phishing
Es común que los estafadores se hagan pasar por empresas conocidas: servicios de streaming de vídeo, páginas web para buscar empleo, tiendas en línea, etc. Esta vez, los phishers se dirigen a los clientes de Wells Fargo, uno de los cuatro bancos más grande en Estados Unidos, el cual tiene operaciones en más de 40 países. Aprovechan la confianza que el banco transmite, y los ciberdelincuentes no se limitan solo a robar los datos de las tarjetas bancarias, sino que también van a por las cuentas de correo electrónico y las selfies de los usuarios mostrando sus documentos de identidad.
Ataque de phishing a clientes de Wells Fargo
Y aquí la historia se repite, todo empieza con un mail de phishing diseñado para alarmar a quien lo recibe. Este le informa al usuario que su cuenta bancaria de Wells Fargo fue bloqueada “debido a una dirección de correo electrónico no verificada o a un error en su domicilio”. Para recuperar el acceso, se le pide que siga el enlace y verifique su identidad en las 24 horas posteriores a la recepción de dicho mail. De acuerdo con el mensaje, en caso de no hacerlo, ya no será posible transferir o retirar dinero de esa cuenta.
Todo parece real en un simple vistazo: logotipos, color corporativo y empresarial, casi ningún error ortográfico… Hasta el nombre y la dirección del remitente son casi idénticos a los del servicio de atención al cliente del banco. No obstante, la primera señal de alarma aparece en el dominio, ya que este aparece como “wellsfargo-com” (en lugar de .com), pero sabemos que es un error difícil de detectar.
Correo electrónico de phishing aparentemente de Wells Fargo
El enlace del correo electrónico dirige a un sitio externo, y de ahí, con una redirección, a una página de inicio de sesión falsa de la cuenta de Wells Fargo. En este caso, los phishers ponen menos esfuerzo: el diseño no coincide en absoluto con el de la página oficial y la URL no tiene nada que ver con el banco, sino que, por alguna extraña razón, hace referencia a la canción de Bruce Springsteen The Ties That Bind o a la serie de televisión del mismo nombre.
En la primera página, se pide a la víctima que introduzca el nombre de usuario y la contraseña de su cuenta de Wells Fargo, sin embargo, todavía faltan dos pasos más para la “verificación”.
Sitio de phishing que se hace pasar por Wells Fargo
Una vez iniciada la sesión, la víctima llega a la siguiente página, donde hay muchos más campos para rellenar. Aquí empieza el botín más grande y los estafadores piden descaradamente una dirección de correo electrónico con contraseña, un número de teléfono con dirección postal, la fecha de nacimiento del usuario y hasta el número de la Seguridad Social. Y, ¿cómo iban a faltar los datos de pago? Además de un número de tarjeta bancaria, fecha de caducidad, también piden que se rellene el código CVV del reverso y, claramente, el PIN.
Campos para introducir datos personales en el sitio de phishing
Lo más interesante de esto es cuando, al llegar a este punto y en una página con hasta tres logos de Wells Fargo para generar confianza, se le pide al usuario que suba un selfie en el que sostenga su documento de identidad.
Se pide a la víctima que suba una foto con su documento de identidad
Una vez que consiguen todos los datos de la víctima, los estafadores informan que la cuenta fue restaurada exitosamente y redirigen a dicha víctima al sitio web real de Wells Fargo. Todo está diseñado para hacerle creer que ha estado en el sitio correcto todo el tiempo.
“Recuperación” de la cuenta y redirección al sitio oficial de Wells Fargo
Cómo pueden utilizarse esos datos robados
Este tipo de phishing es usado para crear una base de datos con el objetivo de venderla en la dark web. La mercancía es sumamente valiosa: con tal tesoro en forma de datos personales, los delincuentes pueden desviar dinero de la tarjeta de la víctima. Pero ahí no termina el asunto; con un conjunto de datos como este también pueden enriquecerse de otras maneras a costa de la víctima, por ejemplo, abriendo una cuenta bancaria o de intercambio de criptomonedas para blanquear los fondos robados, obtener una tarjeta de crédito, etc. Con una selfie del carné de identidad, los atacantes tienen todas las posibilidades de burlar la comprobación de seguridad del proceso “Conozca a su cliente” (del inglés Know Your Customer o KYC) que se requiere para ese tipo de transacciones.
Por ende, tras introducir los datos, probablemente no pasara nada en un principio. Los problemas aparecerán más tarde, lo que podría significar un peligro adicional. Es probable que cuando los ciberdelincuentes comiencen a utilizar sus datos, el usuario no recordará haberlas introducido en algún lugar. Esto hará que sea más difícil justificar o dar explicaciones a los representantes del propio banco o a la policía.
Cómo evitar ser víctima del phishing bancario
Algunos consejos para evitar ser víctima de las estrategias de suplantación de identidad que afectan a las cuentas de banco son:
- Pon atención especial en los correos electrónicos inesperados sobre suspensiones de cuentas, cargos sospechosos, compras extrañas o regalos. Casi siempre son falsos. Hace poco explicamos por qué este tipo de correos electrónicos son seguramente una estafa y cómo detectarla.
- No accedas a enlaces de correos electrónicos que dirijan a sitios web de bancos. Es mejor introducir la URL de la web oficial de manera manual o buscar el sitio en Google, Bing u otro navegador de confianza.
- Como regla general, recuerda que para recuperar una cuenta bancaria no son necesarios datos personales completos ni una selfie con un documento de identidad. Y, por supuesto, no es necesario que introduzcas el código CVV del reverso de tu tarjeta, ¡y mucho menos tu PIN! Si te lo piden, desconfía y ponte en contacto con el banco de inmediato para que te lo confirme llamando al número de teléfono que aparece en tu tarjeta.
- Si eres cliente de Wells Fargo y recibes un correo electrónico de phishing, ponte en contacto con el banco inmediatamente para que puedan tomar cartas en el asunto para proteger a otros usuarios. Consulta aquí los datos de contacto.
- Instala una solución de seguridad fiable que te advierta de las estafas y los intentos de suplantación de identidad y mantenga tus datos a salvo de los ciberdelincuentes.
