Tema 2
Tema 2
Tema 2
Fraudes en la red
[2.1] ¿Cómo estudiar este tema?
[2.2] Introducción
2
TEMA
Esquema
TEMA 2 – Esquema
Estafas en banca Fraudes en medios de Otros tipos de fraudes
electrónica. Phishing pago físico en la red
Skimming loterías
Captura de datos
Venta de vehículos
Captación de mulas
Romancescam
Transferencia
monetización y Falsos antivirus
envío de lo
defraudado
Ideas clave
Para estudiar este tema, lee el contenido de estas ideas clave y compleméntalas con la
información que irás encontrando en los distintos documentos y páginas web a los que
se irá haciendo referencia.
2.2. Introducción
Sin duda, las estafas son los delitos que más rápido y con más éxito han realizado
la migración desde la vida real a la virtual. Los estafadores han modificado las
técnicas utilizadas con el objetivo de embaucar a sus víctimas en timos como «la
estampita», en los «nazarenos» o en los «trileros», para adaptarlas a la red, que se
presenta como un espacio ideal donde engañar a sus víctimas sin asumir ninguno
de los riesgos que las estafas tradicionales llevaban consigo.
Existe una enorme diferencia entre los timadores o estafadores «tradicionales» con los
«electrónicos». Mientras que los primeros requerían una preparación constante y unas
muy acentuadas capacidades interpretativas o teatrales, además de estar
obligados a realizar una mínima inversión económica en la preparación de la estafa
y asumir riesgo «físico» real, las nuevas generaciones de estafadores virtuales no
necesitan nada de esto. Resulta extremadamente sencillo, por poner un simple ejemplo,
planificar y ejecutar una estafa basada en la falsa venta de un producto a través de
Internet, escudándose en el anonimato que les ofrece la red.
En los fraudes online, junto con los delitos contra el honor, es donde existe una mayor
incidencia de cifra negra (delitos no denunciados), propiciada por dos factores
principales. El primero es que las estafas suelen ser por importes bajos, lo que
desanima a las víctimas a denunciar por considerar que no merece la pena tener que
pasar por las distintas fases procesales. El segundo factor es propio de las empresas
que, en ocasiones, prefieren asumir las pérdidas y no denunciar las estafas de las que
han sido objeto, al considerar que de hacerse públicas, les ocasionará perdidas
empresariales de superior cuantía que el importe efectivamente estafado.
Nuestro Código Penal distingue entre los fraudes que únicamente utilizan Internet
como elemento facilitador de su comisión, como es el caso de los fraudes en el
comercio electrónico (Artículo 248.1 del C.P.), de las identificadas como «estafas
informáticas» o «fraudes informáticos (Artículo 248.2)» en la que incluye a las
relacionadas con manipulaciones informáticas, como es el caso del acceso
ilegítimo a cuentas bancarias online, utilizando para ello los datos identificativos del
usuario y sus claves de acceso, de su legítimo titular, sin haber obtenido su
autorización. Igualmente recoge la utilización de tarjetas bancarias o sus numeraciones
para efectuar cargos a sus propietarios, como una modalidad concreta de estafa.
Artículo 248
1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante
para producir error en otro, induciéndolo a realizar un acto de
disposición en perjuicio propio o ajeno.
2. También se consideran reos de estafa:
a. Los que, con ánimo de lucro y valiéndose de alguna
manipulación informática o artificio semejante, consigan una
transferencia no consentida de cualquier activo patrimonial en
perjuicio de otro.
b. Los que fabricaren, introdujeren, poseyeren o facilitaren
programas informáticos específicamente destinados a la comisión
de las estafas previstas en este artículo.
c. Los que utilizando tarjetas de crédito o débito, o cheques
de viaje, o los datos obrantes en cualquiera de ellos, realicen
operaciones de cualquier clase en perjuicio de su titular o de un
tercero.
Como se puede ver en la redacción del artículo 248, las características de estas estafas,
se centra en una manipulación informática con la que se consiga realizar una
transferencia patrimonial que no haya sido autorizada por el legítimo
propietario del importe defraudado, ocasionando por lo tanto, un perjuicio.
Los tipos de estafas que se cometen a través de Internet son innumerables. Desde las
más sencillas, caracterizadas por la falta de planificación previa y sin que los autores
tengan especiales conocimientos técnicos, a las más sofisticadas y complicadas que
necesitan de una preparación detallada, elevada capacitación técnica de sus autores y
elementos técnicos avanzados, con las que desarrollarlas en las distintas fases
complementarias, que son necesarias para su correcta ejecución.
Es imposible reflejar todos los tipos de estafas que se cometen a través de la red, por lo
que en el presente tema únicamente se mostraran algunas de las más representativas
por su incidencia real. Así, se expondrá detalladamente las conocidas bajo el término
Phishing y las relacionadas con la duplicación de tarjetas bancarias. Junto a
ellas, se describirá también el modus operandi de otros tipos variados de fraudes
comunes.
La banca electrónica es uno de los servicios con mayor aceptación y utilización por
los usuarios de Internet. Esto es debido a que, a través de su web, los clientes de una
entidad pueden realizar consultas, operaciones y transacciones de forma
completamente autónoma, ágil, inmediata y sin limitación por fecha, situación
geográfica u horario.
Podemos entender como Phishing aquellas acciones desarrolladas con fin de obtener
mediante ingeniería social y/o malware, la información necesaria para acceder de
manera no autorizada a determinados servicios —no únicamente financieros—
suplantando en ellos la identidad de su legítimo titular. Generalmente, el fin
perseguido es la realización de transferencias desde las cuentas de las víctimas hasta
otras gestionadas directa o, en la mayoría de los casos, indirectamente por los
responsables del ataque.
