"Las entidades bancarias son uno de los principales ganchos de los ciberdelincuentes para cometer estafas y cualquiera puede verse envuelta en esta actividad maliciosa". Con estas palabras iniciamos la semana pasada un artículo en el que advertimos que el BBVA había vuelto a verse afectada por una nueva modalidad de fraude y ya hay dos nuevas entidades financieras salpicadas por casos de phishing: CaixaBank y Santander.
La voz de alarma la ha dado la compañía de ciberseguridad ESET, que ha explicado en qué consisten las campañas que están suplantando a estos dos bancos y amenazando a sus clientes.
CaixaBank: "phishing" recibido por SMS
Esta campaña utiliza los SMS como vector de ataque y se ha difundido a algunos usuarios españoles. El mensaje que reciben es bastante escueto y directo: indica que su cuenta de CaixaBank había sido desactivada y se nos solicita acceder a un enlace para realizar una verificación. Este enlace no está relacionado con la entidad bancaria y está acortado, siendo esto dos detalles que, como señala ESET, deberían hacer sospechar que es malicioso. "Pero como el mensaje es bastante alarmista y, supuestamente, se trata de algo relacionado con nuestra cuenta bancaria, es muy probable que más de un usuario ignore esta señal de alerta si recibe este SMS y es cliente de CaixaBank".
En caso de pulsar en el enlace, la firma de ciberseguridad indica que el usuario es redirigido a una página web que trata de suplantar el acceso a la cuenta de CaixaBank. Para ello, los ciberdelincuentes han imitado la imagen de marca de la entidad, usando su logo y sus colores corporativos, para que así sea más creíble y los usuarios accedan a introducir sus credenciales.
"Sin embargo, si revisamos la URL donde son redirigidos los usuarios comprobaremos que realmente pertenece a una empresa de construcción italiana cuya web ha sido comprometida para alojar esta web fraudulenta. Además, los delincuentes han obtenido un certificado de seguridad gratuito para que aparezca el candado de seguridad en la barra del navegador (algo que ya se ha convertido en habitual) y tratar de convencer a las víctimas de que se encuentran en un sitio seguro cuando no lo es", detalla ESET.
Si caen en la trampa e introducen sus credenciales de acceso a la banca online, el siguiente paso de los ciberdelincuentes es intentar obtener el código de enviado por la entidad a la hora de realizar una transferencia. "De esta forma podrán transferir dinero desde la cuenta de la víctima hasta otra controlada por ellos o por un mulero, suplantando la identidad de la víctima y robándole el dinero que tenga guardado en la cuenta".
Banco Santander: "phishing" recibido por correo electrónico
ESET explica que, en este caso, el "phishing" se difunde por medio de un correo electrónico que simula ser del Banco Santander y en el que se informa al destinatario que se va a proceder a aprobar un pago realizado en el extranjero a no ser que cancele la transacción accediendo al enlace proporcionado.
Tal y como señala la empresa de ciberseguridad, en este e-mail también hay varias señales que denotan que es fraudulento: la dirección de correo del remitente y la URL a la que redirige el enlace proporcionado, que nada tienen que ver con la entidad del Santander.
"De hecho, si accedemos al enlace proporcionado veremos que la suplantación de la web de acceso a particulares, puede llegar a confundir a más de un usuario despistado, si bien su diseño es diferente a la web legítima del banco.
"En esta web podemos ver que se nos solicitan datos como los del documento de identificación y la clave de acceso, datos que suelen utilizarse para acceder a la cuenta bancaria. Sin embargo, si nos fijamos en la dirección que aparece en la barra del navegador veremos como la URL no tiene nada que ver con el Banco Santander y que, por mucho que esta web tenga un candado indicando que la conexión entre nuestro dispositivo y esa web es segura, esto no significa que la web a la que estamos accediendo lo sea", concluye ESET.
A finales del pasado mes de abril, el Banco Santander también fue utilizado como el cebo de otra estafa y en esa ocasión se cometió mediante la técnica del vishing.
Cómo protegerse de estas amenazas
Para evitar ser víctimas de este tipo de ataques, puedes consultar las recomendaciones que ofreció Bitdefender el pasado mes de febrero, en medio de la ola de campañas de phishing con empresas de mensajería como gancho o esta web del Banco Santander en la que puedes encontrar mucha más información.