HomenewsCoociqueLos 5 pasos de una estafa por internet
  • 25 mayo, 2020
  • Posted by: Álvaro Lainer
  • Categoría: Coocique
No hay comentarios

Tan solo en los primeros 5 meses del 2020, en medio de la crisis provocada por el COVID-19, se han presentado en Costa Rica más de 180 estafas financieras reportadas al OIJ, con un perjuicio total que supera los ₡500 millones de colones. Desafortunadamente la tendencia indica que estos números no van a dejar de crecer, así que si usted quiere evitar ser estafado, le invitamos a prestar atención a los pasos que siguen los ciberdelincuentes para realizar una estafa por internet:

Pasos para las estafas que involucran llamadas telefónicas

Este tipo de estafas son conocidas como Vishing, y consisten en engañar a la víctima mediante la mentira y la suplantación de identidad telefónica, para lograr sustraer sus datos de acceso a las cuentas bancarias.

A continuación, se enumeran los 5 pasos más frecuentes en las que los cibercriminales atacan a los ciudadanos costarricenses para robar su dinero por internet, sin embargo, hay que tener en cuenta que continuamente los atacantes modifican sus estafas o inventan nuevas formas de atraco con el objetivo de confundir a las víctimas.

Paso 1 – Presentación

 

El estafador llama a la víctima y se presenta haciéndose pasar por un trabajador de una empresa o institución de confianza, ofreciendo ayudas económicas, devoluciones de dinero, descuentos, premios o haciendo una oferta de compra para los productos o servicios que ofrece la posible víctima, con el objetivo de captar el interés de la persona y causar empatía.

Algunos ejemplos de presentaciones falsas detectadas son:

  • Un funcionario del Ministerio de Hacienda con el objetivo de devolverle dinero por supuestos cobros excesivos que ha realizado la institución durante años.
  • Un funcionario del IMAS para ayudarle a gestionar el Bono Proteger.
  • Un trabajador de una entidad bancaria para actualizar el formato de los números de cuenta.
  • Un trabajador de una entidad bancaria para gestionar el Fondo de Capitalización Laboral
  • Un funcionario de la Dirección General de Tributación Directa, para realizarle un 50% de descuento en el pago los servicios públicos, por supuesta orden presidencial.
  • Un trabajador de alguna cadena de supermercados para ofrecer cupones de descuento.
  • Un funcionario del estado o un empleado bancario para una gestión que requiere firma digital, así que le va a ayudar a gestionarla.
 

Paso 2 – Generación de confianza

 

El estafador le indica a la víctima que su empresa o institución nunca le va a pedir su contraseña por teléfono entre otras medidas de seguridad reales, con el objetivo de generar confianza y que sienta que se trata de una llamada legítima. Así que el cibercriminal le indica a la víctima que ingrese a un sitio web para que pueda realizar por sí mismo la gestión.

El sitio web que indique el estafador será un sitio web fraudulento, a pesar de que se vea muy real y cuente con los logotipos de empresas reconocidas. Se trata de un sitio que crean y administran los cibercriminales donde pueden conocer toda la información que usted escriba en él, incluyendo claves bancarias.

Paso 3 – Materializar la estafa

 

En este paso el cibercriminal indica a la víctima que ingrese varios datos en el sitio fraudulento, entre ellos datos que hacen referencia a su cuenta bancaria y la contraseña que se requiere para tener acceso en línea.

Es aquí donde la estafa se materializa, pues una vez escrita la contraseña bancaria en el sitio fraudulento los cibercriminales ya tienen acceso a su cuenta.

Paso 4 – La espera

 

Una vez que los atacantes consiguen acceso a su cuenta bancaria, le mantendrán al teléfono con diferentes excusas, como por ejemplo ayudarle a llenar un formulario o esperar mientras se procesa la solicitud. Cualquier excusa que alargue el tiempo de la llamada es buena, puesto que el objetivo de esta espera, es dar tiempo a los atacantes para ingresar a su cuenta y robar todo el dinero que les sea posible.

