En agosto de 2011 me robaron varios miles de euros a través del método de estafa bancaria llamado phishing. En este post describo los hechos y, con ello, espero que se pueda evitar algún futuro caso.
El primer fin de semana de agosto me acordé de que tenía que pagar el alquiler del piso donde vivo. Para pagar el alquiler siempre hago lo mismo. Voy al Google y pongo "caja de ingenieros" y elijo el primer enlace. [Edit. También verifico la dirección. Si pone mononsconpanderetas no clico sobre ella] . Me sale la página principal de Caja de Ingenieros donde pongo el nombre de usuario y la contraseña y, a continuación, se abre otra ventana del navegador que ya contiene los datos de mi cuenta bancaria online. Es una ventana de tipo emergente. En la barra de navegación aparece el protocolo https y en la barra de estado aparece un candado. El contenido de la página contiene algunos enlaces a las operaciones que puedo hacer. La página también contiene publicidad parpadeante y colorida. Como no me gusta la publicidad parpadeante y colorida, uso un addon del Firfox que bloquea los anuncios en Flash.
Ese día la página emergente que acabo de describir era algo diferente. La dirección parecía correcta. Tenía el https en la barra de dirección y tenía el candado en la barra de estado. El espacio donde ponen la publicidad también estaba ahí y el anuncio estaba bloqueado por el addon de Firefox. Sin embargo, el contenido era diferente. La página me pedía treinta códigos de mi tarjeta de códigos, cosa que no había visto nunca. Me pareció raro o sea que llamé al banco pero como era fin de semana no me contestó nadie, sólo el contestador automático de turno. Entré los treinta códigos y luego hice la transferencia de mi alquiler.
Cuatro días más tarde volví a entrar a mi cuenta online para ver que se habían realizado tres transferencias salientes sin mi consentimiento y que sumaban varios miles de euros. Los destinatarios de las transferencias tienen nombres españoles y sus cuentas son de bancos españoles: la Caixa y BBVA. Llamé a mi banco, Caja de Ingenieros, y les conté lo sucedido. La operadora telefónica no lo dijo claramente pero, por sus palabras, entendí que recuperar el dinero no era evidente. Ese mismo día mandé al banco las mismas capturas de pantalla que adjunto en este post. Un de las capturas de pantalla muestra la página del phishing que pide los códigos de tu tarjeta de códigos. La otra captura muestra el antivirus que dice que todo está bien. Al día siguiente fui a poner una denuncia. La policía me pidió una descripción de los hechos y un extracto del banco que mostrara las transferencias no autorizadas. Nada más. No querían ni capturas de pantalla ni nada parecido. Luego, fui al banco a traerles la denuncia y también me pidieron que escribiera y firmara que esas transferencias no habían sido autorizadas por mi.
Descubrí que mi ordenador estaba infectado por un virus que en algunas webs llaman de "doble acento" o "doble tilde" porque cuando pulsas la tecla del acento, escribes dos acentos en lugar de uno. Noté el efecto doble acento sólo un día después de que tuviera que acceder a mi cuenta corriente online por lo que supongo que mi infección había sido reciente. Este virus está compuesto por varios módulos y uno de ellos es un keylogger, que es un software que intercepta todas las pulsaciones de teclado. Parece que el acento no lo captura de forma totalmente transparente y eso causa el efecto de doble tilde. Cuanto entras en tu cuenta online, este virus te redirecciona a una página falsa, la página de los 30 códigos que adjunto en el post, y entonces recopila toda la información necesaria para operar con tu cuenta bancaria. Dediqué un tiempo a eliminar este virus pero no lo conseguí, así que tuve que reinstalar el sistema operativo.
Ahora creo que la seguridad y prevención de Caja de Ingenieros son mínimas. Tengo una tarjeta de códigos que no se renueva nunca, mientras que en mi banco anterior te cambiaban la tarjeta de códigos una vez al año. He sabido que algunos bancos, además de la tarjeta de códigos, también te mandan un código en un SMS para poder realizar una transferencia. Hay bancos que te notifican con un email o un SMS cuando hay algún movimiento importante. Incluso he sabido que, al abrir una cuenta bancaria, hay países en los que puedes contratar un seguro anti phishing. También creo que sería bueno poder hablar con el banco aunque fuera fin de semana. Caja de Ingenieros no tiene nada de todo esto. Caja de Ingenieros me manda montones de publicidad por carta: de seguros de viaje, de depósitos, de planes de pensiones, de productos financieros variopintos, de reuniones de socios etc. Pero nunca me han advertido del riesgo de phishing auque sé que no soy el único usuario al que le ha pasado algo parecido.
De las desgracias siempre se puede aprender algo. Yo he aprendido que quiero ser más flexible, menos cabezota. El día que me apareció la página del phishing estaba obstinado en entrar en mi cuenta corriente online para pagar el alquiler. No importaba que la página fuera sospechosa. No importaba que fuera fin de semana y que no pudiera consultarlo por teléfono con el banco. Estaba empecinado en hacer la transferencia del alquiler ese día. No podía esperarme.
Espero que, después de leer esto, las posibilidades de que te roben por este método sean menores.
Ya han pasado algunas semanas y no tengo noticias del banco. Actualizaré el post cuando tenga novedades.
[Edit: la dirección del banco, aunque sacada del Goolgle, era la correcta. Incluso el código fuente de ella, el html, era 100% correcto. Lo comparé con el html descargado des de un ordenador no infectado y eran 100% iguales. La diferencia es que al entrar el nombre de usuario y el password desde un ordenador infectado, entonces, me mandaba a la página falsa.]
