26.10.2023 - 21:40
|
Actualització: 26.10.2023 - 21:48
En Paco, de Barcelona, va fer una reserva en un hotel a començament d’aquest mes per a passar uns quants dies del maig de l’any que ve a Malmö, Suècia. L’emplaçament i el mes són clau: és quan es fa el festival d’Eurovisió. En Paco n’és un gran fanàtic i ho va voler reservar amb molta antelació. Poc després, va rebre un missatge del xat de Booking. L’hotel li havia escrit per dir-li que havien de cancel·lar-li la reserva perquè havien detectat un error en la verificació del mètode de pagament. En el missatge també li facilitaven un enllaç per a verificar-lo, i això li permetria de mantenir la reserva. En Paco tenia por de perdre la cambra i, per tant, Eurovisió. Ja hi havia poques habitacions per a aquelles dates a Malmö. No en va dubtar cap moment: el missatge era de l’hotel i mitjançant la web de l’agència de viatges, i va accedir a facilitar les dades bancàries. Poc després va saber que havia estat víctima d’una estafa de pesca de credencials (coneguda per phishing).
En Paco és una de les desenes de clients que han estat víctimes de la darrera estafa de Booking. Aquesta és força inèdita i molt difícil de detectar, perquè trenca els esquemes dels exemples més recents i això fa que s’hi pugui caure fàcilment. Aquestes darreres setmanes, la xarxa s’ha omplert d’usuaris denunciant casos semblants.
En què consisteix l’estafa?
Els ciberdelinqüents fan servir la plataforma de Booking per a cometre l’estafa. Concretament, entren dins el sistema informàtic i es fan passar pels hotels. Els missatges els envien pel xat de la mateixa plataforma. Són texts ben escrits i ben estructurats, no pas els típics correus electrònics farcits de faltes d’ortografia i provinents d’adreces sospitoses. “No et pots refiar de res ni de ningú. Aquest cas és l’inici de les estafes d’alt nivell. Són molt ben fetes. Sempre s’ha de verificar la informació, estàs obligat a contrastar-la”, explica Bruno Pérez, expert en ciberseguretat.
El mètode consisteix a comunicar al client que ha de fer una suposada verificació del mètode de pagament per tenir assegurada la reserva. En el text hi adjunten un enllaç extern que el client ha de clicar per incloure-hi la informació bancària. En el missatge que va rebre en Paco, l’hotel deia: “Si us plau, entreu els detalls del vostre pagament i espereu la verificació” i “Booking carregarà l’import de la reserva al vostre mètode de pagament i al cap d’un minut us el retornarà – aquest és el mètode de pagament”. Els ciberdelinqüents també li van dir que aquest procés no era cap pagament ni cap dipòsit: “Tu pagues directament quan arribis a l’hotel.”
Segons Pérez, en aquest cas, el problema està en l’enllaç. “S’ha de mirar el domini. El problema és que la gent no té formació i tothom navega per internet sense saber com funciona. S’envien dominis estranys i després ens els mengem amb patates. La gent llegeix el domini d’esquerra a dreta, però es llegeix de dreta a esquerra”, afegeix.
El banc va aturar la transacció
“Primer vaig rebre la notificació al mòbil. Després ho vaig mirar a l’ordinador a la pàgina oficial de Booking. Com que també me’l vaig trobar, vaig abaixar la guàrdia i hi vaig caure”, explica en Paco. Va accedir a l’enllaç i el van redirigir a una passarel·la de pagament que tenia el logotip de Booking. En el seu cas, havia de pagar 2.289 euros. Poc després, el banc li va notificar per SMS que li havien aturat la transacció i li demanaven que verifiqués l’activitat de la targeta de crèdit. En Paco els va trucar per a dir-los que tot era correcte, moment en què li van dir que el pagament era de 2.600 euros –una quantitat més alta– i que el compte de destinació era d’un banc amb seu a Nigèria.
En Paco va posar-se en contacte amb Booking i li van confirmar que no havia de fer cap pagament i que telefonarien a l’hotel. Mentrestant, a la passarel·la de pagament, va començar a rebre en un xat tot de missatges que l’instaven a confirmar la transacció. També li va tornar a escriure l’hotel demanant-li que truqués al banc. Poc després, l’hotel li va enviar un missatge en suec dient-li que no fes cas dels missatges anteriors, és a dir, els dels ciberdelinqüents.
“Va anar de poc que no perdés prop de tres mil euros, però per sort el banc em va aturar la transacció i no va passar res”, diu en Paco, que ha explicat el cas a Twitter i ha pogut constatar que no és pas l’únic estafat.
De qui és la responsabilitat? Es poden recuperar els diners?
“A qui demanes la responsabilitat? A l’hotel, perquè no té ben protegits els sistemes, o a Booking, perquè no té un bon sistema d’identificació?”, es pregunta en Paco. Per Pérez, en aquesta estafa la responsabilitat és de l’hotel: “Li han entrat al servei i li han agafat les dades dels clients. Per tant, té l’obligació de posar-se en contacte amb tothom.”
Si sou víctimes d’un ciberatac, Pérez recomana de donar de baixa les targetes bancàries, monitorar els moviments, fer un informe pericial, reclamar responsabilitats i presentar una denúncia a la policia. L’altre maldecap dels clients és si hi ha la possibilitat de recuperar els diners perduts. I això, malauradament, és com jugar a la loteria. “Tinc casos que són iguals, amb la mateixa estafa, i hi ha entitats que han respost i n’hi ha que no. Hi ha molts factors. També depèn de la pressió que facis i la relació que hi tinguis, els productes contractats…”, explica Pérez.
Aquests darrers anys, les entitats bancàries s’han blindat amb l’objectiu de fer front als ciberatacs i els sistemes acostumen a detectar moviments sospitosos. A en Paco, per exemple, el van advertir que era a punt de fer una transacció poc habitual. A parer de Pérez, com més va més estafes hi ha i encara no hi ha prou mitjans per a combatre-les. Insisteix que els usuaris han d’estar més atents als missatges que reben. “Fa molts anys que avisem que s’ha de vigilar què cliquem. Hem de començar a fer servir la tecnologia amb responsabilitat. Si no tens clar l’enllaç, s’ha de consultar. L’estafador s’aprofita de la immediatesa i aquest és el gran error que cometem”, destaca.