Se han detectado varias campañas de envío de correos electrónicos (phishing) y SMS (smishing) fraudulentos que suplantan a entidades bancarias como CaixaBank, Santander y BBVA, cuyo objetivo es dirigir a la víctima a una página web falsa para robar sus credenciales de acceso a través de diferentes engaños mediante técnicas de ingeniería social.
Recursos afectados
Usuarios que hayan recibido el mensaje, accedido a la web e introducido sus datos en la página web fraudulenta.
Solución
Si has recibido un correo o mensaje de estas características, accedido al enlace y facilitado tus datos de acceso (NIF, identificador, contraseña o número de teléfono), contacta lo antes posible con la entidad bancaria para informarles de lo sucedido. Además, te recomendamos modificar la contraseña de todos aquellos servicios en los que se utilice la misma y comenzar a usar contraseñas únicas por servicio.
Evita ser víctima de fraudes de tipo phishing siguiendo nuestras recomendaciones:
- No abras correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente. No contestes en ningún caso a estos correos.
- Ten precaución al seguir enlaces y descargar ficheros adjuntos de correos, aunque sean de contactos conocidos. Lo ciberdelincuentes se apoyan en estrategias de ingeniería social para hacerte caer en la trampa
- Revisa la URL de la página web. Si no hay certificado, o si no corresponde con el sitio al que accedemos, no facilites ningún tipo de información personal: nombre de usuario, contraseña, datos bancarios, etc.
Como en cualquier otro caso de phishing, extrema las precauciones y avisa a tus contactos para que estén alerta de los correos que reciban de origen sospechoso, especialmente, si contienen archivos adjuntos o como en este caso, enlaces externos a páginas de inicio de sesión.
- Cierra todas las aplicaciones o programas antes de acceder a su web.
- Escribe directamente la URL de la entidad en el navegador, en lugar de llegar a ella a través de enlaces disponibles desde páginas de terceros o en correos electrónicos.
- Si prefieres hacer uso de la app del banco para los distintos trámites, asegúrate de que descargas la aplicación oficial.
- No accedas al servicio de banca online desde dispositivos públicos, no confiables o que estén conectados a redes wifi públicas.
Aprende a identificar correos electrónicos maliciosos para no caer en engaños de este tipo con la siguiente infografía: ‘Cómo identificar un correo electrónico malicioso’.
Detalles
Se han detectado varias campañas de correos electrónicos y SMS suplantando a diferentes entidades bancarias, en las que a través de diferentes excusas solicitan pulsar sobre un enlace que incluyen en el contenido del mensaje. Dicho enlace redirige a una página falsa que simula ser la página del banco y donde se solicitan las credenciales de acceso.
Los correos electrónicos detectados se identifican con asuntos como: ‘Número de cliente: # XXXXX / Actualización’ o ‘ẞanco Santandɐr’ aunque no se descarta que existan otros correos con asuntos similares y/o que afecten a otras entidades bancarias además de las mencionadas.
Cabe destacar que el contenido de los mensajes suele tener fallos gramaticales. Además es común que intenten apremiar al usuario mediante algún tipo de alerta, para que pulse apresuradamente en el enlace y así no tenga tiempo para pensar y analizar su contenido.
Ejemplo 1:
Ejemplo 2:
Ejemplo 3:
Tras introducir las credenciales de acceso el usuario será redirigido a otra página donde se solicitarán más datos personales como el número de teléfono o incluso datos de la tarjeta de crédito.
Al final del proceso, normalmente, se redirige al usuario a la página legitima del banco, para que el usuario crea que ha surgido un error en la propia web y por ello no ha podido acceder a su cuenta, sin que sospeche que los ciberdelincuentes ya estarán en posesión de todos sus datos.
Fuente: Oficina de Seguridad del Internauta
