Portada
mis comunidades
otras secciones
#1:
Repito aquí el comentario que he puesto en bandaancha al respecto:
A quien han robado es al banco.
El banco es responsable de asegurarse que es el titular quien ordena la retirada de dinero, si tiene alguna duda puede exigir al cliente que acuda a una oficina con el DNI. Si no lo hace es el banco quien está asumiendo el riesgo y a quien han robado.
Así lo indican múltiples sentencias en contra de la banca, sentencias como éstas:
https://elfarodeceuta.es/sentencia-banco-condenado-devolver-dinero-estafa/
https://www.elnortedecastilla.es/valladolid/condenan-banco-santander-20230210181934-nt.html
https://elpais.com/economia/negocios/2022-07-03/los-tribunales-de-parte-de-las-victimas-de-phishing-bancario.html
…
Si el banco no reestablece el saldo del cliente es cuando hay que denunciarlo.
A quien han robado es al banco.
El banco es responsable de asegurarse que es el titular quien ordena la retirada de dinero, si tiene alguna duda puede exigir al cliente que acuda a una oficina con el DNI. Si no lo hace es el banco quien está asumiendo el riesgo y a quien han robado.
Así lo indican múltiples sentencias en contra de la banca, sentencias como éstas:
https://elfarodeceuta.es/sentencia-banco-condenado-devolver-dinero-estafa/
https://www.elnortedecastilla.es/valladolid/condenan-banco-santander-20230210181934-nt.html
https://elpais.com/economia/negocios/2022-07-03/los-tribunales-de-parte-de-las-victimas-de-phishing-bancario.html
…
Si el banco no reestablece el saldo del cliente es cuando hay que denunciarlo.
#10:
#9 El SIM swapping forma parte de un ataque dirigido. Se hace el SIM swapping cuando ya se tienen todos los datos que citas de la víctima, cuando ya se le ha hecho por ejemplo phishing, por SMS por ejemplo, recopilando con ese ataque las claves que indicas.
Replican la apariencia de la web oficial y usan una excusa para que la víctima introduzca sus datos y sus claves, por ejemplo pidiéndole que valide que no desea recibir publicidad validando esa petición con su clave de firma.
Ya con esos datos se hace el ataque de SIM swapping y se hace la operación fraudulenta en la que al banco se le roba ese dinero.
Los ataques pueden estar muy bien hechos, el otro día me mandaron un SMS indicando que eran de correos y que necesitaban que verificase mi dirección postal para entregarme un paquete, como es habitual hoy en día tenía algunos paquetes pendientes de recibir así que me lo creí. Accedí por el enlace del SMS, rellené con mis datos personales en lo que creía que era la web de correos, y en la segunda página me pedía un pago de creo 80 céntimos, momento en el que me di cuenta que era un ataque de phishing. Pero mis datos personales ya los había introducido en el formulario anterior.
Soy el tipo de perfil que no debería caer en este tipo de ataques, de hecho he hecho reportes a más de una docena de registradores de dominios por intentos de ataque de phishing que me han intentado hacer de todo tipo de bancos, de la mayoría de los cuales no soy cliente. Y aún así en este de correos me pillaron en un mal momento y caí lo suficiente como para darles mis datos personales. Nadie está a salvo de cometer errores así.
Dicho esto la responsabilidad cuando hablamos de dinero en el banco es siempre del banco salvo que pueda demostrar que el cliente ha sido cómplice o ha tenido una negligencia que va más allá de caer en ataques de calidad como el que acabo de describir.
c/c #6
Replican la apariencia de la web oficial y usan una excusa para que la víctima introduzca sus datos y sus claves, por ejemplo pidiéndole que valide que no desea recibir publicidad validando esa petición con su clave de firma.
Ya con esos datos se hace el ataque de SIM swapping y se hace la operación fraudulenta en la que al banco se le roba ese dinero.
Los ataques pueden estar muy bien hechos, el otro día me mandaron un SMS indicando que eran de correos y que necesitaban que verificase mi dirección postal para entregarme un paquete, como es habitual hoy en día tenía algunos paquetes pendientes de recibir así que me lo creí. Accedí por el enlace del SMS, rellené con mis datos personales en lo que creía que era la web de correos, y en la segunda página me pedía un pago de creo 80 céntimos, momento en el que me di cuenta que era un ataque de phishing. Pero mis datos personales ya los había introducido en el formulario anterior.
Soy el tipo de perfil que no debería caer en este tipo de ataques, de hecho he hecho reportes a más de una docena de registradores de dominios por intentos de ataque de phishing que me han intentado hacer de todo tipo de bancos, de la mayoría de los cuales no soy cliente. Y aún así en este de correos me pillaron en un mal momento y caí lo suficiente como para darles mis datos personales. Nadie está a salvo de cometer errores así.
