Me ha tocado. Víctima de phishing

 

 Justfind, justamente el miércoles 13 me pasó lo mismo que a ti. 
Recibí un sms de mi banco indicando que tenía operaciones pendientes de firma, justamente el lunes 11 había enviado documentación para traer un préstamo que tengo en otra entidad. 
Al estar a la espera de que me informarán de la operación, directamente no sospeché y accedí, puse mi usuario y clave de acceso pero me dejó en la web del banco. 
A la media hora me llaman desde el teléfono del banco (comprobé en la llamada el teléfono y efectivamente era el mismo teléfono) me facilitaron mis datos y me dijeron que eran del departamento de seguridad de la entidad y era por que habían estado intentado hacer movimientos con mi tarjeta y habían bloqueados las compras por que las cantidades eran muy altas y les había parecido sospechoso, que no me preocupara por que estaban ahí para ayudarme y ha proceder a cancelar los movimientos que habían intentado realizar, ahí empezó todo, me dijo que me asegurara de que tuviera la tarjeta encima, que no hubiera realizado ningún pago, etc, le confirmé que no que la tenía encima, me envío por sms un pin que necesitaba que se lo facilitase y que posteriormente necesitaba que entrase en mi app de seguridad del banco para proceder a la cancelación de los movimientos, el me iba dictando todos los movimientos que iba haciendo, en ningún momento sospeché por que parecía todo real, me iba indicando todos los movimientos que hacía pero a la inversa de lo que realmente era, en mi app de seguridad no puedo ver cuales han sido las acciones que he aprobado, al final de todo, esta persona me estafó 3000 euros, 4 extracciones de 500 euros en un cajero de la Caixa (2 de ellas clonó mi tarjeta y otras dos me creó una tarjeta de compras virtual) y una transferencia inmediata de 1000 euros a una cuenta de la Caixa, inmediatamente  bloqueé las tarjetas, fui a denunciarlo, también fui al banco y puse en conocimiento, bloquearon mis accesos a la banca online etc, ahora estoy a la espera de que me indiquen desde el departamento de fraude de mi banco como van a proceder, tengo dudas de si me devolverán el dinero, si hay algún seguro o algo, estoy completamente perdido

Cuando dices "sms de mi banco", ¿cómo sabes que era de tu banco?
¿De qué banco se trata si tiene transferencias inmediatas y usa todavía los SMS para confirmar operaciones?

El primer sms que recibo era Phising de mi banco eso me di cuenta después (indicaba el nombre de mi Banco en el SMS) ubo un primer mensaje  La transferencia inmediata me la envío está persona mientras hablaba con el a través de mi app de seguridad.

La MAC se puede cambiar y ponerte la que quieras ahí donde pone "Valor" en el Administrador de dispositivos de Windows. Los filtros MAC no sirven de nada ni siquiera en los routers.

Jeje, se me coló en la foto el último episodio (4º) de "Moon Knight" mientras lo veía en VLC.

El remitente de un SMS, mail o llamada puede elegirse al gusto del emisor y puede poner números o letras. En éste PHISHING de la imagen te pone emisor BBVA (arriba) y si queda duda lo vuelve a confirmar dentro del mensaje por 2ª vez y en el enlace por 3ª vez.

Fallo inicial: no estar apuntado a la lista Robinson tanto mail como teléfono. Nuestro teléfono circula por la red y entre empresas. Si nos apuntamos a Robinson les pasan el filtro, desaparece nuestro númerocon el tiempo y no nos llegan SMS.
1º fallo: Cuando mandamos nosotros un SMS, el remitente es nuestro número. Al ver que el remitente pone letras en vez de números, pensamos que sólo una entidad importante puede cambiar el remitente de un SMS dentro de la compañía telefónica y poner letras en vez de números. Esto da confianza y ya se creen el mensaje es cierto.
2º fallo: Pensar que un banco manda un enlace por SMS.
3º fallo: No leer el enlace para ver que no es la dirección del banco.
4º fallo: Dar clic al enlace. Necesario también porque aun creyendo que el SMS es bueno en los 3 anteriores, lo seguro es abrir el navegador, teclear la dirección del banco habitual y entrar a nuestra cuenta para comprobar que no hay ningún problema. Pero claro, es mucho trabajo y es más fácil dar clic al enlace.
5º fallo: No darse cuenta de que no es la web del banco sino otra similar.
- Desde aquí y una vez metida la contraseña ya se acabó y somos un robot. 