El ciclo del Phishing se puede dividir en distintas fases atendiendo a los pasos que,
como actos preparatorios se diseñen y ejecuten con la finalidad de lograr el objetivo
final. Se trata de un proceso complejo en el que intervienen distintos actores en
tiempos distintos y con responsabilidades e implicaciones diferentes, si bien
complementarias y necesarias todas ellas.
Captura de datos
Captación de mulas
Para obtener los datos referidos y teniendo en cuenta la capacidad técnica del
delincuente o las posibilidades de acceso a software específico, existen dos vías para
iniciar la campaña de recopilación de información; bien a través de Ingeniería
Social, sirviéndose para ello de avisos mediante correos electrónicos, redes sociales,
etc. o bien de algún tipo de Malware específicamente diseñados, como los conocidos
como troyanos bancarios.
Ingeniería Social
o Introducción
Se pretende que sea la potencial víctima la que facilite voluntariamente sus
datos de identificación en la banca electrónica. Para ello, emplean
técnicas que han ido evolucionando y perfeccionando en el transcurso del tiempo,
como consecuencia del aumento en la concienciación del usuario en
cuestiones de seguridad. Requiere un periodo previo de elaboración durante el
cual realizan acciones preparativas de la campaña de Phishing, como pueden ser
las siguientes:
En los mensajes más preparados, la dirección URL que aparece corresponde con
la entidad financiera real; sin embargo, situando el puntero sobre el link se
observa que el enlace se realizaría en realidad con una dirección ajena a la
entidad suplantada.
Sus autores buscan atemorizar a los receptores del correo sobre la potencial
utilización ilegítima de sus tarjetas bancarias. En el mensaje que se muestra,
informan que se ha realizado una supuesta utilización de la tarjeta
bancaria «fuera del patrón típico de compra» y que la tarjeta del cliente
pude estar comprometida. Para dar aún más credibilidad le asignan un
supuesto número de caso y le solicitan que verifique su identidad mediante el
acceso a una web.
A través del Link «Haga ahora« se accede a dos formularios consecutivos, en los
que se solicitan todo tipo de datos personales con la supuesta finalidad de
evitar el uso fraudulento de la tarjeta.
la fecha de nacimiento, aparece las letras «jj» que pudiera hacer referencia a la
palabra alemana «Jahr» que se traduce como año.
Con los datos enviados a los phishers a través de los formularios mostrados como
ejemplo, lo delincuentes pueden no solo utilizar las numeraciones de las
tarjetas en comercio electrónico, sino que además las pueden «clonar»,
duplicándolas físicamente y realizar con ellas compras en establecimientos
físicos o retirar dinero desde cualquier cajero automático. No obstante, siendo
importante el quebranto que podrían hacer con la utilización de la tarjeta a la
víctima, no se debe dejar de plantear que los delincuentes podrían también
suplantar su identidad completa y utilizarla para la comisión de cualquier otro
tipo de delito.
poder de convicción que aún mantiene o la curiosidad que provoca y que hace que
se pulse sobre el enlace web con el que cuenta el texto del mensaje electrónico.
se conoce cuál es la dirección web real a la que redirige el link, que no guarda
relación con PayPal.
La clara apuesta que se está haciendo por la banca electrónica y el acceso a esta
desde distintas plataformas móviles, lleva aparejada que el Smishing y otras
evoluciones del Phishing —dirigidas a las nuevas vías de comunicación
electrónica— estén despertando el interés en las organizaciones
criminales que las perciben como una nueva oportunidad de negocio, toda vez
que sobre estos nuevos dispositivos no existe una concienciación en seguridad,
tan extendida como en los ordenadores personales.
Por lo general, la comunicación no se efectúa por una persona real, sino que se
trata de una grabación efectuada, siguiendo patrones similares a los utilizados
por los distintos servicios de atención al cliente. Durante la comunicación se
requieren los datos bancarios o las numeraciones de las tarjetas de
crédito, incluyendo por supuesto, el número PIN, la fecha de caducidad y el
código CVV, como paso previo a poder ser atendido supuestamente por un
operador. En otras ocasiones, las grabaciones telefónicas remiten al cliente a una
página web en la que realizar las presuntas comprobaciones, a través de
formularios donde los Phishers obtienen los datos que buscan.
Malware
o Introducción
El crecimiento exponencial de ataques de Phishing que se produjo con la
universalización de los servicios de banca electrónica, tuvo como natural
Estas medidas llevaron a los criminales a desarrollar otros sistemas de ataque que
les permitieran robar la identidad electrónica de sus víctimas. Desde ese
momento, los programas conocidos como virus o gusanos informáticos
abandonaron sus objetivos iniciales, que se centraban únicamente en causar
daños informáticos, para comenzar a orientarse en lo que hoy conocemos como
software malicioso o malware. Su principal característica y objetivo consiste en
robar cualquier tipo de información confidencial de los sistemas
informáticos en los que se instalan, sin que sea detectada ni su presencia ni su
actividad.
o Troyanos Bancarios
cualquier otro servicio como redes sociales o correo electrónico, para obtener
beneficios con la comisión de fraudes bancarios. Este tipo específico de
malware se conoce como Troyano Bancario.
Al igual que los mensajes de correo electrónico y los dirigidos a los teléfonos
móviles, el objetivo del Pharming es lograr que la víctima acceda a una página
web fraudulenta diseñada, o al menos modificada, con la finalidad de capturar
información confidencial. Para su éxito no se requiere la acción consciente
de la víctima como ocurre en los ataques asociados a la ingeniería social, sino
que se produce por una manipulación informática.
