La Policía Nacional avisa: si recibes un email de Ibercaja o un SMS de Santander así, eliminalo

En los últimos días se ha detectado una nueva campaña de estafa "phishing", a través de la cual conseguían los datos bancarios de los clientes de Ibercaja y Santander, esta ultima entidad ha sufrido varios inténtenos de suplantación recientemente.

Nuevas campañas de "pishing" suplantando a Ibercaja y Santander

Según nos explica el Instituto Nacional de Ciberseguridad (Incibe), a través de la Oficina de Seguridad del Internauta, el usuario recibe un correo electrónico, con mala redacción y ortografía, que dice: "A partir del 31/05/2021. No puedes utilizar su cuenta" y redirige a una página falsa donde se solicitan las credenciales bancarias. En el cuerpo del mensaje se indica al receptor que "debería tomar medidas ahora para solucionar el problema lo antes posible".

El mensaje utiliza como excusa la activación de un nuevo sistema de seguridad, por lo que insta al destinatario a hacer clic en un enlace y asegura que el proceso tarda cinco minutos.

En relación al banco Santander en este caso es la policía nacional la que avisa de este intento de fraude desde sus redes sociales y nos indican que: Si recibimos un SMS supuestamente de nuestro banco diciendo que nos han hecho un reembolso y que pinchando un enlace lo veremos, que no piquemos, pues se trata de un fraude.

Recibes un #sms ✉ supuestamente de tu banco diciendo que te han hecho un reembolso y que pinchando un enlace lo verás

Te dejas llevar por la emoción... ¡et voilà! has picado 🙄

Solo quieren tus datos, no pinches en enlaces de procedencia desconocida #Phishing #NOPIQUES pic.twitter.com/LWRWLnwu0X

- Policía Nacional (@policia) May 26, 2021

En qué consiste el "phishing"

El phishing es una técnica de ciberdelincuencia que utiliza el fraude, el engaño y el timo para manipular a sus víctimas y hacer que revelen información personal confidencial. La mayoría de los ataques de phishing comienzan con la recepción de un correo electrónico o un mensaje directo en el que el remitente se hace pasar por un banco, una empresa u otra organización real con el fin de engañar al destinatario.

Este correo electrónico incluye enlaces a un sitio web preparado por los criminales, que imita al de la empresa legítima, y en el que se invita a la víctima a introducir sus datos personales. Los correos electrónicos o mensajes fraudulentos suelen enviarse de forma masiva para multiplicar el número de víctimas potenciales de los hackers.

De hecho, si bien el e-mail continúa siendo el medio más utilizado por los ciberdelincuentes para este tipo de fraudes, el phishing puede utilizar otros medios de comunicación, además: son frecuentes los intentos vía SMS también llamada a esta técnica "smishing" o los mensajes instantáneos en redes sociales.

Además, los criminales se valen de ciertos trucos de ingeniería social para crear alarma en los receptores de los mensajes, con indicaciones de urgencia, alarma y diferentes llamadas a la acción. La idea es que el usuario actúe de inmediato ante el estímulo y no se detenga a analizar los riesgos de su acción.

¿Qué ocurre si accedo al enlace y facilito mis datos?

Si el usuario ha accedido al falso enlace y facilitado los datos de acceso a su cuenta bancaria (NIF y contraseña), el Incibe recomienda contactar lo antes posible con el banco para notificar lo ocurrido, además de modificar la contraseña de todos aquellos servicios en los que se utilice la misma.

Precauciones y recomendaciones

• Después de leer el correo o mensaje recibido no hagas clic en ningún enlace. Realiza las verificaciones pertinentes con la entidad desde la cual te ha contactado supuestamente,
• Revisa periódicamente tus cuentas. Nunca está de más revisar facturas y cuentas bancarias cada cierto tiempo para estar al tanto de cualquier irregularidad en las transacciones.
• No abrir correos de usuarios desconocidos o que no se hayan solicitado, los cuales hay que eliminar inmediatamente.
• Extrema las precauciones y avisa a tus contactos para que estén alerta de los correos que reciban de origen sospechoso. Especialmente, si contienen archivos adjuntos o, como en este caso, enlaces externos a páginas de inicio de sesión.
• Sé precavido ante los correos que aparentan ser de entidades bancarias o servicios conocidos (Dropbox, Facebook, Google Drive, Apple ID, Correos y Telégrafos, Agencia Tributaria, etc.) con mensajes que no esperabas, que son alarmistas o extraños.
• Sospecha si hay errores gramaticales en el texto, pueden haber utilizado un traductor automático para la redacción del mensaje trampa. Ningún servicio con cierta reputación enviará mensajes mal redactados.
• Si recibes comunicaciones anónimas del tipo "Estimado cliente", "Notificación a usuario" o "Querido amigo", es un indicio que te debe poner en alerta.
• Si el mensaje te obliga a tomar una decisión de manera inminente o en unas pocas horas, es mala señal. Contrasta directamente si la urgencia es real o no directamente con el servicio o consultando otras fuentes de información de confianza: la OSI, Policía, Guardia Civil, etc.
• Revisa si el texto del enlace que facilitan en el mensaje coincide con la dirección a la que apunta, y que ésta corresponda con la URL del servicio legítimo.
• Un servicio con cierto prestigio utilizará sus propios dominios para las direcciones de email corporativas. Si recibes la comunicación desde un buzón de correo tipo @gmail.com, @outlook.com o cualquier otro similar, sospecha.
• Aplica la ecuación: solicitud de datos bancarios + datos personales = fraude.

Información adicional