El primer fin de semana de agosto me acordé de que tenía que pagar el alquiler del piso donde vivo. Para pagar el alquiler siempre hago lo mismo. Voy al Google y pongo "caja de ingenieros" y elijo el primer enlace. [Edit. También verifico la dirección. Si pone mononsconpanderetas no clico sobre ella] . Me sale la página principal de Caja de Ingenieros donde pongo el nombre de usuario y la contraseña y, a continuación, se abre otra ventana del navegador que ya contiene los datos de mi cuenta bancaria online. Es una ventana de tipo emergente. En la barra de navegación aparece el protocolo https y en la barra de estado aparece un candado. El contenido de la página contiene algunos enlaces a las operaciones que puedo hacer. La página también contiene publicidad parpadeante y colorida. Como no me gusta la publicidad parpadeante y colorida, uso un addon del Firfox que bloquea los anuncios en Flash.
Ese día la página emergente que acabo de describir era algo diferente. La dirección parecía correcta. Tenía el https en la barra de dirección y tenía el candado en la barra de estado. El espacio donde ponen la publicidad también estaba ahí y el anuncio estaba bloqueado por el addon de Firefox. Sin embargo, el contenido era diferente. La página me pedía treinta códigos de mi tarjeta de códigos, cosa que no había visto nunca. Me pareció raro o sea que llamé al banco pero como era fin de semana no me contestó nadie, sólo el contestador automático de turno. Entré los treinta códigos y luego hice la transferencia de mi alquiler.
Cuatro días más tarde volví a entrar a mi cuenta online para ver que se habían realizado tres transferencias salientes sin mi consentimiento y que sumaban varios miles de euros. Los destinatarios de las transferencias tienen nombres españoles y sus cuentas son de bancos españoles: la Caixa y BBVA. Llamé a mi banco, Caja de Ingenieros, y les conté lo sucedido. La operadora telefónica no lo dijo claramente pero, por sus palabras, entendí que recuperar el dinero no era evidente. Ese mismo día mandé al banco las mismas capturas de pantalla que adjunto en este post. Un de las capturas de pantalla muestra la página del phishing que pide los códigos de tu tarjeta de códigos. La otra captura muestra el antivirus que dice que todo está bien. Al día siguiente fui a poner una denuncia. La policía me pidió una descripción de los hechos y un extracto del banco que mostrara las transferencias no autorizadas. Nada más. No querían ni capturas de pantalla ni nada parecido. Luego, fui al banco a traerles la denuncia y también me pidieron que escribiera y firmara que esas transferencias no habían sido autorizadas por mi.
Descubrí que mi ordenador estaba infectado por un virus que en algunas webs llaman de "doble acento" o "doble tilde" porque cuando pulsas la tecla del acento, escribes dos acentos en lugar de uno. Noté el efecto doble acento sólo un día después de que tuviera que acceder a mi cuenta corriente online por lo que supongo que mi infección había sido reciente. Este virus está compuesto por varios módulos y uno de ellos es un keylogger, que es un software que intercepta todas las pulsaciones de teclado. Parece que el acento no lo captura de forma totalmente transparente y eso causa el efecto de doble tilde. Cuanto entras en tu cuenta online, este virus te redirecciona a una página falsa, la página de los 30 códigos que adjunto en el post, y entonces recopila toda la información necesaria para operar con tu cuenta bancaria. Dediqué un tiempo a eliminar este virus pero no lo conseguí, así que tuve que reinstalar el sistema operativo.
Ahora creo que la seguridad y prevención de Caja de Ingenieros son mínimas. Tengo una tarjeta de códigos que no se renueva nunca, mientras que en mi banco anterior te cambiaban la tarjeta de códigos una vez al año. He sabido que algunos bancos, además de la tarjeta de códigos, también te mandan un código en un SMS para poder realizar una transferencia. Hay bancos que te notifican con un email o un SMS cuando hay algún movimiento importante. Incluso he sabido que, al abrir una cuenta bancaria, hay países en los que puedes contratar un seguro anti phishing. También creo que sería bueno poder hablar con el banco aunque fuera fin de semana. Caja de Ingenieros no tiene nada de todo esto. Caja de Ingenieros me manda montones de publicidad por carta: de seguros de viaje, de depósitos, de planes de pensiones, de productos financieros variopintos, de reuniones de socios etc. Pero nunca me han advertido del riesgo de phishing auque sé que no soy el único usuario al que le ha pasado algo parecido.
De las desgracias siempre se puede aprender algo. Yo he aprendido que quiero ser más flexible, menos cabezota. El día que me apareció la página del phishing estaba obstinado en entrar en mi cuenta corriente online para pagar el alquiler. No importaba que la página fuera sospechosa. No importaba que fuera fin de semana y que no pudiera consultarlo por teléfono con el banco. Estaba empecinado en hacer la transferencia del alquiler ese día. No podía esperarme.
Espero que, después de leer esto, las posibilidades de que te roben por este método sean menores.
Ya han pasado algunas semanas y no tengo noticias del banco. Actualizaré el post cuando tenga novedades.
[Edit: la dirección del banco, aunque sacada del Goolgle, era la correcta. Incluso el código fuente de ella, el html, era 100% correcto. Lo comparé con el html descargado des de un ordenador no infectado y eran 100% iguales. La diferencia es que al entrar el nombre de usuario y el password desde un ordenador infectado, entonces, me mandaba a la página falsa.]
No hay comentarios:
Publicar un comentario