A estos colaboradores se les conoce como mulas o muleros y son captados a través de
distintos métodos, que han ido evolucionando como adaptación a las constantes
campañas de información sobre estas estafas que se vienen realizando.
Según sea la capacidad técnica del grupo criminal que se sitúa tras la campaña de
Phishing o que se sirve de ella para realizar las estafas, así será la complejidad o la
elaboración de los correos, cuyo único fin es lograr salvar las cada vez mayores
reticencias de los internautas en aceptar estos trabajos.
No obstante, las ofertas de trabajo no son las únicas vías para captar a los
colaboradores. Existen innumerables modos para intentar lograr la participación de
personas ajenas a la organización criminal en su actividad ilícita. A modo de ejemplo,
se puede citar los correos en los que se buscan personas que quieran colaborar en
supuestas campañas de ayuda a zonas afectadas por una crisis, consecuencia de
desastres naturales o por conflictos armados.
En estas modalidades se solicita de los receptores de los correos que participen como
parte de la cadena de remisión de dinero a los damnificados. Deben facilitar una
cuenta bancaria en la que recibirán parte de los importes donados por particulares y
empresas, para después reenviarlos a los responsables de la organización humanitaria,
utilizando para ello los servicios de compañías de envío internacional de dinero. Con
esta ayuda, presuntamente, se pretende evitar la inicial participación de las entidades
bancarias, ahorrando con ello sus comisiones y facilitando que llegue más dinero a las
personas que lo necesitan sobre el terreno.
Una vez que los Phishers han captado a las mulas, establecen redes a fin de garantizarse
la plena disponibilidad de una o varias de ellas para cada transferencia que puedan
realizar. Los delincuentes tienen que asegurarse que no se deja de materializar
una estafa por no disponer de una cuenta a la que realizar la transferencia.
Por este motivo, aunque en el presente manual se han descrito como consecutivas las
Fases I y II del Ciclo del Phishing, en realidad se efectúan de manera simultánea.
Las redes o bolsas de mulas, son utilizadas de manera que les permita a los
Phishers diversificar los riesgos. Usualmente, el dinero total que roban de la cuenta de
una víctima es enviado mediante varias transferencias a cuentas bancarias a
nombre de distintas mulas. Con esto, logran minimizar los riesgos de ser
anuladas o identificadas las operaciones como fraudulentas y perder el importe total.
Igualmente, se aseguran que si alguna mula se arrepiente de su colaboración o decide
quedarse con el total del dinero recibido, no pierden el resto del importe defraudado.
Como se ha podido observar, las mulas son el elemento determinante del delito ya
que sin su acción consciente y voluntaria, no se podría consumar la estafa, son
ellos los que reciben el importe defraudado y son ellos los que lo ponen a disposición de
la organización delictiva.
Es fácil advertir que toda la inversión que los Phishers realizan en campañas de
ingeniería social, en el desarrollo de malware y en su distribución, carece de sentido y
de resultado final, sin la participación de las mulas, lo que las convierte en parte
esencial en el proceso criminal con independencia de que sean o no
conscientes de su participación en el delito.
Ya con la información sobre las claves de acceso a la banca online de una víctima, los
delincuentes suplantan su identidad electrónica y realizan transferencias online
por todo el importe que puedan a las cuentas facilitadas por las mulas.
En algunas ocasiones, los Phisher piden a las mulas que entreguen el dinero
personalmente a miembros de la organización, bajo la excusa de tratarse de los
responsables de la supuesta actividad comercial en su zona. Estas personas
pueden tener la residencia habitual en España y colaborar con la organización criminal
de manera estable o temporal, habiendo sido captados de forma parecida a las mulas.
En otros casos, se tratan de los escalones más bajos de la organización que realizan
viajes relámpago, con la única intención de recoger los resultados económicos de una
campaña de phishing.
Los destinatarios a los que las mulas realizan los envíos de dinero no son los
responsables últimos de la estafa, sino que simplemente son otros escalones de la
organización, cuya misión se limita a recibir el importe transferido y a su vez remitirlo,
a otros niveles superiores de la organización criminal.
Con el dinero en poder de los niveles más altos de la organización criminal, se cierra el
ciclo del Phishing que, como se ha descrito, involucra a distintos actores en las
distintas fases de las que se compone, desde la preparación de la campaña y selección
de objetivos hasta la materialización del dinero y su recepción por los cibercriminales.
Junto con los datos de acceso a la banca online, otro de los objetivos a los que los
delincuentes le dedican un considerable esfuerzo utilizando diversos vectores de
ataque, como el diseño, creación y difusión de malware especifico, o la utilización de
redes botnets, es la información que aparece físicamente grabada en las tarjetas
bancarias. Estos son la numeración de la tarjeta, la fecha de caducidad y el
código de verificación, también conocido como CVC, CVC2 o CID (se trata de un
número de tres o cuatro cifras, que se solicita a fin de comprobar que se dispone
físicamente de la tarjeta bancaria durante la realización de procesos de compra a través
de plataformas electrónicas o telefónicas).
Con estos datos los ciberdelincuentes pueden realizar compras de productos o servicios
a través de Internet o mediante llamadas telefónicas. A esta actividad delictiva
se le conoce como carding o card no present fraud.
La vía más habitual para la obtención de estos datos, es su compra en mercados ilegales
a los que se accede mediante determinadas páginas web, foros o chat’s específicamente
dedicados a su comercio. Se describirá más detalladamente cómo se distribuye esta
información, en el siguiente punto dedicado al Skimming.