Se me olvidó decir lo de las faltas de ortografía. Estos delincuentes suelen ser extranjeros y diseñan sus SMS y webs usando traductores y tal. Luego en las llamadas recurren a algún español.
En la imagen hay muchas faltas ortográficas:
- Tras la palabra "cliente" debe haber un punto o dos puntos y seguir con mayúsculas.
- La palabra "encontrado" está mal empleada. Se debe decir "detectado".
- Tras la palabra "cuenta" debe haber un punto y seguir con mayúsculas.
- La palabra "deberia" no lleva tilde.

El banco para anular una operación fraudulenta no necesita pedir al cliente ninguna clave o sms para confirmar la operación. 

El error siempre es el mismo, no entrar directamente en la web o app del banco para verificar que todo esta correcto y si vemos algo que no esta ok, debemos llamar nosotros al banco.

Millones de usuarios de banca digital no saben todavía que un hacker puede simular una llamada o sms de un banco, estos clientes son carne de cañon.

Cierto. Es como si vas al taller de coches y el mecánico te pide tus herramientas. O como si vas a la oficina bancaria y te llegan códigos SMS de las operaciones que el cajero hace. En los bancos pueden hacer todo lo que quieran sin tu confirmación.

Por eso yo jamás navego en el móvil y en el ordenador tampoco escribo las direcciones. Siempre entro por un favorito o marcador ya establecido del navegador.

Cierto. Si ven números en el remitente desconfían, pero si ven letras se creen que es algo oficial.

Hasta donde yo se (si no estoy equivocado), el router de casa funciona con NAT/PAT por lo que la MAC que progresa hacia internet es la del router en el puerto ADSL o la PON (si es fibra) las MAC del portátil sea por cable o wifi no progresan a internet, para que se propaguen las MAC de los dispositivos hace falta túneles martini y eso no los contratamos los clientes normales.
Lo mas que pueden ver en el banco es desde que navegador accedes.

En la url que se muestra de ese sms es una url completa y puedes ver el dominio, pero hay recortadores de url y hasta que no pinches en ella yo no se la forma de ver la poder ver la url completa. Así que solo me vale la teoría de no pinches en enlaces, abre tus propios app, url,... y no los que te manden.

Han comentado de conectar el ordenador con un token que sinceramente no entiendo a lo que se refieren.

PD: ya me han bloqueado dos veces la carrefour pass y todavía no he pasado a darla de alta

¿Sólo 2 veces? Jajajaj

A mi me llevan bloqueando 2 años la cuenta de Amazon y me mandan un mail a la semana como mínimo. Lo "raro" es que nunca me di de alta en Amazon ya que siempre compro en eBay. Jeje.

Hasta que me harté y puse un filtro en el mail que todo lo que venga de "Amazon" vaya a la papelera.

Hace años, con años de diferencia también me bloquearon varias veces una cuenta en el banco santander de México, se ve que las oficinas de españa no me debían pillar muy a mano, veras tu como se entere hacienda

Que entidad bancaria es? 
Los bancos tienen un seguro para este tipo de percances. También tu seguro de hogar cubre estafas con tarjetas bancarias aunque suelen ser importes de 300-1000 euros. 
Tardaran y siempre te quedará si no estás de acuerdo o no te dan la razón acudir al juzgado.

Una pregunta, tenias antivirus en tu móvil? 

No, no tenía, pero tampoco tendrá mucho que ver no? Es una llamada entrante lo que hizo 

Cuando accediste al banco pinchaste un enlace que venía en el sms?, no pudiste entrar en el banco porque esa web era falsa y solo era para que facilitaras el usuario y la contraseña.

Si tuvieras un antivirus eficaz al pinchar en el enlace te saldria una alarma o no te dejaría ejecutar dicho enlace.