¡atención usuarios!
Falsos perfiles de bancos en Instagram: cómo los hackers roban dinero mediante el "scraping"
Alertan sobre una nueva estafa que apunta a los nuevos seguidores de las cuentas oficiales de un banco, para intentar engañarlos y así obtener sus claves de homebanking, robar dinero y solicitar préstamos preaprobados.
La empresa dedicada a la seguridad informática ESET, analizó un nuevo caso de fraude bancario.
El mismo tiene como objetivo el robo de credenciales de acceso a homebanking -también conocido en algunos países como banca electrónica o banca online- que no solo son utilizadas para vaciar la cuenta bancaria con pequeñas transferencias a otras cuentas, sino también para sacar un préstamo preaprobado a nombre de la víctima y robar también el monto otorgado.
La víctima se queda sin dinero, con las cuotas a pagar del préstamo y un litigio judicial con el banco para intentar demostrar que no fue el titular de la cuenta quien realizó dichas transacciones.
Los estafadores utilizaron distintos esquemas de engaño para el mismo objetivo: obtener las claves de acceso a la banca online. En este caso, la campaña e se lleva adelante a través de Instagram.
El web scraping (o ‘raspado’ web), es una técnica para extraer información de sitios web de forma masiva y mediante scripts automatizados. Si se aplica la técnica de scraping a las redes sociales, se puede obtener de forma masiva todo tipo de información pública, como los likes de una publicación o incluso la lista de seguidores de una cuenta pública. Desde ESET aclaran que si bien el uso de estas técnicas va en contra de los términos y condiciones de la mayoría de las redes sociales, lo cierto es que no hay ninguna medida técnica que impida hacerlo.
Los atacantes utilizan un script de scraping para obtener la lista de seguidores de las cuentas oficiales de bancos e instituciones financieras, minutos más tarde corren nuevamente ese script y comparan ambas listas para identificar los usuarios nuevos.
De forma automática un ‘bot’ desde una cuenta falsa que simula ser la entidad financiera, contacta a estos usuarios haciéndose pasar por un asesor virtual y les solicita que envíen sus datos. Dado que probablemente muchos de estos usuarios además de seguir la cuenta oficial le enviaron un mensaje privado, caen en el engaño cuando la cuenta falsa los contacta.