Los productos que suelen adquirir los delincuentes mediante la utilización de técnicas
de CNP Fraud, suelen ser aquellos que pueden ser fácil y rápidamente vendidos,
como equipos electrónicos, informáticos o teléfonos. También suelen utilizar este tipo
de fraude para la compra de billetes de avión u otro tipo de transporte.
Para este tipo de fraude suelen utilizar numeraciones de tarjetas bancarias extranjeras,
con la finalidad de alargar al máximo su utilización efectiva, conocedores del dilatado
tiempo que transcurre entre la materialización de una compra, el conocimiento efectivo
del fraude por su titular y el conocimiento por las autoridades de la estafa.
Skimming
Con la modificación del Código Penal llevada a cabo con la Ley Orgánica 5/2010, se
incluyó una nueva Sección del Capítulo II (de las falsedades documentales) dentro del
Título XVIII (de las falsedades) bajo el epígrafe «De la falsificación de tarjetas de
crédito y débito y cheques de viaje». Esta sección, la cuarta, se ha incluido un
único artículo, el 399 bis, donde se tipifica las conductas asociadas a fraudes con
tarjetas de crédito físicas.
Toda la actividad que rodea al Skimming, desde el diseño y creación de los elementos
electrónicos necesarios para la obtención de la información de las tarjetas, hasta la
retirada efectiva de dinero o la compra física de algún producto, la podemos englobar
dentro del término ciclo del Skimming, donde estarían incluidos la obtención de
los datos de las tarjetas, su duplicación y, finalmente su utilización física en
establecimientos comerciales.
Las técnicas que utilizan los Skimmers, se dirigen a conseguir disponer de dos
tipos de datos distintos, pero complementarios y necesarios para la utilización de
una tarjeta bancaria. Estos son, los datos que se incluyen en la banda magnética y
el número PIN que permite utiliza la tarjeta.
Tanto la pistas 1 como la 2, son únicamente de lectura, por lo que una vez
grabadas no se puede alterar su contenido.
En la falsa boca se instala una cabeza lectora para que, al pasar por ella la
banda magnética, grabe la información que contienen sus pistas. Al
situarse el falso dispositivo lector inmediatamente antes del auténtico, permite
que una vez copiados los datos, se produzca una autentica lectura por el
sistema electrónico del cajero, permitiendo al cliente continuar normalmente
con la operación solicitada. Esta característica, la de no interferir en el uso
normal de la tarjeta, incluida la extracción de dinero si fuera el caso, tiene como
objetivo que la manipulación no sea detectada, propiciando que más tarjetas sean
copiadas.
Para lograr un encaje perfecto de las falsas bocas lectoras, en ocasiones necesitan
instalarlas junto con los embellecedores y paneles que las rodean, por lo que el
proceso de construcción es mucho más elaborado y costoso, si bien necesario
para poder instalarlo con éxito sin llamar la atención.
Detalle de un falso embellecedor, donde se puede observar el orificio creado para situar
tras él la óptica de la cámara de vídeo.
En algunos casos se combinan las dos técnicas antes citadas, como cuando se
utiliza un grabador de tarjetas disimulado, a la vez que la obtención del número
PIN asociado, se realiza con la intervención de una persona que de manera
discreta observa el teclado, anotando la combinación numérica del PIN del
titular.
Distribución de la información
Ya con la información útil para sus propósitos, los delincuentes tienen que disponer
de capacidad y conocimiento técnico suficiente, además del material
específicamente destinado para clonarlas. Estas actividades las pueden desarrollar
los mismos integrantes de la organización delictiva que han sustraído la
información, otros delincuentes especializados en esta fase o, incluso, terceros a los
que venden la información sustraída a través de distintas vías, como anuncios en
páginas web’s o foros dedicados específicamente a este mercado, donde se suele
emplear el término Dump para referirse a los datos de las tarjetas bancarias. Los
precios se fijan en relación al tipo de tarjeta (Classic, Gold, Platinium,
Infinte, etc.) y al país o zona geográfica de origen.
Para efectuar la clonación física, es decir para crear tarjetas bancarias con la
información que han robado y con ellas poder efectuar compras en establecimientos
comerciales, la organización debe de disponer de diversas herramientas o, en su
caso, encargar este servicio a otro grupo criminal que disponga de ellas.
Generalmente, no utilizan los datos de las tarjetas robadas en el mismo país donde
las obtienen con el objeto de retrasar al máximo el momento en que su titular
denuncia su utilización ilegítima. Estos grupos criminales están tan bien
organizados y actúan con tanta coordinación, que se han detectado casos en los que
se realizaban compras con una tarjeta clonada en un país extranjero, apenas una
pocas horas después de haberse copiado su banda magnética en un cajero situado
en España.
Las técnica utilizadas para estafar a través de los distintos servicios de la red,
únicamente están limitadas por la imaginación del delincuente. La
característica que las define, es la exigencia en el uso de ingeniería social con la que
lograr ocasionar un engaño suficiente en la víctima, como para que acceda a realizar la
disposición económica y, con ello, el consecuente beneficio económico que obtiene el
autor de la estafa.
Es imposible mostrar en este manual todos los tipos de estafas que se pueden cometer a
través de la red, consideradas por lo tanto como estafas informáticas o ciberestafas.
Por este motivo únicamente se describirán un número limitado de ellas, por ser, quizás,
las más características y representativas.
Las cartas nigerianas, conocidas también como estafa nigeriana e, incluso como
scam 419 (hace referencia al artículo del código penal de Nigeria que castiga esta
actividad delictiva), es uno de los clásicos entre las estafas. Dirigida a ciudadanos de los
cinco continentes, no se trata de un nuevo tipo delictivo aparecido a la sombra de
Internet, sino que existía mucho antes si bien utilizaba para su comisión el envío de
manera física de miles de cartas.
