BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate

¿Comercial de Movistar te pide un código enviado por SMS? Es un fraude para acceder a tu área de cliente

Joshua Llorach
Spammer llamando

El área de cliente de la web de Movistar permite autentificarse con un código enviado por SMS al móvil del usuario. Un nuevo fraude comercial utiliza este sistema usurpar la identidad de la víctima y tener acceso a sus datos de contratación.

Hemos visto todo tipo de prácticas deshonestas por parte de comerciales de compañías telefónicas, empleados de empresas situadas en los eslabones finales de la cadena de contratas y subcontratas que forman parte de las redes de distribución comercial de algunas operadoras. Su objetivo es conseguir a toda costa altas de nuevos clientes con el fin de obtener una comisión por venta que ronda los 100€ por cada nuevo abonado. Los medios empleados para ello importan poco, dado que una vez cerrada la contratación, el cliente perderá la pista del comercial que le vendió el producto por teléfono y cualquier reclamación irá a la operadora.

Algunos comerciales hace tiempo que han cruzado la línea de la legalidad y recurren al fraude, engañando al usuario con estafas como el timo de la doble llamada o el del router 5G. Sus técnicas son cada vez más agresivas, tanto que en algunos casos utilizan los datos facilitados por el cliente para usurpar su identidad y hacer gestiones en su nombre sobre su línea.

SMS para acceder al área de cliente de Movistar

Un nuevo tipo de fraude está afectando especialmente a los clientes de Movistar, dado la fragilidad de su sistema a la hora de validar el acceso de un usuario al área de cliente de su web.

Login Movistar por SMS
Formulario para identificarse en el área de cliente de Movistar mediante un SMS

En esta campaña el comercial llama en nombre de Movistar a un cliente para premiar su fidelidad a la compañía con una mejora de tarifa y un nuevo router más potente. Para confirmar que acepta los cambios ha de facilitar el código de seguridad que le va a llegar al móvil. En realidad el estafador introduce el número facilitado por la víctima en la web de Movistar, aprovechando que permite a sus clientes iniciar sesión con un código enviado al móvil. La víctima ve un SMS procedente del número 22335 y entrega este código al estafador creyendo que es él el que lo envió.

XXXX es tu código de seguridad para continuar. Este código no es tu contraseña. Recuerda que ningún operador te lo pedirá por teléfono.

Con este código el estafador accede al área de cliente de Movistar donde tiene acceso a los datos personales, los productos y tarifas contratados. En algún caso1 incluso se ha coaccionado al cliente desactivando algún servicio.

Movistar advierte en el mensaje que este código no debe facilitarse a terceros. Además como respuesta a los casos de fraude ha limitado los datos a los que se puede acceder con este tipo de autentificación.

  1. ocu.org/reclamar/lista-reclamaciones-pub…S01496092-61

💬 Comentarios

1
EmuAGR
2

El problema es que otras compañías lo hacen al revés (Jazztel). Sin código por SMS no pueden acreditar tu identidad.

Si cada empresa hace una cosa y la contraria, es imposible discernir qué es legítimo. Es como si Correos empezara a pedir pagos de aduana por SMS ahora.

lhacc
5

Recuerda que ningún operador te lo pedirá por teléfono.

Ya han hecho todo lo que podían hacer, más allá de eso es responsabilidad del usuario. En otras palabras, PEBCAK

vukits
1

Ya lo dije en mi post (no voy a enlazar, que parece que me hago autobombo).

Toda esta libertad de contratar al peso líneas geográficas SIP , llevará irremediablemente a facilitar ataques ciber.

Aún más cuando los que más pican son personas mayores.

Lo siguiente será directamente que te llamarán gente haciéndose pasar por tu banco.

🗨️ 18
rbetancor
1

¿Qué mas da que la contratación de la líneas sea SIP? … el que las provee es un operador, igual que los tradicionales, sujeto a las mismas leyes y normas.

Evitar el spam telefónico o las estafas es imposible … reducir su número o complicar su ejecución, si que es posible. Lo que no hay es voluntad ninguna de hacerlo.

