Nuevas tácticas en el robo de información bancaria

Es bastante habitual oir hablar de phishing: mensajes de correo electrónico maliciosos que tratan de robar información de claves o datos bancarios a los usuarios. 

Sin embargo, en esta ocasión nos encontramos con una nueva forma de estafa que podría sorprender a más de un usuario.

Según afirman desde RSA Security, un Banco de Estados Unidos ha sufrido un nuevo tipo de estafa en el robo de la información.  La técnica utilizado consiste en enviar mensajes de correo que redirigen a una página web con aspecto similar a la del banco.  Hasta aquí la técnica no tiene nada de novedoso.  La diferencia estriba en que, una vez en la página falsa, el usuario se encontraba con una ventana de chat en la que era atendido por un supuesto trabajador del banco.  A través de ese programa de chat, el estafador dice ser del departamento contra el fraude de la entidad bancaria y afirma que el banco está solicitando a sus clientes que validen sus cuentas, solicitándole información adicional como nombre, número de teléfono y direcciones de correo electrónico. Esa información podría ser usada para obtener acceso a las cuentas.

Según Sean Brady, director del grupo de verificación y protección de identidades de RSA Security, en el ataque detectado, los phishers utilizaban el software de chat open source Jabber. El banco cuya Web simulaba el sitio fraudulento era una entidad estadounidense, aunque Brady ha declinado dar su nombre. Sin embargo, sí ha expresado su opinión sobre la probabilidad de que esta nueva estrategia de phishing empiece a extenderse.  Por ahora sólo han sido testigos de un ataque y no se han encontrado evidencias de que los datos robados hayan sido utilizados para acceder a la cuenta comprometida en tiempo real.

La principal novedad de este tipo de phihsing es que el usuario está intereactuando directamente con el estafador a través del programa de chat, lo que permite personalizar mucho más el timo y aunmentar las posibilidades de éxito del robo.

Desde aquí os recomendamos extremar siempre la precaución.  Y en las páginas en las que se maneja información confidencial, desconfiad siempre de cualquier cambio, por pequeño que sea, que no haya sido anunciado con anterioridad por la entidad.