Los estafadores suelen hacerse pasar por empresas conocidas: servicios de streaming de vídeo, sitios web de búsqueda de empleo, tiendas en Internet, etc. Esta vez, los phishers se dirigen a los clientes de Wells Fargo, uno de los cuatro grandes bancos de Estados Unidos, que opera en más de 40 países. Aprovechando la confianza que genera el banco, los ciberdelincuentes no se limitan a robar los datos de las tarjetas bancarias, sino que también van a por las cuentas de correo electrónico y los selfies de los usuarios sujetando sus documentos de identidad.
Ataque de phishing a clientes de Wells Fargo
La historia es la de siempre, todo comienza con un correo electrónico de phishing diseñado para alarmar al destinatario. En él se informa al usuario de que su cuenta bancaria de Wells Fargo ha sido bloqueada “debido a una dirección de correo electrónico no verificada o a un error en su domicilio”. Para recuperar el acceso, se le pide que siga el enlace y verifique su identidad en las 24 horas siguientes a la recepción de esa notificación. De lo contrario, según el mensaje, ya no será posible transferir o retirar dinero de esa cuenta.
A simple vista todo parece real: logotipos, tono corporativo y empresarial, casi ningún error ortográfico… Hasta el nombre y la dirección del remitente son casi idénticos a los del servicio de atención al cliente del banco. Sin embargo, la primera señal de alerta aparece en el dominio, ya que este aparece como “wellsfargo-com” (en lugar de .com), pero somos conscientes de que es difícil de detectar.
El enlace del correo electrónico conecta con un sitio de terceros, y de ahí, mediante una redirección, a una página falsa de inicio de sesión de la cuenta de Wells Fargo. En este caso, los phishers se esfuerzan menos: el diseño no coincide con el de la página oficial y la URL no tiene nada que ver con el banco, sino que, por alguna razón, hace referencia a la canción de Bruce Springsteen The Ties That Bind o a la serie de televisión del mismo nombre.
En la primera página, se pide a la víctima que introduzca el nombre de usuario y la contraseña de su cuenta de Wells Fargo. Pero todavía le quedan dos pasos más para la “verificación”.
Una vez iniciada la sesión, la víctima llega a la siguiente página, donde hay muchos más campos que rellenar. Aquí empieza la barra libre y los estafadores piden descaradamente una dirección de correo electrónico con contraseña, un número de teléfono con dirección postal, la fecha de nacimiento del usuario y hasta el número de la Seguridad Social. Y, ¿cómo iban a faltar los datos de pago? Además de un número de tarjeta bancaria y la fecha de caducidad, también piden que se rellene el código CVV del reverso y, por supuesto, el PIN.
La parte más interesante de todo esto es cuando, llegados a este punto y en una página con hasta tres logos de Wells Fargo para generar confianza, se le pide al usuario que suba un selfie en el que sostenga su documento de identidad.
Una vez obtenidos todos los datos de la víctima, los estafadores informan de que la cuenta ha sido restaurada con éxito y se redirige a dicha víctima al sitio web real de Wells Fargo. Está todo diseñado para hacerle creer que ha estado en el sitio correcto todo el tiempo.
Para qué se pueden usar esos datos robados
Este tipo de phishing se suele utilizar para crear una base de datos con el objetivo de venderla en la dark web. La mercancía es valiosa: con semejante tesoro en forma de datos personales, los delincuentes pueden desviar dinero de la tarjeta de la víctima. Pero la cosa no queda ahí: con un conjunto de datos como este también pueden enriquecerse de otras maneras a costa de la víctima, por ejemplo, abriendo una cuenta bancaria o de intercambio de criptomonedas para blanquear los fondos robados, obtener una tarjeta de crédito, etc. Con un selfie del carné de identidad, los atacantes tienen todas las posibilidades de burlar la comprobación de seguridad del proceso “Conozca a su cliente” (del inglés Know Your Customer o KYC) requerida para esas transacciones.
Por lo tanto, después de introducir los datos, lo más seguro es que no pase nada en un principio. Los problemas surgirán más tarde, lo que puede suponer un peligro adicional. Probablemente cuando los ciberdelincuentes empiecen a usar esos datos, el usuario no recordará haber introducido nada en ningún lugar. Esto dificultará el acto de justificar o dar explicaciones a los representantes del propio banco o a la policía.
Cómo evitar ser víctima del phishing bancario
Algunos consejos para evitar ser víctima de las estrategias de suplantación de identidad que afectan a las cuentas bancarias son:
- Fíjate bien en los correos electrónicos inesperados sobre suspensiones de cuentas, cargos sospechosos, compras extrañas o regalos generosos. Casi siempre son falsos. Hace poco explicamos por qué este tipo de correos electrónicos son seguramente una estafa y cómo detectarla.
- No accedas a enlaces de correos electrónicos que dirijan a sitios web de bancos. Es mejor introducir la URL de la web oficial manualmente o buscarla en Google, Bing u otro navegador fiable.
- Recuerda que, por regla general, para recuperar una cuenta bancaria no se requieren datos personales completos ni un selfie con un documento de identidad. Y, desde luego, no es necesario que introduzcas el código CVV del reverso de tu tarjeta, ¡y mucho menos tu PIN! Si te lo piden, desconfía y ponte en contacto con el banco para que te lo confirme llamando al número de teléfono que aparece en tu tarjeta.
- Si eres cliente de Wells Fargo y recibes un correo electrónico de phishing, ponte en contacto con el banco inmediatamente para que puedan tomar medidas para proteger a otros usuarios. Consulta aquí los datos de contacto.
- Instala una solución de seguridad fiable que te advierta de las estafas y los intentos de suplantación de identidad y mantenga tus datos a salvo de los ciberdelincuentes.