Se ha detectado una nueva estafa con la que suplantan al banco ING a través de una llamada telefónica.
En esta estafa, las víctimas reciben un SMS, supuestamente del banco ING, en el que se informa sobre una transferencia retenida y se piden las credenciales a través de un enlace.
El SMS dice lo siguiente: “Su transferencia por importe de 998,50 EUR ha sido retenida por motivos de seguridad, por favor verifique [url fraudulenta]”
En el momento en que los usuarios entregan sus credenciales, reciben una supuesta llamada del banco en la que los ciberdelincuentes les piden sus datos.
Este tipo de estafa se conoce como vishing, una técnica llevada a cabo a través de una llamada telefónica con la que los timadores suplantan a una entidad conocida para conseguir datos personales y bancarios de las víctimas.
Cómo es el mensaje fraudulento
En el mensaje, supuestamente de ING, los ciberdelincuentes informan sobre una transferencia retenida y acompañan el texto con un enlace (es.ing-dierect.com) que suplanta al banco y pide las credenciales del usuario.
Si prestamos atención, el dominio de la página web a la que redirige el enlace “es.ing-dierect” no es como el de la página oficial (ing.es).
Incluso si se intenta acceder a esa web, el navegador avisa de que se trata de un sitio web sospechoso con el siguiente mensaje: “La función Navegación segura de Google ha detectado phishing en es.ing-dierect.com. Los sitios web de phishing suplantan la identidad de otros sitios web para engañarte. Puedes informar de un problema de detección o, si comprendes los riesgos que conlleva está acción para tu seguridad, accede a este sitio web no seguro”
Si los usuarios introducen las credenciales en la web, los estafadores les llamarán por teléfono simulando ser el banco y les dirán que han detectado un movimiento sospechoso y que necesitan anular las tarjetas bancarias.
Según comentan expertos en ciberseguridad, es posible que los ciberdelincuentes tuvieran los datos de la víctima antes de realizar la llamada gracias a ataques personalizados como el phishing, o porque se venden en la Dark web.
Para finalizar el engaño, los timadores piden los datos para supuestamente anular las tarjetas.