Con la universalización en el uso del correo electrónico, los estafadores han visto
exponencialmente mejorada su capacidad de envío de comunicaciones, junto con un
abaratamiento muy significativo de la inversión y una mayor rapidez en el contacto con
las víctimas y la consecuente materialización de la estafa.
En los distintos tipos de mensaje que se incluyen en los correos electrónicos, siempre se
hace referencia a una muy importante cantidad de dinero proveniente de diversas vías
como herencias, subvenciones internacionales, robos etc. que se encuentra
depositada a disposición del remitente, el cual no puede hacerla efectiva directamente
por distintos motivos, obligándole a solicitar la ayuda del destinatario del correo, a
quien promete una importante comisión a cambio de recibirla en su cuenta bancaria.
Ante la potencial víctima, el autor del correo se puede presentar como familiar de un
dictador del tercer mundo o de un miembro de su gobierno fallecido o detenido, como
You can read more about the crash through the below site:
http://edition.cnn.com/2008/WORLD/africa/06/10/kenya.crash/index.html
After the burial of my father, my stepmother and uncle conspired and sold my
father's property to an Italian Expert rate which the shared the money among
themselves and live nothing for me. I am constrained to contact you because of
the abuse I am receiving from my wicked stepmother and uncle. They planned
to take away all my late father's treasury and properties from me since the
unexpected death of my beloved Father. Meanwhile i wanted to escape to the
USA but they hide away my international passport and other valuable
travelling documents. Luckily they did not discover where i kept my fathers
File which contains important documents. So I decided to run to the refugee
camp where i am presently seeking asylum under the United Nations High
Commission for the Refugee here in Ouagadougou, Republic of Burkina Faso.
One faithful morning, I opened my father's briefcase and found out the
documents which he has deposited huge amount of money in bank in Burkina
Faso with my name as the next of kin. I travelled to Burkina Faso to withdraw
the money for a better life so that I can take care of myself and start a new life,
on my arrival, the Bank Director whom I met in person told me that my
father's instruction/will to the bank is that the money would only be release to
me when I am married or present a trustee who will help me and invest the
money overseas. I am in search of an honest and reliable person who will help
me and stand as my trustee so that I will present him to the Bank for transfer
of the money to his bank account overseas. i have chosen to contact you after
my prayers and I believe that you will not betray my trust. But rather take me
as your own sister.
Although, you may wonder why I am so soon revealing myself to you without
knowing you, well I will say that my mind convinced me that you may be the
true person to help me. More so, my father of blessed memory deposited the
sum of (US$11.500, 000) Dollars in Bank with my name as the next of kin.
However, I shall forward you with the necessary documents on confirmation of
your acceptance to assist me for the transfer and statement of the fund in your
country. As you will help me in an investment, and i will like to complete my
studies, as i was in my 1year in the university when my beloved father died. It
is my intention to compensate you with 30% of the total money for your
services and the balance shall be my capital in your establishment. As soon as I
receive your positive response showing your interest I will put things into
action immediately. In the light of the above. I shall appreciate an urgent
message indicating your ability and willingness to handle this transaction
sincerely.
Según el mercado al que se dirija el correo, así será el idioma en el que se escriba. Las
traducciones suelen estar hechas con la ayuda de traductores online y, por lo tanto, son
fácilmente detectables por los errores gramaticales que cometen.
Mi buen amigo,
Saludos a usted
El primer objetivo buscado con el correo es, simplemente, que alguien conteste. A
partir de ese momento, los estafadores utilizarán todos los argumentos que sean
necesarios para convencer a su interlocutor de lo sencillo y beneficioso que es el
negocio propuesto. En principio no debe realizar ninguna gestión, salvo facilitar un
número de cuenta donde recibir la transferencia y enviar copia de su documentación
para realizar los necesarios procesos burocráticos.
Tras conseguir que se acepte participar en el negocio propuesto y cuando todo parece ir
bien, se persuade a la víctima para que adelante una, en principio, pequeña cantidad de
dinero con la que obtener algún permiso administrativo necesario para realizar la
transferencia, sobornar a determinados funcionarios, pagar algún impuesto, etc. Si
acepta y paga este primer requerimiento, le pedirán nuevas cantidades de dinero
justificándolas con distintos pagos necesarios para liberar el dinero. Esto se repite hasta
que, al final, la víctima se reconozca como estafada.
Manager of Operation,
International Transfer Dept
BCja Branch, Madrid
7 October 2012
This charge is mandatory and none deduct able according to banking rule
and regulation in our country. Note: based on the information above you are
advised to try and make this payment immediately or unfailingly, this will
enable our bank to credit your nominated bank account immediately this fee
is paid as this is only fee that is delaying your fund. We are sorry for the
inconveniences we put to you but you have to understand us. This order is
from the above. There is a charge for foreign transfer of huge sum both local
both local and international.
You are now to start making all the necessary arrangement on how you
make the above payment immediately to avoid confiscation of your total sum
by the Spanish government based on UN and EU banking policy that is
applicable until the date.
Thanks for your understanding and cooperation
Yours faithfully,
Dr. Evaristo Muñoz Marti
Bancaja Bank
Calle De Alcalá, 522 1ª -28027 Madrid, Spain
En algunas de estas estafas realmente elaboradas, los delincuentes llegan a crear una
falsa página web, con la apariencia de pertenecer a un banco real con domicilio
social en algún país occidental. Como parte del engaño, y para ganarse la confianza de
la potencial víctima, le informan que han trasferido a una cuenta abierta a su nombre
en esa entidad financiera, una importantísima cantidad de dinero (generalmente varios
millones de dólares). Para comprobarlo, solo tienen que acceder a través de Internet
con la palabra de paso y clave que le facilitan.
