La Oficina de Seguridad del Internauta (OSI) ha alertado de tres nuevas campañas de "smishing" dirigidas a clientes a las entidades bancarias BBVA, Santander y Caixabank.
Los afectados reciben en sus móviles un SMS fraudulento que tiene como objetivo dirigirles una web que suplanta a la de su banco para que introduzcan sus credenciales de usuario y así robar la información y ganar acceso a la cuenta bancaria de la víctima.
En qué consisten dichos SMS
Los SMS fraudulentos urgen al receptor a pulsar en la URL maliciosa incluida con mensajes alertándoles de diversos problemas con su cuenta. Los mensajes que están recibiendo las potenciales víctimas son los siguientes, incluyendo faltas de ortografía:
Caixabank:
"CaixaBank: A partir del 20/12/2021 No puedes utilizar tu cuenta. Activa el nuevo sistema de seguridad ahora: [URL maliciosa]"
BBVA:
"BBVA : Su cuenta ha sido suspendida temporalmente por motivos de seguridad, siga el enlace para verificar su identidad: [URL maliciosa]"
"Aviso: Se a detectado movimientos no habituales en su cuenta verifique inmediatamente en: [URL maliciosa]"
Banco Santander:
"Nuestro sistema nos alerta de un pre-cargo no autorizado de 379,99E con su tarjeta. Para cancelar el pago sigue nuestro enlace: [URL maliciosa]"
"Se ha realizado una operación fraudulenta en su banca online. Verifique inmediatamente en: [URL maliciosa]"
Una estafa que puede llegar también vía email
La Oficina de Seguridad del Internauta no descarta que la campaña también se esté llevando a cabo a través de correos electrónicos, lo que lo convertiría también en un ataque del tipo "phishing". En el caso de los SMS puede aparecer como remitente un número desconocido o el de BBVA, Santander o Caixabank, lo que hace más difícil su identificación como una campaña fraudulenta.
Cuando el usuario pulsa en el enlace incluido en el SMS es redirigido a una web fraudulenta que suplanta a la del BBVA, Santander o Caixabank, según el caso.
En dicha página, el usuario debe introducir sus datos de acceso a su cuenta bancaria y en algunos casos se le solicita también el número de teléfono. Una vez introducida la información quedará en manos de los ciberdelincuentes que ya podrán acceder a la cuenta bancaria de la víctima.
Los consejos de la OSI
La OSI aconseja a quienes hayan recibido alguno de los SMS fraudulentos eliminarlos inmediatamente.
En caso de haber caído en el engaño y haber introducido sus datos de acceso en la web falsa, deben informar a su banco, revisar los movimientos de su cuenta y tarjeta de crédito y modificar sus claves de acceso de forma urgente.
En el caso de emplear la contraseña robada en otros servicios, también deberán modificarla.