Dicho esto la responsabilidad cuando hablamos de dinero en el banco es siempre del banco salvo que pueda demostrar que el cliente ha sido cómplice o ha tenido una negligencia que va más allá de caer en ataques de calidad como el que acabo de describir.
c/c #6
Comentarios
Repito aquí el comentario que he puesto en bandaancha al respecto:
A quien han robado es al banco.
El banco es responsable de asegurarse que es el titular quien ordena la retirada de dinero, si tiene alguna duda puede exigir al cliente que acuda a una oficina con el DNI. Si no lo hace es el banco quien está asumiendo el riesgo y a quien han robado.
Así lo indican múltiples sentencias en contra de la banca, sentencias como éstas:
https://elfarodeceuta.es/sentencia-banco-condenado-devolver-dinero-estafa/
https://www.elnortedecastilla.es/valladolid/condenan-banco-santander-20230210181934-nt.html
https://elpais.com/economia/negocios/2022-07-03/los-tribunales-de-parte-de-las-victimas-de-phishing-bancario.html
…
Si el banco no reestablece el saldo del cliente es cuando hay que denunciarlo.
#1 Pues le va a llevar un tiempo de reclamos
#2 No tiene por qué, a un conocido le robaron así una suma importante, reclamó al banco, como es obvio, ya que este señor nunca quiso tener banca online y le obligaron a usarla cuando le cerraron su oficina. En un par de semanas le restituyeron el saldo.
En esta espiral de lowcost de mierda en la que vivimos, los bancos como el resto de empresas, por ahorrar costes, no estan invirtiendo lo necesario para dar a los clientes de banca online la misma seguridad que se tenía en una oficina tradicional con un señor que te solicitaba el dni y te miraba la cara a ver si eras tú.
Ellos son los culpables si te roban aprovechando las vulnerabilidades de su operativa online, y como es logico tienen que indemnizar, además, si no me equivoco tienen seguros para estas cosas.
Que la operadora de móviles que ha propiciado un robo de identidad, pague tambien multa y daños si procede, no es excluyente.
#17 Conozco casos dónde han robado dinero con un dni que no era suyo. O han sacado información sin ni siquiera dni. Está lleno el mundo de casos de hacking social. De hecho seguro que es el primer nivel de seguridad en caer, el que depende de un humano.
#1 Y es que aquí hay un claro fallo de seguridad del banco.
Con mi banco, aunque tuvieran mi sim, para entrar en la aplicación hay que poner una contraseña. Y para hacer cualquier transacción, otra contraseña diferente. Imposible que me pudieran hacer eso.
#9 El SIM swapping forma parte de un ataque dirigido. Se hace el SIM swapping cuando ya se tienen todos los datos que citas de la víctima, cuando ya se le ha hecho por ejemplo phishing, por SMS por ejemplo, recopilando con ese ataque las claves que indicas.
Replican la apariencia de la web oficial y usan una excusa para que la víctima introduzca sus datos y sus claves, por ejemplo pidiéndole que valide que no desea recibir publicidad validando esa petición con su clave de firma.
Ya con esos datos se hace el ataque de SIM swapping y se hace la operación fraudulenta en la que al banco se le roba ese dinero.
Los ataques pueden estar muy bien hechos, el otro día me mandaron un SMS indicando que eran de correos y que necesitaban que verificase mi dirección postal para entregarme un paquete, como es habitual hoy en día tenía algunos paquetes pendientes de recibir así que me lo creí. Accedí por el enlace del SMS, rellené con mis datos personales en lo que creía que era la web de correos, y en la segunda página me pedía un pago de creo 80 céntimos, momento en el que me di cuenta que era un ataque de phishing. Pero mis datos personales ya los había introducido en el formulario anterior.
Soy el tipo de perfil que no debería caer en este tipo de ataques, de hecho he hecho reportes a más de una docena de registradores de dominios por intentos de ataque de phishing que me han intentado hacer de todo tipo de bancos, de la mayoría de los cuales no soy cliente. Y aún así en este de correos me pillaron en un mal momento y caí lo suficiente como para darles mis datos personales. Nadie está a salvo de cometer errores así.
Dicho esto la responsabilidad cuando hablamos de dinero en el banco es siempre del banco salvo que pueda demostrar que el cliente ha sido cómplice o ha tenido una negligencia que va más allá de caer en ataques de calidad como el que acabo de describir.
c/c #6
#10 Gracias!
#10 yo los sms ni los miro ya, porque entre fraudes de correos y, que he sido patrocinado para ser otorgado una bonificación de 400 lerus por Hacienda... Llevaré unos 60 o más en lo que va de año
#10 Y la pregunta es, si ese SMS se envió desde un número español, y los números españoles deben estar identificados ¿a qué está esperando la policía a detener a la persona que te envió ese SMS por estafa?