Premio de la lotería
Se trata de una variante del anterior tipo de estafa, distinguiéndose en que, en lugar de
una importante cantidad de dinero que alguien quiere compartir, el correo electrónico
que se recibe informa que se ha ganado un premio a la lotería nacional de un país u otra
gestionada por empresas privadas. (Si bien existen otros países a cuyas loterías se hace
referencia en las estafas, sin duda la lotería de España es la más utilizada como
reclamo).
From: [email protected]
Reply-to undisclosed recipients
Sent: 10/2/2012 4:04:41 A.M. Eastern Daylight Time
Subj: Good Day,
Good Day,
Your Email ID has won you the award sum of €1.Million
(Euros)in the Ongoing Online Email Award held in Madrid Spain on the 29th
of September 2012.
WInning Informations!!!
BATCH NUMBER: 09049-6657-2002)
LOTTERY DATE :(29TH OF SEPTEMBER 2012)
PLACE:(Madrid Spain).
For the Claim Process do send name and Contact Information also state the
mode of payment you will prefer.
1.Cheque
2.Bank Transfer
Congratulations!!!
Mrs.Helena Pirlo.
Existen también variaciones en este tipo de estafas, como la que hace referencia a un
premio Ganado gracias a la lotería de Microsoft.
A SU ATENCIÓN,
ESTO NO ES UN SPAM NI UN
VIRUS, QUIERE ENCUENTRAN
EN FICHERO LIGA LA
NOTIFICACIÓN DE SU
GANANCIA DE 250.000€ EN EL ÚLTIMO SORTEO.
MAIL: [email protected]
TELF: +7926(778)732
CORDIALMENTE
Para que la víctima crea realmente que ha sido agraciada con un sorteo en el que ni
siguiera ha participado, junto con el correo electrónico se le envían distintos
documentos, evidentemente falsificados, firmados por supuestos responsables de
organismos oficiales en los que se informa de la veracidad del premio y de los pasos que
han de seguir para poder hacer efectiva la cantidad ganada en la lotería.
Como se ha dicho, todo tipo de objetos pueden servir para estafar ya sean
anuncios de ordenadores, bicicletas, muebles, equipos de música, discos, robots de
cocina, juguetes, etc. Además, también se sirven de los anuncios online, para estafar en
servicios ofertados, como son los alquileres de pisos, estancias en casas rurales,
hoteles o, de forma global de vacaciones.
No obstante lo citado, quizás las estafas más recurrentes y que se han mantenido
activas desde hace más tiempo, son las relacionadas con las ventas de vehículos a
través de páginas especializadas en estos tipos de anuncios. De manera esquemática,
estos fraudes siguen el siguiente patrón:
Las medidas de precaución que toman los estafadores a la hora de publicar los
anuncios, hacen que no sea fácil averiguar desde qué lugar físico concreto se ha
realizado la publicación, evitando así su identificación. El pago por el anuncio a los
gestores de la página web, en el caso de ser requerido, se realiza a cargo de tarjetas
bancarias cuyas numeraciones han sido ilícitamente obtenidas.
De: [mailto:]
En nombre de
Enviado el: lunes, 18 de marzo de 2013 22:22
Para: undisclosed-recipients:
Asunto: 2002 Volkswagen Golf 1.9 TDI GTI, Ed.Especial, 150 CV, 119.000
Km, Diesel, Gris, 1.500 Euros
2002 Volkswagen Golf 1.9 TDI GTI, Ed.Especial, 150 CV, 119.000
Km, Diesel, Gris, 1.500 Euros
Vehiculo en perfecto estado, cambio por 4 puertas por familia, se puede llevar
a revisar, todas revisiones, correa, etc. en concesionario oficial, mejor ver para
juzgar.
Para que el comprador tenga información del lugar en donde se encuentra en cada
momento el vehículo, le envían un enlace web a una página a la que pueden acceder,
con un nombre de usuario y una password que también le facilitan, y desde la que
puede conocer la ubicación del vehículo. La falsa web va siendo modificada para que al
acceder la víctima, aparezca la información que en cada momento interesa a los
estafadores.
Poco tiempo después, el comprador recibe otro correo de la supuesta empresa escrow,
donde le comentan que el vehículo ha tenido algún problema administrativo.
Generalmente, se trata de que no puede cruzar una determinada frontera sin satisfacer
el pago de un impuesto. Para abonarlo, el comprador debe enviar el importe solicitado
a través de una empresa de envío internacional de dinero.
Ya efectuado el pago, poco después volverá a recibir otro correo donde, nuevamente se
le requiere más dinero para hacer frente a cualquier otro trámite. De abonar este
anuncios y esperar que sean las propias víctimas las que se pongan en
contacto con los estafadores.
La otra vía, como se ha citado, consiste en publicar en las páginas de contactos perfiles
que resulten atractivos, para que de esta manera sean otras personas las que deseen
iniciar una relación. Las cuotas o pagos que este tipo de páginas suele solicitar para
inscribirse y utilizar sus servicios, son pagadas utilizando los datos de tarjetas de
crédito robadas y compradas en el mercado del cibercrimen.
