Cómo evitarlo

Nueva estafa: así crean perfil falso de un banco en Instagram para saquear cuentas

Esta nueva estafa a través de Instagram apunta a los nuevos seguidores de la cuenta oficial de un banco. Obtienen clave de homebanking, roban dinero y solicitan préstamos preaprobados

Un nuevo caso de estafa que afecta a los clientes de los bancos termina saqueando las cuentas y solicitando préstamos preaprobados. Los ciberatacantes tienen como objetivo el robo de credenciales de acceso a homebanking -también conocido en algunos países como banca electrónica o banca online- que no solo son utilizadas para vaciar la cuenta bancaria con pequeñas transferencias a otras cuentas, sino también para sacar un préstamo preaprobado a nombre de la víctima y robar también el monto otorgado.

El resultado de esto es catastrófico. La víctima se queda sin dinero, con las cuotas a pagar del préstamo y un litigio judicial con el banco para intentar demostrar que no fue el titular de la cuenta quien realizó dichas transacciones.

En el último año se reportaron 641 casos en la Unidad Fiscal Especializada en Ciberdelincuencia en Argentina en el último año. Según este organismo, las denuncias por estafas bancarias crecieron casi 3.000% en 2020. Días atrás Diario Uno publicó el testimonio de una víctima a la que le robaron más de $300.000 de su cuenta bancaria.

Los estafadores utilizan distintos esquemas de engaño para el mismo objetivo: obtener las claves de acceso a la banca online. En este caso, la campaña e se lleva adelante a través de Instagram. De hecho, en octubre de 2020 advirtieron sobre estafadores que estaban utilizando falsos perfiles en Instagram para hacerse pasar por canales de atención al cliente de distintos bancos.

Si bien no hay un perfil definido de las víctimas, el objetivo es aprovecharse de personas que utilizan las redes sociales para comunicarse con su entidad bancaria ante la dificultad de concurrir presencialmente a una sucursal o hacerlo vía telefónica.

estafa bancaria.png
Estos son los mensajes y solicitudes de seguimiento de cuentas falsas, minutos después de comenzar a seguir a cuentas verificadas de instituciones financieras.

Estos son los mensajes y solicitudes de seguimiento de cuentas falsas, minutos después de comenzar a seguir a cuentas verificadas de instituciones financieras.

“Escribí un mensaje privado a la cuenta de Instagram del banco. Unos minutos más tarde, me responden, también por mensaje privado, pero desde otra cuenta llamada “Atención al cliente" que también tenía el logo del banco. Desde esa cuenta me solicitaron que brinde un teléfono de contacto y que un asesor se iba a comunicar conmigo. Como no había logrado comunicarme a la mañana con el banco, dejé mi teléfono a esta cuenta y me llamaron enseguida, supuestamente, del banco. Ahí es donde yo caí.”, comentó una víctima de la estafa al equipo de investigación de ESET, una firma que se dedica a la detección proactiva de amenazas .

La mayoría de los usuarios de redes sociales comienzan a seguir a una institución financiera cuando necesitan enviar un mensaje privado para realizar algún reclamo o consulta. Es decir, que la acción de seguir a esta cuenta y enviarle un mensaje ocurre casi instantáneamente. Lo que ocurre en esta estafa es que la cuenta falsa que contacta a la víctima en realidad detectó que había comenzado a seguir a la cuenta oficial del banco hacía apenas unos minutos.

Estafa bancaria Banco Nación .png
Cuenta falsa que suplanta la identidad del Banco Nación Argentina.

Cuenta falsa que suplanta la identidad del Banco Nación Argentina.

Para estar atentos

El ‘web scraping’ (o ‘raspado’ web), es una técnica para extraer información de sitios web de forma masiva y mediante scripts automatizados. Si se aplica la técnica de scraping a las redes sociales, se puede obtener de forma masiva todo tipo de información pública, como los likes de una publicación o incluso la lista de seguidores de una cuenta pública. Desde aclaran que si bien el uso de estas técnicas va en contra de los términos y condiciones de la mayoría de las redes sociales, lo cierto es que no hay ninguna medida técnica que impida hacerlo.

Los atacantes utilizan un script de scraping para obtener la lista de seguidores de las cuentas oficiales de bancos e instituciones financieras, minutos más tarde corren nuevamente ese script y comparan ambas listas para identificar los usuarios nuevos. De forma automática un ‘bot’ desde una cuenta falsa que simula ser la entidad financiera, contacta a estos usuarios haciéndose pasar por un asesor virtual y les solicita que envíen sus datos. Dado que probablemente muchos de estos usuarios además de seguir la cuenta oficial le enviaron un mensaje privado, caen en el engaño cuando la cuenta falsa los contacta.

Al realizar algunas pruebas, observaron cómo apenas unos minutos después de comenzar a seguir a diferentes entidades financieras en Instagram, llegó el primer contacto desde una cuenta falsa: un cálido saludo de un asesor de atención al cliente solicitando el número de teléfono establecer el contacto. No importa cuál sea el motivo de consulta, el atacante seguirá insistiendo para obtener el número de teléfono y poder continuar la estafa vía telefónica.

Temas relacionados: