Et truca el teu banc, però no és el teu banc: el vishing o l’estafa de la suplantació de la identitat telefònica 

Et truquen del teu banc per avisar-te que algú ha accedit al teu compte. T’ofereixen detalls de les teves dades bancàries i t’expliquen que els teus estalvis estan en perill. Et donen dues opcions: pots acostar-te a una oficina o seguir els passos per telèfon per transferir els teus diners a un compte segur fins que es resolgui la incidència. 

En aquell moment, desconfies. “Com puc saber que no és una estafa?”, preguntes. “Pots penjar-me i anar a una oficina o pots buscar a internet el telèfon des del qual et truco”, et responen. Ho comproves a Google i, efectivament, el número correspon a una oficina del teu banc. Confies i tries seguir els passos per telèfon. T’arriba un SMS des d’un telèfon que també pertany al teu banc. Apareix el teu número de compte i un codi de seguretat que, segons et diuen, has de facilitar. Ho fas i, en uns minuts, t’han buidat el compte. 

Aquest és el testimoni viral que ha compartit un client del banc ING a X (abans Twitter) i correspon a un cas de suplantació de la identitat per telèfon. L’anomenat vishing és un tipus d’estafa que consisteix en una trucada d’un ciberdelinqüent fent-se passar pel teu banc, la teva distribuïdora del gas, de l’aigua o de la llum, una institució pública, un servei d’atenció al client o qualsevol entitat o persona de confiança amb l’objectiu que li facilitis informació personal o bancària. En aquest cas, a més, també havien suplantat la identitat telefònica perquè a la pantalla del mòbil aparegués un número associat a l’entitat financera de la víctima i que, així, no sospités. Com és possible? T’ho expliquem!

Quan el número que apareix a la pantalla del teu mòbil no és el que et truca

“Els ciberdelinqüents cada cop fan servir tècniques més sofisticades. No només es fan passar per qui no són, sinó que també imiten i suplanten els canals habituals de contacte dels bancs”, explica el Banc d’Espanya en un comunicat. Fins ara, una manera d’identificar si un SMS o una trucada procedia realment del teu banc (o de qualsevol altra entitat de confiança) era comprovar si el número corresponia efectivament al teu banc. 

Tanmateix, això ha canviat. Actualment, és possible que un SMS procedent d’un número fraudulent aparegui al mateix fil on amb anterioritat havies rebut missatges reals del teu banc o que el número que aparegui a la pantalla del teu mòbil quan reps una trucada no sigui el del telèfon des del qual s’està fent la trucada en realitat. 

Aquestes tècniques de suplantació es coneixen com a SMS spoofing o caller ID spoofing. Segons descriu el Banc d’Espanya, l’SMS spoofing es realitza “mitjançant diverses pàgines web i aplicacions mòbils que permeten enviar SMS des d’una font desconeguda suplantant una identitat coneguda amb relativa facilitat”, un mètode similar al que es fa servir en el cas de la suplantació de la identitat telefònica. 

Mai facilitis informació confidencial quan rebis una trucada

Per això, “si rebem una trucada del nostre banc o d’un altre servei de confiança, hem de saber que ja tenen tota la informació que necessiten per realitzar aquests tràmits”, explica l’Institut Nacional de Ciberseguretat (INCIBE). Des de bancs com l’ING adverteixen que la millor solució és la prevenció, és a dir, no facilitar mai informació personal ni bancària quan reps una trucada de telèfon, especialment les claus que t’arribin per SMS. El Banc d’Espanya remarca que “des de l’entitat mai et demanaran que els facilitis les teves contrasenyes o claus completes”.

Encara que el número que aparegui a la pantalla del teu mòbil sigui el del teu banc, la trucada pot procedir d’un altre telèfon. Per tant, per assegurar-nos que estem parlant amb la nostra entitat i confirmar si s’està produït una incidència de qualsevol mena, penja i posa’t en contacte amb el teu banc a través dels seus canals oficials d’atenció al client. “D’altra banda, si la trucada és perquè et posis en contacte amb un altre número de telèfon, no truquis a aquest número”, avisen des d’ING. 

En el cas d’haver estat víctima d’aquest tipus d’estafa, contacta al més aviat possible amb la teva entitat i denuncia el que ha passat davant els cossos policials, “recopilant totes les evidències i proves de les quals disposis (converses, missatges, correus electrònics, números de contacte, etc.)”, indica l’INCIBE, el qual compta amb un telèfon d’atenció gratuïta per consultes sobre ciberseguretat (017).

Vishing: un modus operandi en dos passos

El modus operandi de la suplantació de la identitat per telèfon o vishing es divideix en dos passos, segons descriu l’INCIBE. En primer lloc, els ciberdelinqüents obtenen informació confidencial sobre la seva víctima: el seu nom i cognoms, el seu correu, la seva adreça, part de les seves dades bancàries o de la targeta de crèdit, etc. Com? Mitjançant altres atacs, com el phishing o el smishing. És a dir, correus o SMS que aparentment ens envia el nostre banc o qualsevol altra font de confiança per demanar-nos una sèrie de dades personals o bancàries, però que en realitat han estat enviats per un ciberdelinqüent amb l’objectiu de robar aquesta informació. 

Una vegada aconsegueixen la informació que necessiten per fer-se passar pel teu banc o qualsevol altre servei del qual siguis client, et truquen amb l’objectiu d’obtenir més dades, aconseguir que instal·lis algun virus al teu mòbil o ordinador o convèncer-te perquè facis algun tipus de pagament o transferència. Els motius o excuses que esgrimeixen en aquest tipus de trucades són diversos: “hem detectat activitat sospitosa al seu compte bancari i necessitem informació per protegir els seus diners”, “ha guanyat un sorteig, però necessitem les seves dades bancàries per procedir a l’ingrés”, “s’ha produït un problema amb la seva targeta de crèdit i necessitem que segueixi una sèrie de passos per evitar càrrecs no autoritzats”, etc.

En tot cas, totes les trucades acostumen a tenir característiques semblants com, per exemple, el sentiment d’urgència, és a dir, “afirmen que hi ha problemes o s’ha identificat activitat sospitosa perquè la víctima actuï ràpidament sense pensar amb claredat”, detalla l’INCIBE. Durant la trucada, a més, sol·licitaran dades personals o informació confidencial com targetes de crèdit, contrasenyes o claus d’accés i amenaçaran amb el possible bloqueig dels comptes bancaris, sancions o multes.