Las fotografías que se incluyen en los falsos perfiles pueden ser sacadas de Internet,
generalmente de páginas de modelos o de redes sociales. No obstante, en cada vez más
ocasiones, son imágenes de personas reales relacionadas con la organización
criminal, que se prestan a fotografiarse con el fin de propiciar la estafa a cambio de
dinero. El motivo por el que esta opción se está imponiendo, es debido a que al
extenderse este tipo de estafas y consecuentemente existir abundantes advertencias en
foros y web’s, las personas que contactan a través de estas páginas, suelen desconfiar
inicialmente, pidiendo a modo de prueba, fotografías personalizadas para comprobar la
veracidad de la amistad y la existencia de la persona contactada.
No solo son perfiles de mujeres los utilizados para las estafas relacionadas con
romancescam, con cada vez más frecuencia, los perfiles que se utilizan como ganchos
para las estafas, son de hombres interesados en conocer mujeres para iniciar una
relación seria y formal.
Novia Rusa
Dirigida a hombres, consiste en que una supuesta mujer joven y por supuesto muy
atractiva, que reside en un país del este de Europa (se están dando casos en que dice
estar residiendo en países occidentales) y quiere compartir experiencias o, incluso
entablar una relación seria destinada a contraer matrimonio.
Cuando detecta por los contendidos de los correos electrónicos, que la víctima tiene
interés en la relación, de forma muy sutil le insinúa que necesita dinero para
solventar gastos inesperados o para poder viajar y conocerse personalmente. De
enviarle el dinero, le solicitan más con cualquier excusa, como que sufrió un atraco,
que un familiar ha sufrido un accidente y ha tenido que darle el dinero que le había
enviado para pagar la atención sanitaria, que ha tenido que pagar una deuda de su
padre alcohólico, que se lo ha dado al dueño de la casa donde vive y evitar que la
desahucien, etc.
Suelen dirigirse a mujeres y son mucho más elaboradas y dilatadas en el tiempo que
las anteriores descritas. Exigen consolidar una previa relación de sincera
complicidad. Los estafadores representan perfiles donde se describen a sí mismos
como personas leales, serias, con hijos ya en edades adultas y con trabajos liberales
que les obligan a viajar por todo el mundo, por lo que es difícil tener una cita física.
Cuando la relación se va asentando y empieza a existir algo más que una amistad
epistolar, el estafador suele comentar que tras un viaje que tiene que hacer, irá a
conocerla personalmente y comenzar con la relación de manera real y oficial.
Poco después la víctima recibe una comunicación, remitida por un familiar, amigo u
otra persona con alguna relación con el supuesto novio, en la que le dicen que este
ha sufrido un accidente grave en el país donde se encontraba de viaje y que
necesita dinero inmediatamente para poder ser asistido médicamente. La cantidad
que piden no es mucha, si bien en cuanto la reciban, volverán a pedir más dinero
motivado por supuestos pago de soborno, material médico, gastos de repatriación
etc.
Además de ser uno de los métodos de estafa más difundidos, es uno de los más
efectivos. Se conocen como ROGUES a un tipo concreto de malware que,
generalmente, se instala de manera oculta durante la navegación por web’s poco
seguras o a través de descargas de ficheros desde páginas de descargas directas o
programas P2P.
Lo + recomendado
No dejes de leer…
Informe elaborado por Europol en el que se describen las características del fraude con
medios de pago.
Informe desarrollado por el Banco Central Europeo en el que hace referencia al fraude
ocasionado con medios de pago en la Zona Única de Pagos para el Euro (SEPA).
Accede a los artículos desde el aula virtual o a través de las siguientes direcciones web:
Documento sobre el estudio en la dirección electrónica:
http://www.cs.berkeley.edu/~tygar/papers/Phishing/why_phishing_works.pdf
Presentación sobre el estudio en la dirección:
http://www.cs.washington.edu/education/courses/cse484/09wi/lectures/masters/Phi
shingPresentation.pdf
No dejes de ver…
Operación conjunta entre Policía Nacional Española y de Bulgaria. Vídeo emitido por
las cadenas de televisión españolas, donde se hace un seguimiento al proceso de
instalación de un dispositivo skimming en un cajero automático.
Accede al vídeo desde el aula virtual o a través de las siguientes direcciones web:
https://www.youtube.com/watch?v=ogeHQGN1l-k
El siguiente reportaje advierte sobre los métodos que se emplean para duplicar tarjetas
de crédito y los riesgos que supone esa práctica.
Accede al vídeo desde el aula virtual o a través de las siguientes direcciones web:
http://www.youtube.com/watch?v=dHkq9OaHa-M
Accede al reportaje desde el aula virtual o a través de las siguientes direcciones web:
https://www.youtube.com/watch?v=EWOmPKZ4tnw
https://www.youtube.com/watch?v=yQCWmdRbzK4
Skimming
Accede a los vídeos desde el aula virtual o a través de las siguientes direcciones web:
http://www.youtube.com/watch?v=urrwUJjbi4A
http://www.youtube.com/watch?v=OrPNkuAWEyk
+ Información
A fondo
Webgrafía
APWG
http://apwg.org
INCIBE
https://www.incibe.es/formacion
CCN-CERT
El portal del CCN-CERT ofrece información actualizada sobre tipos de fraudes online y
Phishing.
https://www.ccn-cert.cni.es/seguridad-al-dia/noticias-seguridad/fraude-on-line-y-
phising.html
Interpol
https://www.interpol.int/es/Delitos/Delincuencia-financiera/Fraude-con-tarjetas-de-
pago
VISA
Página web VISA con información sobre la prevención de las estafas a través de Card-
not-present-fraud.
https://usa.visa.com/support/small-business/fraud-protection.html
Escrow-fraud
Web dedicada a compartir información sobre las falsas empresas Escrow. Cuenta con
una interesante base de datos en imágenes de webs utilizadas para el fraude.
https://www.escrow.com/
Western Union
https://www.westernunion.com/us/en/fraudawareness/fraud-types.html
Romancescam
http://www.romancescams.org
http://www.romancescam.com/forum/portal.php
http://www.scamdigger.com/gallery/index.php/
Scam letters
http://www.scamletters.com
Scam Warners
http://www.scamwarners.com
EMVCO
http://www.emvco.com
Test
1. Entre los estafadores considerados con tradicionales y los que cometen sus estafas a
través de Internet, existen grandes similitudes y diferencias. De entre las siguientes que
se citan, indica cuáles corresponden con los ciberestafadores.
