Este es un tipo de ciberataque viejo, pero que por desgracia hoy en día sigue funcionando, no tanto como años atrás, ya que muchas de las entidades bancarias ya no verifican las operaciones de transferencia mediante un SMS, aunque si lo siguen haciendo los operadores de tarjetas bancarias para confirmar ciertos cargos o pagos online.

El ataqué en sí es muy sencillo, en una primera parte, a través de por ejemplo un phishing consiguen obtener: el usuario, la contraseña y el número de teléfono de cada una de sus víctimas. Con estos datos solamente podrían consultar el saldo bancario de las cuentas, ya que para ordenar una transferencia necesitan autenticación de 2 Factores - 2FA, o lo que es lo mismo, un segundo factor de autenticación además del de la contraseña, este puede ser: una tarjeta de coordenadas, otra contraseña distinta, un token en el móvil o un SMS con un PIN único para verificar la transferencia. Aquí es donde entra en juego el SIM Swapping, el PIN vía SMS es el eslabón más débil de todos los posibles 2FA.

Los cibercriminales solamente tienen que conseguir un duplicado de la tarjeta SIM de la víctima. Una vez tenga en su poder el duplicado de la SIM, la SIM legitima, es decir, la que tiene la victima introducida en su teléfono queda inoperativa y por lo tanto su teléfono queda sin cobertura. En ese momento introducen la SIM duplicada en un teléfono suyo (de los malos) y solamente tienen que esperar a que les llegue el SMS con el PIN que autoriza la transferencia fraudulenta.

Si estas pensando que esto a ti te da igual ya que solo tienes 8€ en la cuenta, a los cibercriminales sí que les da igual, ya que últimamente no les llega con desvalijarte la cuenta bancaria, sino que además, solicitan créditos rápidos en tú nombre a través de la propia página web de la entidad bancaria e inmediatamente vuelven a retirar esos fondos.

¿Cómo evitarlo?. No es fácil evitar ser víctima de este tipo de ciberataque, el primer consejo sería que tuvieras precaución a la hora de introducir tus contraseñas bancarias en un sitio falso, ya sea a través de un phishing o un pharming. Pero la realidad, es que los cibercriminales no descansan y cada día piensan en nuevos métodos para robarte las contraseñas. En el caso de la operación policial que os contaba anteriormente, en la que se detuvieron a 19 personas, la contraseñas bancarias las obtuvieron a través de un taller de reparación de teléfonos móviles con el que estaban en connivencia, así cuando alguien llevaba a reparar su teléfono roto no solo le limpiaban la pantalla sino que también le limpiaban la cuenta bancaria.

Una forma de darte cuenta que te están haciendo un SIM Swapping, es si ves que tu móvil se queda sin cobertura en una zona en la que siempre la tenías y otras personas de tu entorno de la misma compañía si tienen cobertura, además en este caso si intentas llamar por teléfono no tendrás línea pero si alguien te llama a ti se escuchará el tono sin que tú teléfono suene, este será un indicador de que alguien ha duplicado tu tarjeta SIM. Deberás ponerte en contacto rápidamente con tu compañía telefónica para confirmarlo e inmediatamente hablar con tu banco para que bloqueen las transferencias y la apertura de líneas de crédito en tú nombre a través de la banca online.

Cuando solicitamos de forma legítima un duplicado de la SIM, ya sea debido a que la nuestra está dañada o la necesitamos de otro tamaño, la tarjeta SIM vieja se cancela para que pueda funcionar la nueva, por ese motivo, cuando alguien hace un duplicado de tú SIM de forma fraudulenta tú te quedarás automáticamente sin cobertura, debido a que tu línea de teléfono estará asociada a la nueva SIM vieja. Si llamas pos teléfono a tu número y sale apagado significará que todavía no han intentado hacer ninguna transferencia o ya la han hecho, si por el contra da tono, significará que están en proceso de vaciarte la cuenta, habla rápidamente con tu entidad bancaria. Existe otra posibilidad que se llama “MultiSIM”, esto es poder disponer de dos tarjetas SIM físicas asociadas al mismo número, es decir, tener el mismo número de teléfono en dos dispositivos distintos, los cuales pueden recibir llamadas y realizar llamadas de forma indistinta, aunque también se podría utilizar esta tecnología para ejecutar ataques tipo SIM Swapping, el hecho de realizar la contratación de este servicio o la gestión de los códigos PIN no les resulta tan sencillo a los cibercriminales, por lo que normalmente se decantan por el primer método.