🗨️ 15
vukits
1

Que se imponga normativa parecida (o se haga cumplir) como a la de lineas moviles: que cada linea tenga un propietario, ya sea persona o empresa.

No que la linea pueda revenderse varias veces que al final no sabes quién es el usuario.

Cuando hicieron estallar las bombas en Atocha , bien que apretaron las tuercas a las operadoras móviles ¿ o no?

🗨️ 14
Mick Diaz

Corrígeme si estoy equivocado, pero según la última Ley General de Telecomunicaciones, la numeración pertenece a la persona (física o jurídica).

Aunque en la práctica es distinto, por ley es así.

🗨️ 1
vukits
1

si, si.

si estamos de acuerdo en eso.

yo estoy contando mi caso,(ya publiqué en su día el tema) del que tengo evidencia documental y que ahi me dijeron que la linea pertenece a un mayorista, así con un par

rbetancor
3

Te repito, que los operadores VoIP tenemos que cumplir EXACTAMENTE la misma normativa que los "tradicionales" … que seamos realista, ya no existe, todo es SIP.

Nosotros no podemos dar de alta una numeración, sin tener los datos del cliente que la usa. Igual que tampoco puede Colt, Movistar, Orange, VF o PepeLosPalotesTelcom.

Si nos llega una petición judicial o de la CNMC para identificar al titular de una línea, se consulta en el CRM y se contesta … "Pablito El Que Clavó un Clavito, C/Su Casita s/n, 28008 Madrid" …

¿Qué es lo que no ves bien?

🗨️ 5
vukits

Como te acordarás del hilo que publiqué, como afectado por el spam telefónico mi experiencia ha sido opuesta a la que comentas.

Cuando hice mis consultas, la primera respuesta ha sido 'Xfera móviles' y ahi se acabó la cosa.¡Ese era el titular!

Tuve que insistir para que averiguaran que Xfera móviles revende a una empresa que revende a otra que al final revende a un tío de Perú.

De eso hablo.

En TCP/IP el equivalente de eso se le llama 'daisychain' de proxies, que usa el atacante para esconder su identidad.

Y sabes que si estoy hablando de las SIP es porque un tío de Perú no va a tirar un cable transoceánico para su linea.

Y lo que más me chirría es por qué puñetas se da un nro. geográfico español a un tío de ultramar : eso debería estar prohibido.

🗨️ 4
rbetancor
2
🗨️ 3
vukits
🗨️ 2
rbetancor
1
🗨️ 1
jpl678
1

Respecto a lo de la reventa, la empresa que lo hace será responsable solidaria o subsidiaria del mal uso que se haga.

Y si hay una solución fácil. Obligar a que las empresas que usan teléfono para hacer llamadas usen una numeración diferente a la de las personas físicas y/o a que exista un listado con los datos (empresa, nif, finalidad de la línea, etc.)

🗨️ 5
rbetancor

Obligar a que las empresas que usan teléfono para hacer llamadas usen una numeración diferente a la de las personas físicas

Eso es ridículo … ¿para qué? … ¿para que los abonados sepan que todas las llamada que DID empieze por 58 (por poner un ejemplo) son "acciones comerciales"?

que exista un listado con los datos (empresa, nif, finalidad de la línea, etc.)

Ya existe, se llama "Base de datos Páginas Blancas" y todos los operadores estamos obligados a facilitar los datos de los titulares de una línea a la asociación de entidades de portabilidad.

Muchos estás intentando plantear soluciones, que es como intentar ponerle puertas al campo … y que además muchas de ellas YA SE IMPLEMENTAN.

La solución es mucho más simple que todo eso … pero NO HAY VOLUNTAD política, ni técnica de ponerla en marcha.

🗨️ 4
jpl678
🗨️ 3
rbetancor
1
🗨️ 2
jpl678
🗨️ 1
Mick Diaz
1

Ya llaman haciéndose pasar por tu banco.

