No te fíes de los SMS o llamadas que llegan de BBVA o Santander: los ataques aprovechan el hilo de esos mensajes o tu DNI para engañarte

Phishing Sant
23 comentarios Facebook Twitter Flipboard E-mail

Cuidado con los SMS de tu banco. Lo normal es que los ataques de phishing llegaran a través del correo electrónico y trataran de engañarte para que hicieras clic donde no debías, pero ahora esos ataques van un paso más allá con el llamado 'smishing' y el SMS Spoofing.

Estos ataques son más delicados porque hacen que lleguen mensajes SMS en el mismo hilo de los mensajes legítimos de tu banco: de repente parece que el BBVA o el Santanter te avisan a través de sus hilos normales de SMS —aparentemente los mismos donde recibes mensajes normales— de un posible acceso no autorizado o de que tu cuenta ha sido desactivado. Para resolverlo, claro, solo tienes que hacer clic en un enlace, pero cuidado, porque ese enlace es el el peligro real.

Smishing y SMS Spoofing como nuevas amenazas

El propio Banco de España ha alertado de este tipo de fraudes con los que los delincuentes suplantan la identidad de los bancos para intentar acceder a datos e información privada del usuario.

El Banco Santander tiene de hecho una página informativa sobre estos ataques de ingeniería social, llamados también smishing, y que como comentábamos acaban tratando de engañarnos usando SMS.

Los atacantes suelen utilizar argumentos ya conocidos: te ha tocado algún premio o ha surgido un problema o amenaza en tu cuenta que puedes resolver directamente. ¿Cómo? Haciendo clic en el enlace que se suele incluir en el mensaje.

Son muchos los usuarios que en las últimas semanas han avisado por ejemplo en Twitter de cómo mensajes de bancos como el BBVA o el Santander llegan precisamente con ese tipo de textos.

Como se puede comprobar en esos mensajes, los enlaces que se incluyen son normalmente sospechosos desde el primer momento al usar por ejemplo dominios de países extraños (como Rusia, .ru) aunque hay otros más elaborados y que hacen uso de nombres dominio más creíbles (como el que intenta hacernos clicar en bbva-movil-seguridad.net).

En BBVA ya indicaron en Twitter que "no te enviaremos SMS con enlaces, ni te pediremos claves o datos personales", y de hecho terminaban diciendo que lo mejor que podías hacer con esos mensajes era eliminarlos directamente.

Al final, como indican en Santander, es importante no hacer clic en los enlaces a páginas web que nos envían a través de mensajería instantánea o SMS. Si tenemos dudas podemos abrir el navegador o la app móvil oficial de forma separada para acceder a nuestra cuenta y comprobar que todo está en regla, pero también podemos contactar con nuestro banco mediante una llamada de teléfono.

¿Cómo es posible que los cacos tengan tu DNI o teléfono? Eso hace más creíble el engaño

Además de este problema también se están dando otros problema importante: de repente te puede llegar una llamada en la que alguien se hace pasar por un empleado del Banco Santander o del BBVA (o de otro banco).

La cosa sería fácilmente descartable, pero es que ese supuesto empleado tiene tu nombre, tu DNI y tu teléfono. Eso, claro, hace dudar a cualquiera, porque esos datos efectivamente suele tenerlos el banco con el que operamos.

A partir de ahí el empleado te indica cosas como que ha habido un problema y que te van a enviar un SMS con un enlace para arreglar el problema. O te piden el código que te envía el banco para completar el proceso para arreglar el problema. ¿Qué hacemos?

De nuevo, nada. Ignorar la llamada y el mensaje y, en caso de dudas, llamar nosotros a nuestro banco, que con toda seguridad nos dirá que eso ha sido un ataque de phishing y que no existe problema alguno con nuestra cuenta.

¿Cómo es posible entonces que un ciberatacante tenga nuestro nombre, DNI y teléfono? Es muy probable que los haya obtenido de filtraciones de datos masivas como la que se produjo el año pasado entre los clientes de Phone House.

Allí se robaron 113 GB con teléfonos, direcciones y más, y ahora esos y otros datos son perfectos para que los ciberdelincuentes afinen estos ataques de ingeniería social y los hagan aún más sofisticados. Ocurrió recientemente con los mensajes falsos de la empresa de mensajería MRW, por ejemplo.

Como ya mencionamos en el pasado, ante estas llamadas lo importante es no hacer nada con urgencia. Román Ramírez (@patowc), experto en ciberseguridad y organizador del evento RootedCon, nos explicaba que lo importante ante una llamada de este tipo es que "la gente se enfríe y no haga nada inmediatamente". Los delincuentes tratan de manipular nuestros sesgos cognitivos y convencernos de que debemos actuar rápido y sin pensar.

Sin embargo eso es precisamente lo que no debemos hacer. Debemos tener sentido común y no tomar ninguna decisión inmediata. En cuanto nos tomemos un minuto para analizar el problema nos daremos cuenta de que con casi total seguridad ese problema no existe. Cuidado no obstante con estos fraudes, porque ciertamente cada vez son más peligrosos.


Comentarios cerrados
Inicio