24 Mar 2015

Los estafadores hackearon Skype, engañaron a los amigos de la víctima y consiguieron 5.000$

Consejos Noticias

Nota editorial: Sergey Dolya, el autor de este post es uno de los blogueros más populares de Rusia. Hace poco esta historia ha implicado a uno de sus amigos. La víctima fue Katya Turtseva, una empleada de alto rango de una compañía internacional TIC. Mencionamos esto para resaltar que en este caso específico, la víctima sabía un par de cosas sobre seguridad.

Hace poco hackearon la cuenta de Skype de una amiga. Los estafadores decidieron aprovechar esta oportunidad para engañar a personas de su lista de contactos para sacarles dinero, y ¡en tan sólo una hora recibieron más de 100.000 rublos (unos 1.500$)!

Skype

Para beneficio de los cibercriminales, había muchas personas en su lista de contactos: unas 300. Los estafadores decidieron pedir prestado a sus amigos pequeñas cantidades de dinero, 15.000 rublos (unos 250$) que se les ‘devolvería’ al día siguiente. De hecho, esta es la cantidad máxima que Yandex Money (un sistema de pago popular en Rusia) permite transferir cada vez.

El plan era simple: ‘Katya’ quería comprar algunos artículos por Internet pero no tenía dinero en su cuenta de Yandex Money. Esta estrategia tuvo éxito e hizo creer a sus contactos que estaban hablando con la víctima. Decidieron transferir el dinero sin llamar a su amiga; incluso algunos de ellos mandaron dinero dos veces.

Esta es una de las conversaciones que los estafadores (E) tuvieron con uno de los amigos de la víctima (V):

E: De acuerdo. Iré al grano: necesito tu ayuda.
V: ¿Qué ha pasado? ¡Suéltalo! Y mándame una foto.
E: Necesito un préstamo hasta mañana.
V: ¿Cuánto necesitas? Puedo enviarte dinero, si tengo suficiente en mi cuenta.
E: 15.000 (rublos).
V: Claro, por supuesto. ¿A dónde te lo envío?
E: Gracias.
V: ¿Cómo lo mando?
E: Necesito pagar con tarjeta pero no tengo dinero en mi cuenta. ¿Lo puedes pagar tú?
V: Sin problemas.
E: www.yandex… (el link a la página de pago).
V: Necesito saber la cuenta del banco del destinatario.
E: Hey! ¿Dónde estás?
V: Estaba cambiándole el pañal.
E: Oh! Aquí lo tienes:…(número de cuenta de los estafadores).
V: Le haré una foto a la factura y dormiré a Vanya. Está llorando.
E: De acuerdo, estaré conectada.
V: Ok.
E: Oh Lena, ahora que lo pienso. ¿Tienes otros 15.0000? Si no, no pasa nada, ¡ya me has ayudado mucho! Pero si los tienes, mañana te devuelvo los 30.000 más las comisiones.

 

Cuando todo salió a la luz, ya era muy difícil hacer algo para arreglar el problema.

Se tardó unos días en comunicar con el servicio de soporte de Skype: los empleados necesitaron más de 24 horas para entender qué había pasado. Cuando descubrieron que la cuenta de Katya había sido hackeada, le enviaron un link con un formulario de recuperación de la contraseña, ignorando totalmente la parte de la carta en la que Katya explicaba que los estafadores también habían cambiado el correo electrónico asociado.

Después, el servicio de soporte pidió a Katya que cumplimentara el formulario de verificación, dos veces. Era el tercer día desde el comienzo de este caso de estafa, y los defraudadores seguían enviando sin parar sus solicitudes a través de la lista de contactos. El servicio de soporte rechazó bloquear la cuenta de Katya hasta que fueran capaces de aclarar la situación de pies a cabeza.

Al final, Katya respondió correctamente todas las preguntas del formulario de verificación excepto una: cuándo se creó tu cuenta de Skype. El servicio de soporte decidió que la situación era demasiado complicada y ¡le recomendaron que creara otra cuenta! Para entonces, los estafadores ya habían robado unos 5.000$.

Mientras tanto, uno de los amigos de Katya intentó conseguir un reembolso. Bloqueó su tarjeta y pidió a su banco que cancelara el pago. Su petición fue formalmente aceptada. El banco confirmó que nunca había trabajado con esta tienda antes y le pidió que presentara una denuncia en la policía local. Su banco solicitó una copia de la denuncia para iniciar la investigación del caso.

La policía le dijo que volviera al banco otra vez: además de otro montón de documentación, necesitaban un documento de su banco que dijera que la investigación se había puesto en marcha. Hubo muchas idas y venidas en relación con este tema. Estaban tratando con un departamento de policía local que no tenía experiencia en una situación como ésta. La policía local dijo a la amiga de Katya que debería enviar su solicitud a la oficina principal de la policía de Moscú.

Después de esto, la amiga de Katya llamó a su banco otra vez. Su tarjeta estaba bloqueada así como la transferencia, pero estaría paralizada hasta que el vendedor solicitara el dinero. Cuando la investigación realmente empiece, solicitarán la devolución del dinero del banco del vendedor. La posibilidad de conseguir una solución exitosa a este problema parece ser un sueño imposible.

Cuando otros usuarios intentaron escribir a los estafadores directamente, éstos no creyeron que la policía haría algo significativo al respecto. Obviamente, entendían claramente la imperfección del sistema legal ruso combinado con la política de seguridad de Skype:

— ***, chicos, dadnos una entrevista, al menos a través del chat.
— ***, Vete a la***, no me calientes la*** cabeza).
— Vamos, queremos saber. Katya dice que habéis conseguido 100.000 rublos
— Dicen que ha ido a la policía. Que Dios la bendiga allí… Soy afortunado con mi anonimato.
— Es poco probable que pueda hacer que pierdas tu anonimato a través del chat.
— Me estás molestando.

Parece ser que lo único que puedes hacer en este caso es preservar la seguridad de tus cuentas.

Aquí tienes unos pocos consejos:

  • El mejor y más evidente consejo, y a la vez el más ignorado, es ¡utilizar una contraseña fiable! Todo el mundo lo sabe pero aún hay mucha gente inconsciente por ahí.
  • No utilices la misma contraseña para cuentas distintas. Si lo haces, cuando uno de los servicios web está en peligro puedes perder todas tus cuentas.
  • Utiliza la verificación en dos pasos para proteger tus cuentas. En este caso recibirás un pequeño código a través de SMS o un correo electrónico para utilizar una segunda contraseña.
  • No hagas clic en enlaces sospechosos: hay muchas páginas en la web que roban tus datos. Se llama phishing. Además, no respondas los mensajes de contactos desconocidos.