De hecho, la típica conversación es "Hola (tu nombre y apellidos), te llamamos del servicio de prevención de fraude de (tu banco), porque hemos detectado una actividad sospechosa con un montón de compras en tu tarjeta de crédito y tenemos que activar el protocolo de seguridad. para activar de nuevo tu servicio necesitamos que nos confirmes que eres tú enviándote unas claves"

Y entonces como ya tienen algún que otro dato tuyo además del DNI, empiezan a colarte que si bizum, que si compras online, y etc.

Yo mismo recibí una llamada de esas y estaba tan bien formulado que me hizo dudar pasados 10 segundos.

Los datos personales los sacan de cualquier cesión de publicidad que hayas hecho, de hecho ya hay casos de estafas en colaboración con gente que trabaja en el propio banco.

Así que cuidadín.

🗨️ 1
vukits

vaya tela.

kydoto2

Se agradece el aviso.

Cosmonauta
2

Si las empresas telco (y de suministros) quisieran, estas prácticas desaparecerían de un día para otro. Pero parece que no hay voluntad, o pasan de todo. El legislador de turno también podría intervenir, pero tampoco lo hace, o lo hace tarde y mal.

🗨️ 1
rbetancor
1

Ahí le has dado … lo que no hay es voluntad de solventar el problema, que no tiene nada que ver con que se pueda solucionar o no.

sergio8o

Yo siempre digo: "Estoy en la lista Robinson.".

Y dicen excusas: "Ahora llamo yo a At. Clientela."

🗨️ 1
lordman
1

A mi me han llegado a contestar con un… "¿que es eso?".

lordman

Esta en concreto no me ha llegado todavía, que lo hará… pero de MásMóvil/Yoigo con las llamadas de… ahora toca el que le llamamos por una actualización en su tarifa… me tienen harto.

Desheredado
1

Esto tiene una perfecta solución, lo que ocurre es que no hay voluntad política para aplicarla (hasta que un día el Parlamento europeo se levante con el pie derecho y lo arregle de un plumazo):

  1. Vincular a las compañías con el comercial y obligarlas a responder de las trapazadas de éste, a restituir las cosas a la situación anterior -a su costa- y a indemnizar por los daños. Y todo ello en un procedimiento ultrarrápido y sin recurso previo posible.
  2. Exigir la identificabilidad del comercial: un sistema seguro y homologado, debería enviar por SMS al usuario un código que permitiera a la Compañía en interés de la cual trabaja y a los poderes públicos identificar a ese comercial. Sin SMS, el usuario sabría que se enfrenta a un posible fraude; con el SMS, el fraude, de darse, es trazable. Y, naturalmente, cazado el responsable, picarle la cresta con todo el peso de la ley.
  3. Para garantizar el cumplimiento del punto 2, exigir que todos los comerciales estén ubicados en España o, en cualquier caso, en un país de la Unión Europea.
🗨️ 6
lhacc

Vincular a las compañías con el comercial y obligarlas a responder de las trapazadas de éste, a restituir las cosas a la situación anterior -a su costa- y a indemnizar por los daños. Y todo ello en un procedimiento ultrarrápido y sin recurso previo posible.

Sí, y si planto maría en casa le cae el pufo a Endesa

🗨️ 5
Desheredado

No parece que sea exactamente el mismo ni parecido supuesto, pero en fin… Lo que sí me llama la atención es que reacciones al primer punto, el que afecta de frente a la compañías -que, dada la previa voluntad política, sería el más viable: de más gordas ha montado el europarlamento-, y no digas nada sobre el tercero que es difícil no de implementar sino de lograr el consenso parlamentario para materializarlo.

🗨️ 1
lhacc

Reacciono al primer punto porque es el que más me ha chocado.

vukits

El ISP paga dinero al comercial.

No pueden negar vinculación.

🗨️ 2
lhacc
1

A mí nunca me ha parecido bien lo de culpar al ISP por los pufos del comercial, no tiene ningún sentido ya que el comercial tiene libre albedrío y sabe lo que está bien y lo que está mal. Sé que mucha gente no está de acuerdo así que nos podemos ahorrar el flame.

🗨️ 1
vukits

Tu argumentación es perfectamente válida y respetable.

Si bien, no estamos de acuerdo :P

1