Una nueva campaña de phishing ha sido detectada en España. Están intentando suplantar entidades bancarias como Caixabank o Santander a través de SMS, informando a los clientes de un problema con sus cuentas bancarias. Algo totalmente falso. El mensaje ha sido detectado por la compañía de ciberseguridad ESET.
El mensaje que suplanta al Santander dice: «Su cuenta ha sido bloqueada temporalmente por motivos de seguridad para activarla puede acceder de forma segura desde: [URL]». El que suplanta al banco catalán es similar, aunque presenta más errores: «Caixabank: Lamentamos informarle que su cuenta ha sido desativada.por su seguridad le rogamos que complete la siguiente verificacion: [URL]«.
Si bien es cierto que ambos mensajes son similares, no está confirmado que provengan de la misma fuente. Afortunadamente, son fáciles de detectar, especialmente el de Caixabank debido a que tiene numerosos errores en su escritura que lo delatan.
En este segundo caso, el propio perfil de Twitter de la entidad bancaria ha dado las gracias por el aviso y ha pedido que se les reenvíe la información sospechosa.
El objetivo: las credenciales de acceso y los códigos de verificación
Al Clicar en las direcciones que aparecen, te llevan a páginas web fraudulentas que pretenden hacerse pasar por las legítimas de las entidades bancarias. En ellas nos invitan a introducir diversos datos sensibles con el fin de obtener acceso a nuestras cuentas.
Tanto las credenciales de acceso, usuario y contraseña, como el código de verificación que recibimos por SMS por parte de nuestro banco para confirmar que efectivamente somos nosotros los que tratamos de acceder a la banca online.
La recepción del SMS con el código de verificación podría hacer creer a algunas personas que se encuentran frente a las páginas verdaderas de sus entidades bancarias, pero esto no es así. Si recibimos un SMS es porque con la información facilitada a la página phishing los atacantes están intentando iniciar sesión.
¿Cómo evitar el "phising"?
El phishing es una de las estafas más habituales por Internet. Los ciberdelincuentes tratan de obtener información personal y bancaria de los usuarios. Para lograrlo, envían mensajes suplantando a una entidad legítima como puede ser un banco, una red social, un servicio, una entidad pública, etcétera, para engañarles y manipularles a fin de que acaben realizando alguna acción que ponga en peligro sus datos. A continuación, te damos unas pautas para evitar las técnicas de phishing:
- Sé precavido ante los correos que aparentan ser de entidades bancarias o servicios conocidos como Facebook, empresas de mensajería o Agencia Tributaria. Estos contienen mensajes que no esperabas, que son alarmistas o extraños.
- Sospecha si hay errores gramaticales en el texto, pueden haber utilizado un traductor automático para la redacción del mensaje trampa. Ningún servicio con enviará mensajes mal redactados.
- Si el mensaje te obliga a tomar una decisión de manera inminente o en unas pocas horas, es mala señal. Contrasta si la urgencia es real o no, directamente con el servicio o consultando otras fuentes de información de confianza.
- Revisa si el texto del enlace que facilitan en el mensaje coincide con la dirección a la que apunta, y que esta corresponda con la URL del servicio legítimo.
- Un servicio con cierto prestigio utilizará sus propios dominios para las direcciones de email corporativas. Si recibes la comunicación desde un buzón de correo tipo @gmail.com, @outlook.com o cualquier otro similar, sospecha.
- Aplica la ecuación: solicitud de datos bancarios + datos personales = fraude.
