Cada día las ciberestafas se vuelven más peligrosas y sofisticadas, hasta el punto de que ya estamos viendo ataques que combinan mensajes SMS y llamadas de teléfono para robar claves de la banca online. Es uno de los objetivos más preciados, y no se escatiman medios para conseguirlo.
Hemos visto que el salario de un ciberdelincuente llega a ser muy alto, y eso ha llevado a una mayor profesionalización. Las campañas masivas de mensajes o emails han perdido efectividad, pues los usuarios conocen estos fraudes, así que han dado el paso a estrategias mucho más elaboradas, con varios pasos.
Recientemente, se han visto ataques de phishing contra CaixaBank, que es de imaginar que también afectará a otros bancos. La estafa comienza con un SMS bastante habitual, que habla de "intentos de acceso sospechosos a su cuenta" para generar alarma:
La ortografía del SMS deja algo que desear, aunque los siguientes elementos sí están muy cuidados. Además, a causa de las diferentes vulnerabilidades del protocolo de los SMS, los mensajes falsos parecen venir del mismo remitente que los que el banco haya enviado en el pasado.
Al pulsar el enlace, una web falsa nos pide el usuario y la contraseña de la banca online, además del número de móvil asociado, algo clave para entrar en la banca online.
Lo llamativo es que nos avisa de que un operador nos llamará para confirmar los datos, algo relativamente novedoso en estas situaciones, y que genera más confianza en las víctimas.
Cuando nos llamen, se harán pasar por un gestor de CaixaBank, e incluso llegan a falsificar el número teléfono. Aunque nos llamen desde un número largo a través de Internet (VoIP), se consigue modificar el nombre del remitente para que aparezca el número real de atención al cliente de CaixaBank.
El ciberdelincuente pedirá las claves de la banca online, gracias a las que podrá hacer operaciones como el propio cliente. Es decir, va a realizar pagos y envíos de dinero perteneciente a la víctima, que pueden ser difíciles o imposibles de recuperar.
Otro detalle sorprendente de esta estafa es que se mandan falsos SMS de confirmación de las operaciones, como haría el banco si fueran legítimas.
Estos SMS de confirmación pueden evitar que la víctima consulte con su banco tras la llamada, lo que reduce el riesgo de ser descubiertos. Si vivimos un caso así, hemos de contactar con el banco lo antes posible, para intentar que se recuperen los fondos comprometidos.
El ataque es más elaborado y meticuloso que otros, porque se busca robar dinero real, que no deja de ser el objetivo último de casi cualquier phishing.
Varias de las recomendaciones para evitar ciberataques convencionales se debilitan ante estas técnicas que combinan SMS, llamadas y webs falsas, lo que requiere precauciones extra.
En esencia, no debemos facilitar ningún dato personal cuando contactan con nosotros, sea por llamada, mensajes, email o apps. Tras escuchar muy brevemente lo que nos digan, cortaremos la comunicación, y contactaremos por nuestra cuenta (sin seguir los enlaces facilitados), para confirmar con la empresa si realmente la situación es real.
Por lo tanto, es importante estar alerta ante cualquier SMS o llamada del banco, que puede ser un fraude, y poner en peligro nuestro dinero.
Si eres usuario de Android, desinstala estas apps de Google Play
- Ver Comentarios