Cuidado con los SMS de tu banco CaixaBank, Santander y BBVA: Descubierto un timo Smishing
Varias campañas de Phishing y Smishing están usando las identidades de entidades bancarias para robar a usuarios.
El WhatsApp de hace 20 años, los mensajes de texto o SMS parecían condenados a extinguirse para siempre en la realidad de los smartphones y las aplicaciones de mensajería. Pero he aquí que han encontrado una segunda vida, y son muy usados en la actualidad para, por ejemplo, recibir avisos de reparto de una agencia de mensajería, comprobaciones de un pago digital, o mensajes de tu entidad bancaria.
Pero, ¿y si esos SMS de tu banco no son verdaderos?
Phishing y Smishing con CaixaBank, BBVA, Santander
Como leemos en la OSI, la Oficina de Seguridad del Internauta, se han detectado “varias campañas de envío de correos electrónicos (phishing) y SMS (smishing) fraudulentos que suplantan a entidades bancarias como CaixaBank, Santander y BBVA”. Campañas cuyo objetivo es “dirigir a la víctima a una página web falsa para robar sus credenciales de acceso a través de diferentes engaños mediante técnicas de ingeniería social”.
Para ello, valiéndose de diferentes excusas, estos emails o SMS solicitan pulsar sobre un enlace que incluyen en el contenido del mensaje. Dicho enlace redirige a una página falsa que simula ser la página del banco y dónde se solicitan las credenciales de acceso.
Los correos electrónicos detectados se identifican con asuntos como:
- 'Número de cliente: # XXXXX / Actualización'
- 'ẞanco Santandɐr'
Aunque no se descarta que existan otros correos con asuntos similares y/o "que afecten a otras entidades bancarias además de las mencionadas".
Un clásico: Pedir datos privados
Cabe destacar que el contenido de los mensajes suele tener fallos gramaticales. Además es común que intenten apremiar al usuario mediante algún tipo de alerta, para que pulse apresuradamente en el enlace y así no tenga tiempo para pensar y analizar su contenido, en un ejemplo de ingeniería social.
Tras introducir las credenciales de acceso el usuario será redirigido a otra página donde se solicitarán más datos personales, como el número de teléfono o incluso datos de la tarjeta de crédito.
Al final del proceso, normalmente “se redirige al usuario a la página legitima del banco, para que el usuario crea que ha surgido un error en la propia web y por ello no ha podido acceder a su cuenta”, sin que sospeche que los ciberdelincuentes ya estarán en posesión de todos sus datos.
Contacta con tu entidad bancaria antes de abrir nada
Y es que no nos cansamos de repetirlo, porque siempre está bien recordarlo: Una compañía, entidad bancaria o servicio JAMÁS te va a pedir datos privados ni mucho menos contraseñas de esta forma, por email o mensaje de SMS.
Y si no estás seguro/a, contacta directamente con el servicio de atención al cliente -en este caso de las entidades bancarias involucradas a su pesar-, y pregunta. Verás cómo te responden que esos mensajes no son suyos.