«La seva transferència per import de 998,50 EUR ha estat retinguda per motius de seguretat, si us plau verifiqueu-ho.» Amb aquest SMS, que suposadament va enviar ING a una clienta del banc, avisaven d’una transferència retinguda.Per a això, li demanaven les credencials a través d’un enllaç (es.ing-dierect.com). Després d’introduir-les, van trucar fent-se passar pel banc, i van informar-la de moviments sospitosos al compte i li van demanar dades per anul·lar les targetes bancàries.

Malgrat això, no era el banc qui trucava. En aquest cas, la tècnica que es va dur a terme va ser un atac de vishing o pesca per veu. Es tracta d’un frau que es fa mitjançant una trucada telefònica amb l’objectiu d’aconseguir les dades personals o bancàries d’una persona. Per obtenir aquesta informació, els delinqüents suplanten la identitat d’un tercer i aconsegueixen mitjançant l’engany les dades financeres. S’anomena vishing per la combinació de voice (veu) i phishing.

En revisar-ho, el domini de la pàgina web «es.ing.dierect» no és com el de la pàgina oficial. Fins i tot, si ara intentem accedir a aquest web, el navegador ens avisa que es tracta d’un lloc web sospitós.

Com és possible que els estafadors aconsegueixin les dades personals? Iván Forcada, expert en ciberseguretat, va explicar a Maldita.es que és possible que els ciberdelinqüents tinguessin les dades de la víctima abans de fer la trucada, per exemple, «mitjançant atacs personalitzats (com la pesca) o simplement perquè es venen al web fosc.»