Ataque número 2: Secuestro de WhatsApp

Nunca compartas tu código de verificación de WhatsApp con nadie, ni siquiera con tus familiares o amigos. Si por algún motivo compartiste tu código y pierdes acceso a tu cuenta de WhatsApp, lee las instrucciones a continuación para recuperar tu cuenta.

Otro ataque completamente distinto al anterior y que también ya es muy viejo, es el secuestro y robo de una cuenta de Whatsapp con el código de seguridad o de registro de 6 dígitos recibido por SMS.

El procedimiento también es muy simple, quizás demasiado. Como sabréis Whatsapp por defecto no tiene contraseña. – ¿Entonces como sabe la aplicación de quien es cada cuenta?. – Muy fácil, realiza un inicio de sesión semitransparente para el usuario a través de su número de teléfono. Las cuentas de Whatsapp siempre están vinculadas a un número de teléfono, y para verificar que la persona que intenta iniciar sesión es el legitimo usuario de ese teléfono, la aplicación envía un SMS con un PIN (de nuevo, el mismo planteamiento que antes: SMS + PIN), en principio solamente el usuario del teléfono tiene acceso a ese PIN que le llega por SMS y puede iniciar sesión en Whatsapp. Puede que me digas que tú tienes Whatsapp y nunca has recibido ese SMS, en realidad si lo has recibido, pero no lo has visto. Si le has dado permisos a Whatsapp para que pueda leer tus SMS (Si, es uno de los permisos que te pide, ¿lo sabías?) será capaz de leerlo automáticamente e iniciar sesión sin que tú tengas que hacer nada.

El problema surge, cuando alguien utilizando cualquier tipo de estratagema te pide que le digas o envíes el número PIN que te llegó por SMS, por ejemplo, que te envío por error ese número y que era para él. Si tú le das ese número PIN, la otra persona podrá iniciar sesión en Whatsapp haciéndose pasar por ti, y lo que es peor, a ti se te cerrará la cuenta ya que Whatsapp solamente permite un inicio de sesión al mismo tiempo. Una ventaja del sistema de cifrado de Whatsapp, es que aunque te roben la cuenta de este modo, la persona que te la robó no podrá leer tus mensajes anteriores.

Me han robado o secuestrado la cuenta de WhatApp

¿Y el secuestro de Whatsapp? ¿Qué ganan robando una cuenta de Whatsapp a una persona cualquiera?

Aunque no lo creas, tu información privada como por ejemplo tus chats vale dinero, pero normalmente este ataque suele llevarse a cabo con dos finalidades principales. La primera para “fastidiar” a alguien, robándole la cuenta y dedicándose a enviar mensajes inadecuados a sus contactos, habitualmente llevado a cabo por jóvenes contra conocidos suyos. Aunque pueda parecer que se trata de una broma, se podría tratar de un delito de descubrimiento y revelación de secretos.

El segundo, para obtener dinero. ¿Cómo?, te estarás preguntando, de la forma más sencilla que te puedas imaginar: Se dedican a enviarle mensajes a todos tus contactos, haciéndose pasar por ti y diciéndoles que no digan nada, pero que tienes un grave problema económico, de salud o cualquier otro y que necesitas dinero de forma urgente, que por favor manden un poco de dinero a través del método que hubieran dispuesto. Un cierto número de tus contactos pensado que realmente te pasa algo, ya que creerán que están hablando contigo, realizarán el pago creyendo que te están ayudando.

¿Alguien está usando mi WhatsApp?

Si tienes acceso a tu cuenta y sospechas que alguien más la está usando mediante WhatsApp Web/Escritorio, te recomendamos cerrar las sesiones en todas las computadoras desde tu teléfono.

Cerrar todas las sesiones en WhatsApp

Puedes utilizar tu teléfono para cerrar la sesión de WhatsApp en todos los dispositivos a la vez, incluidos WhatsApp Web, WhatsApp Escritorio o Portal. Para ello, sigue estos pasos:

• Android: Abre WhatsApp, luego, toca Más opciones > WhatsApp Web > Cerrar todas las sesiones > CERRAR SESIÓN.
• iPhone: Abre WhatsApp, luego, pulsa Configuración > WhatsApp Web/Escritorio > Cerrar todas las sesiones > Cerrar sesión.

Fuente:

https://glider.es/whatsapp-mezclando-churras-con-merinas/