Lo mismo con las llamadas "comerciales" que no dejan de ser estafas puras y duras, diciendo que llaman en nombre de una compañía cuando no es cierto.
#13 goto #29. Y si te refieres a que no exista siquiera SMS de confirmación, eso sería peor todavía. Al menos con él los ladrones tienen que montar todo el tinglado que comenta #10.
#10 En parte pensar que no te puede pasar a ti hace que te confies, en todo caso, prefiero ver a las personas como si fueran una probabilidad. La probabilidad de que piques lo mismo es del 10% o del 1%, o del 0,1%, eso solo significa que lo mismo te pillan en un día tonto y cuela.
Por eso es que esos ataques tienen tanto éxito, si envías un correo a 500 personas, alguna picará...
#9 no te creas. Para hacer un sim swapping necesitan saber tu DNI y teléfono. Con esos datos consigues la sim. Después ya es un poco de labia para que la banca por teléfono te resetee el password o te lo envíe al teléfono.
#11 Verificacion a que tlfno, si has perdido la SIM o el tlfno? Un segundo telefono como el segudno correro de recuperación?
Con el DNI tambien hay muchos problemas faciles de resolver. Samuel de Policia siglo XXI esta pidiendo algo tan sencillo como una lista de DNIs denunciados para que se comprueben antes de utilizarlos para comprar, etc.
Un que le robaron el DNI, tiene que ir detras de las delitos que se hacen con él y reiterar que le robaron el DNI como el dia del la marmota.
#21 Te podrian mandar la contraseña a casa. Pero si saben la direccion y que hasta las 2 no llega a casa pueden mirar el buzon todos los dias y coger la carta no es muy dificil.
#22 hay soluciones. Pero los bancos implementaron la más sencilla y barata para ellos.
Hoy por hoy, lo ideal sería tener un dispositivo físico otp, y que para activarlo tuvieses que ir en persona a una oficina.
#22 Pero filtras. Que al menos quede para gente que se monte operaciones de película, y no unos putos canis.
#9 Lo que te dice #21, "He perdido la contraseña", y te la mandan al móvil.
Dependiendo de cómo lo tengas configurado tu proveedor de email, hasta el correo electrónico te pueden birlar para validaciones recibiendo un SMS con el código en tu móvil.
El teléfono móvil es uno de los principales canales y vectores de validación de cara a proveedores de servicios, con un SIM-Swapping te joden vivo.
#9 #21 Y además si compras con tarjeta muchos bancos no te piden clave alguna, no? Si alguien tiene los datos de tu tarjeta a día de hoy se va a topar con la barrera de la clave que mandan por SMS, pero si tienen un duplicado de tu SIM...
#30 Y además si compras con tarjeta muchos bancos no te piden clave alguna, no?
Cada banco establece el límite con el que se sienten cómodos para no pedir el PIN y a su vez deciden en cada ocasión si lo piden o no se haya o no superado el límite. Es el banco quien decide asumir más o menos riesgo aspirando a que se utilicen más esas tarjetas para cobrar comisiones de ello.
#9 hace 3 meses hice una compra en una página web en la que había comprado anteriormente con mi tarjeta, cada vez que realizo una compra me obligan a introducir un código para confirmar el pago, esta vez me pusieron un sobre coste de portes de 60€ (que luego aparecía en una letra muy pequeña) cuando lo vi en la factura dije no pienso confirmar. Esa vez el banco no exigió confirmación (banco Santander) y se realizó el pago.
Dije cancelo la comprar. Imposible al minuto el paquete ya estaba en camino y les resultaba imposible a deportesvillage realizar la cancelación.
Le dije al banco que cancelase la compra y su respuesta fue que los pagos con tarjeta son una cosa de la que el banco bla bla bla.
Acabé recuperando 20€ porque el paquete tardó en llegar no se 10 días después de lo previsto.
A si, que los fallos de seguridad del banco son...
Con todos mis respetos al estafado, ¿ahora se entera de que la APD no le va a devolver el dinero y que tiene que poner una demanda?
La multa a su compañía telefónica tendría que ser secundaria, lo primero es recuperar el dinero
#15 De hecho para muchos trámites que tienen que ver con recuperar pasta o reclamarla, indemnizaciones, etc, lo primero es poner una denuncia.
No pongáis la info de vuestras cuentas y tarjetas en el móvil.
#4 Hay banca que no ofrece alternativa, por ejemplo con N26 si quieres entrar desde el ordenador te exige que accedas a la app del móvil e introduzcas tu contraseña allí para validar el acceso desde el ordenador.