Paso 5 – El doble juego

 

En principio este paso no siempre es utilizado, puesto que a esta altura el robo ya suele haber sido consumado, sin embargo, en ocasiones la posible víctima se da cuenta del engaño antes de proporcionar su información confidencial en el sitio fraudulento y termina la llamada rápidamente, para proteger sus datos. En este caso los ciberdelincuentes vuelven a llamar a la víctima, repitiendo todos los pasos del 1 al 4, esta vez haciéndose pasar por personal de seguridad de su institución financiera para alertarle de supuestos “movimientos sospechosos” recientes en su cuenta y que para bloquearlos inmediatamente debe ingresar a un sitio web fraudulentodonde debe ingresar entre otros, su contraseña bancaria, o bien donde en supuesto, puede gestionar la Firma Digital, consiguiendo de este modo su cometido de realizar la estafa.

Otras estafas

 

Además de este tipo particular de estafas de Vishing, la población también está expuesta a estafas similares por diferentes medios, pero todas tienen como fin conocer su contraseña bancaria de algún modo, comúnmente utilizando sitios que parecen reales o solicitando la información por teléfono o correo electrónico, con el fin de poder entrar “Con la llave legítima por la puerta principal” y realizar un retiro de los fondos de su cuenta como si fuera la persona titular de esta. Algunas de las estafas populares son:

  • Suplantación de identidad (Phishing): Son sitios web que simulan pertenecer a entidades bancarias reales, pero que son controlados por ciberdelincuentes. Habitualmente hacen que las personas accedan a ellos mediante el envío de correos electrónicos que simulan provenir de la entidad bancaria.
  • Regalos, premios o bonos por redes sociales: Por medio de cadenas de mensajes los estafadores consiguen llegar a muchas personas. Con la promesa de regalos, premios o bonos instan a las víctimas a proporcionar datos confidenciales.
  • Llamadas tripartitas: Se trata de una modalidad donde la víctima es un vendedor legítimo y es contactado por un estafador, supuestamente con la intención de comprar sus productos o servicios, pero al momento de pagar realizan una llamada tripartita para contactar a un supuesto intermediario bancario (un cómplice estafador). Una vez al teléfono el segundo estafador, comenzará a pedirle datos confidenciales para consumar la estafa.

8 consejos de seguridad

Coocique cuenta con altos estándares internacionales respecto a seguridad, pero si un asociado facilita la contraseña de su cuenta a una tercera persona por cualquier medio, incluido el ingreso de datos confidenciales en páginas fraudulentas, es como “Abrirle la puerta delantera al estafador” para que ingrese a robar lo que desee. Así que esta es una lista de consejos que debe seguir para proteger su patrimonio.

1. La regla de ORO es verificar la dirección URL del sitio web donde usted ingresa. Esta es la mejor manera de asegurar que sea el sitio legítimo al que desea ingresar.Los estafadores suelen usar direcciones URL similares a las de los sitios que tratan de suplantar, pero si usted se fija con detenimiento puede darse cuenta de que se trata de un engaño. Ante la mínima sospecha salga inmediatamente del sitio web.
 
2. No escriba en páginas de Internet que no sean las oficiales su CONTRASEÑA ni su COOCICLAVE, no importa quién se lo pida o para qué. El único lugar seguro para usar sus contraseñas de Coocique son el sitio web https://coocique.com y la aplicación móvil oficial de Coocique tanto para andorid como para iOS.
 
3.Utilice claves diferentes para sus cuentas bancarias de las que utiliza para sus redes sociales y correo electrónico.
 
4. Realice transacciones bancarias solo desde conexiones a internet privadas como los datos móviles de su celular o redes Wi-Fi de confianza. Nunca lo haga desde redes Wi-Fi públicas o sin contraseña.
 
5. Si recibe una llamada de un ente bancario, institución pública o empresa privada, nunca debe proporcionar información confidencial como sus CONTRASEÑAS ni su COOCICLAVE. Ante cualquier sospecha cuelgue inmediatamente la llamada y póngase en contacto mediante los medios oficiales de la institución que supuestamente lo llamó para aclarar la situación.
 
6. No abra archivos adjuntos o enlaces de correo electrónico si no los solicitó o no conoce quien lo envía, para prevenir el phishing.
 
7. Rechace cualquier comunicación telefónica o por correo electrónico que le solicite datos personales o que le indique instalar una aplicación o ingresar a un sitio web que nunca ha utilizado para realizar una gestión con carácter de urgencia.
 
8. Esté atento con los idiomas o las escrituras raras, en ocasiones los correos fraudulentos vienen en un idioma diferente al habitual, y otras veces se trata de traducciones mal hechas, lo cual delata al atacante.

 

Somos Confianza