Estafes a través de Bizum com a exemples de frau dirigit

Cal tenir en compte algunes recomanacions a l’hora d’utilitzar aquest servei de pagament

La popularització del Bizum ha atret els ciberdelinqüents a usar aquest sistema de transferència de diners per perpetrar noves accions fraudulentes. En els darrers mesos se n’han conegut alguns casos.

Bizum: És un sistema de transferència de diners entre particulars a través del mòbil, és instantani, la majoria d’entitats bancàries no cobren comissió per fer aquesta transacció, i no cal donar el número de compte per a dur a terme transferències: només cal disposar d’un dispositiu mòbil amb connexió a Internet, tenir el número de mòbil i estar donat d’alta del servei de Bizum (normalment ja integrat a les aplicacions de les entitats bancàries o com a opció disponible en el seu web). Aquest 2020, amb la caiguda dels pagaments amb bitllets i monedes a causa de la pandèmia, ha tingut un gran creixement d’usuaris, passant dels 6 milions que tenia en acabar el 2019 als 12 milions actuals.

El que va tenir més ressò públic va ser el d’una xarxa de ciberdelinqüents que es feia passar per funcionaris de la Seguretat Social. La víctima rebia una trucada que li comunicava que se li anava a fer una transferència per valor de 400 €, i el motiu més habitual que es donava és que corresponien a un pagament de l’ERTO. Per fer més creïble la trucada, els delinqüents fins i tot donaven dades a la víctima com la seva edat, els noms dels seus fills, i inclús l’adreça de casa o el DNI. Els tràmits es feien a través de Bizum amb l’excusa d’agilitzar-los. Se li indicaven a la víctima uns passos senzills per donar-se d’alta a l’aplicació, i tot seguit un altre membre del grup enviava un missatge suplantant les sigles de la TGSS a la persona estafada sol·licitant-li admetre una transferència. La víctima admetia la transacció sense saber que en realitat estava acceptant fer una transferència a favor de l’estafador. Sortosament, la xarxa d’estafadors va ser detinguda fa unes setmanes a Màlaga.

Mesos abans, els afectats van ser residents a Espanya nascuts en altres països. Els trucaven des del seu país d’origen, i els demanaven informació fent-se passar per alguna institució del país natal de la víctima. Amb el coneixement d’aquestes dades, al cap d’uns dies tornaven a telefonar la víctima, però ara dient que es tractava d’una operadora de telefonia i amb unes ofertes irresistibles, i guanyant-se la confiança gràcies a la informació que tenien sobre la persona. Per rebre ràpidament la compra, la transferència calia fer-la a través de Bizum. Ja podeu endevinar el final de la història: la persona estafada feia la transferència, però encara està esperant que li arribi el producte adquirit. Un apunt sobre aquesta qüestió: Bizum és un servei que s’ofereix a Espanya, però no hi ha cap problema en fer una transferència a mòbils estrangers sempre que tinguin associat un compte bancari espanyol.

També s’han conegut casos d’estafes a través de portals de compra d’objectes de segona mà. El comprador ha fet el pagament per avançat amb Bizum, però el venedor que li havia de fer l’enviament desapareix després de rebre els diners i sense haver remès la compra.


Frau dirigit

Sobretot en el cas de la Tresoreria de la Seguretat Social sorgeixen de seguida algunes preguntes que ens poden inquietar: com és que els ciberdelinqüents sabien que la persona que tenien a l’altre costat de la línia es trobava en situació d’ERTO? Com podien conèixer els noms dels seus fills? I la seva adreça? I el número de telèfon mòbil? La resposta a totes aquestes qüestions, si més no en la majoria de víctimes, és ben senzilla: a través de tot allò que publica a les seves xarxes socials.

Els delinqüents no han ni tan sols de cometre la pràctica il·legal de comprar dades en el mercat negre digital, sinó que les mateixes víctimes els serveixen la informació en safata. D’aquesta manera, dirigint-se a la persona pel seu nom, i donant-li algunes dades personals, és molt més fàcil fer caure la víctima en l’engany. És un frau dirigit. També és probable que s’obtingui informació nostra des de pàgines d’internet més enllà de les nostres xarxes socials.

Enginyeria social: Conjunt de tècniques basades en la manipulació psicològica i emocional que s’utilitzen per a aconseguir que usuaris autoritzats de la xarxa infringeixin els protocols de seguretat habituals i revelin informació confidencial, pròpia o aliena.

Pretexting: Elaboració d’un escenari o història fictícia, on l’atacant intenta que la víctima comparteixi informació que, en circumstàncies normals, no revelaria.

Vishing: Frau que s’inicia amb una trucada en la que l’atacant es fa passar per una organització o persona de confiança per tal que la víctima doni informació privada o la introdueixi en alguna pàgina web que se li indica.


Prevenció

En les situacions explicades, Bizum va ser només el canal utilitzat. A Bizum, com a tal, fins al moment no se li han trobat vulnerabilitats, i el seu nivell de seguretat va directament lligat al que tingui l’aplicació de l’entitat bancària a través de la qual fem (o ens fan) la transferència.

No obstant, és important tenir en compte alguns consells. La majoria tenen a veure amb el sentit comú, i també ens poden ser útils per evitar altres tipus de fraus digitals.

  • Alerta amb tot allò que publiqueu a les xarxes socials. Eviteu les dades més personals i sensibles. Reviseu la configuració de la privacitat dels vostres perfils.
  • Practiqueu periòdicament l’egosurfing, és a dir, cerqueu quina informació sobre vosaltres surt a Internet posant el vostre nom als cercadors. Si descobriu que hi ha dades personals vostres que s’han publicat sense consentiment, contacteu amb la persona, empresa o institució responsable d’aquell lloc web perquè les elimini.
  • En una trucada, si teniu el més mínim dubte que pot ser un engany, no li doneu cap mena d’informació personal i pengeu.
  • Si apareix el número en pantalla, es pot fer una recerca per Internet per intentar esbrinar si aquell número està relacionat amb algun frau.
  • Poseu-vos en contacte amb la font oficial per comprovar la veracitat de la informació que us han donat per telèfon (en l’estafa explicada, hauríem de penjar el telèfon sense donar informació personal i, en tot cas després, si ens queda el dubte, verificar si l’organisme suplantat usa Bizum).
  • En cas de confirmar que la trucada era fraudulenta, bloquegeu aquell número de telèfon perquè no us pugui tornar a trucar.
  • No actueu per impulsos: és freqüent que els ciberdelinqüents presentin la situació com una urgència, amb accions que cal fer immediatament per resoldre-la.
  • Tinguem clar que cap organisme oficial usa Bizum per fer pagaments.
  • Assegurem-vos abans de fer un pagament en un web de comerç electrònic que aquest web és fiable, i, si existeix l’opció, evitar fer la compra a través de Bizum, ja que la transferència és instantània i és pràcticament impossible tirar enrere l’operació.

En cas de ser víctima d’un frau (o d’haver-nos equivocat a l’hora de fer una transferència monetària):

  • Poseu-vos en contacte amb la vostra entitat bancària el més aviat possible per saber si es pot aturar la transferència o si hi ha algun tipus de solució per recuperar els diners.