misma, con lo que el criminal logra acceder a la billetera, realizar transferencias, etc...


¿Cómo funciona este ataque?

El delincuente contacta a la víctima

Se presenta generalmente como funcionario de la compañía que ofrece este tipo de servicios o alguien de confianza, como para generar confianza en la víctima, valiéndose de diversos métodos de ingeniería social. Por ejemplo, indica los datos personales de las víctimas como: nombre, cédula, fecha de nacimiento, hasta información del plan contratado, información crediticia, etc.


Previamente, el delincuente ya había obtenido datos personales de las víctimas.

Los delincuentes consiguen estos datos de diversas fuentes, por ejemplo algunos datos son información pública, otras veces se extraen de redes sociales, o simplemente un tanteo de información obvia, o con alta probabilidad de ser acertadas; podría ser también datos registrados en casas comerciales en las que las víctimas se han registrado en el pasado y que no han sido tratadas con el debido cuidado, es decir que han sido cedidas por una mala práctica de la misma o robada con o sin complicidad de la misma, o incluso tal vez de la propia compañía de los servicios de billetera, etc


El delincuente instala la aplicación de billetera electrónica y la vincula al número de la víctima.

Para ello, el delincuente previo al llamado a su víctima prepara el escenario, descarga la aplicación de billetera electrónica de una de las compañías locales que ofrecen este servicio, desde las fuentes oficiales de descargas de aplicaciones, por ejemplo Google Play o App Store en teléfonos móviles.

Una vez descargada la aplicación, lo primero que ésta pide, es el número de teléfono a la que se va a asociar. Ahí es donde el delincuente ingresa el número de teléfono de la víctima. La aplicación realiza una comprobación del número ingresado, enviando un mensaje texto SMS al número introducido, es decir el número de la víctima.

Así, la víctima recibe un código de seguridad en ese mensaje de texto SMS enviado por la propia compañía que ofrece el servicio de billetera electrónica (porque fue la aplicación, a través de sus propios sistemas, la que envió el mensaje).



A través de técnicas de ingeniería social el criminal consigue que la víctima le revele el código

La aplicación no puede funcionar sin el código de seguridad, el delincuente lo necesita, por lo que contacta a la víctima para que, mediante engaños, éste revele el código de seguridad.

El delincuente logra ganarse la confianza de la víctima y finalmente lo convence que revele el código, a pesar de que en el SMS dice claramente que NO LE REVELES A NADIE, porque quien tenga ese código, luego puede acceder a tu billetera electrónica.

Muchas billeteras electrónicas incluso tienen dos códigos de seguridad, uno es el código aleatorio que genera la aplicación, y otro es una contraseña. Si, mediante engaños, la víctima revela también esa contraseña (o si esa contraseña es fácil de adivinar), el delincuente ya tiene acceso total a la billetera electrónica.

¿Como fueron las técnicas de ingeniería social reportadas?

En los casos reportados públicamente, las víctimas han comentado su experiencia, en donde el delincuente logró ganarse la confianza de sus víctimas con los pasos indicados más arriba, y luego dijeron que debido a la ”antigüedad” de los clientes víctimas le ofrecen 2 regalos:

El primer “regalo” consistía en una supuesta exoneración de pago de las cuotas del plan contratado con la compañía, solicitando que revele un código de seguridad alfanumérico enviado, que supuestamente serviría para recibir la exoneración a fin de mes, relevando este código los delincuentes tuvieron el acceso a la billetera electrónica descargada.

Este segundo regalo consistía en una supuesta duplicación del dinero cargado en la billetera de la víctima, con la condición de que la víctima debía mantener el contacto con los delincuentes via llamada telefonica, para que quede registrado cómo trata el supuesto funcionario de la compañía trata al cliente víctima durante la carga de la billetera, con el fin de conocer la “calidad del servicio”.

De esta manera la víctima cae en el engaño, y una vez que realiza la carga a su billetera electrónica, los delincuentes al ya tener el acceso a la billetera por la clave revelada en el “primer regalo”, solicitan el cambio de clave desde la aplicación de la billetera electrónica, para seguidamente solicitar a la víctima que introduzca el codigo de confirmacion. Finalmente vuelven a enviar otro código con el fin de “duplicar la billetera”, esto lo que en realidad hace es cambiar la clave de la víctima y obtener acceso a la billetera para realizar la transferencia de dinero al numero personal del delincuente.


Esta es solo una de las técnicas, dependiendo de la creatividad del delincuente podrían usar relatos creíbles para ganarse la confianza y lograr que las víctimas caigan en el engaño.

¿ Esta técnica de ingeniería social funciona solo con aplicaciones de billeteras electrónicas?

No, no es exclusiva de billeteras electrónicas, puede aplicarse también a otras plataformas y aplicaciones como whatsapp, redes sociales, cuentas bancarias, etc, ya que la mayoría de las aplicaciones que validan el número telefónico mediante un mensaje de texto SMS, envían un código de seguridad desde la propia aplicación o sistema, y si la victima revela el código de seguridad, está permitiendo que el criminal "demuestre" a la aplicación que él es el dueño del número de teléfono. Por eso, aunque recibas un código que sea de la aplicación misma, no le reveles a nadie!

Recomendaciones:

  • Nunca revelar datos como el código de confirmación o datos de la billetera electrónica o cualquier otra aplicación enviados a través de SMS, ningún empleado o colaborador de una compañía está autorizado a solicitarlo ya sea por vía telefónica o cualquier otro medio.
  • No utilizar como clave, datos personales como fecha, año, mes de nacimiento u otros datos los cuales un delincuente podría tener acceso.
  • No realizar cargas de dinero o compartir la clave de seguridad, a cambio de supuestas promociones de equipos, exoneraciones o duplicación del saldo.
  • Tener cuidado con la ingeniería social, recordar qué datos personales como fecha de nacimiento, cédula o el nombre completo son datos fáciles de conseguir mediante las redes sociales (y que, por ley, son datos públicos), por ello no se tratan de datos confidenciales Minimizar la información que revelamos en redes sociales, casas comerciales, etc.
  • En caso de ser víctima de esta estafa, contacte al call center de la empresa lo antes posible, con el fin de solicitar el bloqueo del numero de telefono del delincuente antes de la extracción del dinero robado.
  • Los desarrolladores de aplicaciones móviles y las compañías telefónicas pueden incorporar en las aplicaciones la funcionalidad de auto-lectura de los mensajes de verificación, de manera a reducir la efectividad de los ataques de ingeniería social, deshabilitando la introducción manual del código o limitándola a tiempos cortos, de manera a dificultar el ataque. En Android, una posibilidad es el uso de SMS Retriever API o SMS User Consent API


Más información:

https://ayuda.tigo.com.py/hc/es/articles/360009905...

https://www.claro.com.py/personas/servicios/servic...

https://blog.personal.com.py/7-recomendaciones-par...

https://developers.google.com/identity/sms-retriever


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11