#4 #5 creo que pusieron por ley doble verificación para todos los bancos. Y la forma de conseguirlo de manera general ha sido contraseña+sms con un código.
CC: #13
#18 #14 Correcto. Pero buscad una banca online que no use los SMS como factor de autenticación. O, como mínimo, que solo los use como canal para pedir un secreto al usuario, y no al revés.
#8 Ser pobre funciona
Coñas aparte, lo que dice #19 también. Si el sistema de validación de tu banco para algo es un simple SMS vamos mal. Lo mínimo sería que fuera un SMS + Algo o sin SMS.
Tener un móvil moderno también ayuda mucho. ¿Toda esa gente que te dice "no sé para qué cambiar de móvil, si mi Nokia 3310 todavía funciona"? Pues ni puto caso, Android garantiza ¿5? años de actualizaciones de seguridad; luego estás potencialmente vendido si una vez tu móvil es vulnerable y lo usas para navegar por Internet o le metes apps, sobre todo si no son oficiales.
Así que o tienes un móvil con la seguridad al día y no le metes mierdas o tienes dos móviles, uno exclusivamente para temas del banco.
#5 No sé cómo será en otros bancos, en ING intentaron forzar el uso de la app, pero luego la letra pequeña ofrecía un sistema de SMS para verificación (que es como yo lo tengo puesto).
Toda la seguridad basada en doble verificación se va al garete si fuerzas a que todo pase por el mismo dispositivo. La teoría es que la clave la conoces tú, el acceso lo haces en un punto, y la verificación se envía a otro. Si todo pasa por el móvil, el modelo de doble verificaciónfracasa.
CC #14
#4 No tiene nada que ver, que yo sepa. El SIM Swapping no requiere tener acceso a tu móvil. Los ladrones consiguen engañar a tu compañía para que les mande un duplicado de tu tarjeta SIM, colocan esa tarjeta en su móvil, la activan y a partir de ahí los mensajes de confirmación por SMS para las transferencias les llegan a ellos, no a ti.
Si consiguen ese duplicado lo único que necesitan es los datos de tu tarjeta o tu clave de acceso a tu banco online, y eso lo pueden conseguir sin tener acceso a tu móvil.
#6 Tienen que tener bastante información previamente, sí. No sólo para poder seleccionarte como víctima y saber qué duplicado solicitar, también para engañar a la compañía telefónica de turno haciéndose pasar por ti. No sé cómo lo harán pero sencillo no parece.
Aquí se explica como lo hicieron https://bandaancha.eu/articulos/digi-recibe-primera-sancion-proteccion-10532
Recomiendo leer el párrafo (y lo que sigue) que empieza por:
“ La verificación en dos pasos que usan las entidades bancarias y otros servicios para autentificar a sus clientes..”
Los bancos tienen un sistema de claves, aparte del sms
Pero me pierdo con esto ¿cómo saben el teléfono de esta persona y después los bancos?¿Tienen ya los datos de antes y por eso piden la SIM? Y claro, el DNI...
#6 algo así debe ser
#7 Basicamente mi preocupación es como evitar que me pueda pasar esto.
#8 Puedes intentar gestionarlo, pero no sé yo si debería ser una gran preocupación. A día de hoy tus datos están en todas partes, no sabes si esos datos han salido porque hayan robado datos, por ejemplo, de una administración.
Y por eso, amigos, no es bueno vinculsr la banca online con tu teléfono.
#13 un usuario precavido se ahorra mucho tiempo utilizando la aplicación de banca online. Debemos hacer caso en no atender ningún. SMS pidiendo datos y menos aún atender llamadas telefónicas de nuestro banco pidiendo las claves de usuario o de acceso, sea quien sea, aunque lo conozcamos. Con esa precaucion dudo mucho te puedan robar dinero suplantandote.
EL origen de todo, lo que no se puede permitir es que pueda duplicar una tarjeta sim, poniéndote un sombrero , unas gafas y un bigote postizo. Debería de ser mucho más dificil y muy muy fácil implementarlo. Solicitud con el dni en la boca, verificación por llamada telefónica, y enviarlo por correo al domicilio.
#11 Seguramente el que acepta el trámite, asumiendo que no es complice, es alguien que lo toma como algo rutinario, ni será un especialista en detectar DNIs falsos, ni se fijará mucho en la foto, si acaso mira que haya algún parecido... y eso si se acuerda de pedirlo.
No me extrañaría ni que tuviera su parte de ingeniería social, lo mismo te enfadas y amenazas con liarla o poner una reclamación, o le cuentas una milonga de que tu madre está muy enferma, necesitas el móvil, y al final el empleado de turno te dice que no debería, pero te hace el favorcillo...