A. Son necesarias grandes cualidades interpretativas o teatrales.
B. Requieren una previa y considerable inversión económica.
C. Asumen siempre riesgo físico.
D. Ninguna de las anteriores se corresponde con características de los
ciberestafadores.
2. En la redacción del Código Penal, se hace distinción entre dos tipos de fraudes
relacionados con Internet. ¿Cuáles son?
A. Según la cantidad estafada se dividen en estafas graves y estafas menos graves.
B. Los que cuentan con Internet como elemento facilitador de su comisión y las
identificadas como estafas informáticas.
C. Las que se cometen a través de correo electrónico y las que se realizan por vía
web.
D. Las estafas informáticas y las estafas tecnológicas.
3. Las acciones llevadas a cabo por delincuentes con el fin de obtener, por distintas
vías, la información necesaria para acceder de manera no autorizada a las cuentas
bancarias online de otras personas, se conoce como:
A. Skimming.
B. Piercing.
C. Phishing.
D. Carding
4. En este tema se ha dividido el ciclo del Phishing en tres fases. ¿Cuál de la siguientes
no se corresponde con una de ellas? (varias respuestas).
A. Captación de mulas.
B. Identificación de cuentas.
C. Traslado de efectivo.
D. Localización de víctimas.
10. Dentro del ciclo del Phishing, un correo electrónico en donde apareciera el texto
que a continuación se muestra, ¿en qué fase se incluiría?
A. Captura de datos.
B. Captación de mulas.
C. Trasferencia, monetización y envío.
D. Ninguna de las anteriores, no se incluye dentro del ciclo del Phishing, sino del
Skimming.
11. Si bien el acceso ilegítimo a las cuentas online de las víctimas para realizar las
transferencias y con ello materializar la estafa, se pueden realizar en cualquier
momento, ¿en qué franjas se suelen producir con mayor frecuencia? (Varias
respuestas)
A. En días laborables.
B. En días no laborables.
C. En horas laborables.
D. En horas no laborables.
Estimado amigo.
Sé que esta carta puede venirle como una sorpresa. Conseguí su dirección por un directorio Comercial local en la web.
Debo pedir perdón por tomar un poco de su tiempo valioso para explicarle esta oferta que creo será de la ventaja suma
a ambos nosotros.
Soy Ex,Capt David Amossou, el Director de Operación y la Entrega de Trans Seguridad y Compañía Financiera en
COTONOU – la REPÚBLICA DE BENÍN,
ÁFRICA DE OESTE En nuestra compañía descubrimos dos Caja Galvaniza y una de la Caja contiene una suma del USD
de 1,300,000.00 dólares (Once millón trescientos mil dólares americanos) y la otra caja que contiene 150 kilogramos
de Oro de 18 quilates que pertenece a uno de nuestro cliente extranjero Sr.Mohammed Al--Fuhard un libanés que
murió junto con su familia entera en un accidente de avión que ocurrió el jueves por la tarde como Boeing 727 salió del
aeropuerto en Cotonou, la capital comercial de Benín en las orillas del Océano Atlántico. En el 25 / 12 / 2003.Usted
mismo puedes confirmar en este dos sitio
Web:
http://www.cnn.com/2003/WORLD/africa/12/26/benin.crash/index.html
http://www.rfi.fr/actufr/articles/048/article_25680.asp
Ya que nuestra compañía consiguió la información sobre su muerte hemos estado esperando que su familiar más
cercano venga y reclame sus dos remesas porque no podemos liberar este remesas a alguien a menos que alguien los
solicite como familiar más cercano o relación a Sr., Mohammed Al--Fuhard como indicado en nuestras pautas de
compañía y leyes pero lamentablemente aprendimos que todos su supuesto el familiar más cercano murió al lado de él
en el accidente de avión no que deja a nadie para la reclamación y nuestro derecho de compañías y la pauta aquí
estipula que si tal remesa permanece sin reclamar después de dos años, tal remesa será confiscada como la propiedad
sin reclamar.
En este caso que no podemos localizar ninguna de su relación como su familiar más cercano, me gustará presentarle a
nuestra compañía como,el Socio de negocio de Sr, Mohammed Al--Fuhard Mohammed y su representante de familia y
asi todos los viejos documentos de Sr, Mohammed serán cambio en su nombre como el nuevo beneficiario de las dos
remesas. immediatamente concluimos el trato usted será autorizan al 50 % del total mientras el 50 % restante será mi
propio porcentaje. Esto significa 50/50
También querré informarle que todo el documento legal que cubrirá esta transacción será proporcionado legalmente
por un abogado respetable aquí en Cotonou sin problema niguno. Note: exijo la confianza más alta de usted para
guardar este negocio estrictamente confidencial para razones de seguridad y también querer que usted supiera que
nuestra compañía no sabrá que soy el que quién se puso en contacto con usted para significar esta reclamación.
Por fabor ponga en contacto conmigo via este correo urgentemente cuando recibir este correo E-mail:
[email protected]
A. Lotería.
B. Romancescam.
C. Nigeriano.
D. Novia Rusa.