El objetivo de estos mensajes es conducir a la víctima a una página falsa que simula ser la web legítima del banco con el fin de robar las credenciales de acceso al servicio de banca online e información bancaria. El texto del mensaje intenta alarmar al usuario para que pulse rápidamente en el enlace y siga los pasos que se indican sin apenas pararse analizar la situación.

SMS falsos para clientes de CaixaBank, BBVA y Santander

Esta oleada de SMS falsos suplantando la identidad de entidades bancarias no es la primera vez que sucede. Cada vez es más frecuente que los ciberdelincuentes intenten suplantar la identidad de bancos o grandes empresas mediante el envío de SMS o a través de correo electrónico (phishing) con el único fin de robar datos personales, accesos a cuentas y contraseñas de las víctimas que reciben dichos mensajes.

Los SMS detectados en esta campaña se identifican con los siguientes mensajes:

CaixaBank

“No puedes utilizar tu cuenta. Activa el nuevo sistema de seguridad ahora: [URL maliciosa]”

BBVA

“Su cuenta ha sido suspendida temporalmente por motivos de seguirdad , siga el enlace para verificar su identidad:
[URL maliciosa]”

Banco Santander

“Nuestro sistema nos alerta de un pre-cargo no autorizado de 379,99E con su tarjeta.Para cancelarel pago sigue nuestro enlace: [URL maliciosa]”

“Se ha realizado una operación fraudulenta en su banca online. Verifique inmediatamente en: [URL maliciosa]”

Sin embargo, no se descarta que se estén utilizando otros mensajes con características similares. Tampoco descartan que estos mensajes estén llegando a través de correo electrónico a dispositivos móviles.

En líneas generales todos los mensajes informan a cerca de algún tipo de problema en nuestra cuenta bancaria y para solucionarlo es necesario pulsar en el enlace facilitado en el SMS. Tal y como habrás podido comprobar, algunos mensajes contienen faltas de ortografía y gramaticales, lo que nos permite sospechar que se trata de un posible fraude, ya que entidades bancarias de estas características no cometerían este tipo de errores a la hora de redactar.

Cabe la posibilidad de que algunos mensajes se identifiquen con el remitente del propio banco, es decir, que se suplante el remitente, aunque en otros casos aparece un número desconocido. Una vez que se accede al enlace fraudulento, el usuario es redirigido a una página en la que se le solicitan introducir las credenciales (usuario y contraseña) para poder acceder al supuesto servicio de banca online. Tras introducir las credenciales de acceso, los ciberdelincuentes habrán logrado estár en posesión de los datos de la víctima y podrán acceder a las cuentas de los usuarios que hayan caído en la trampa.

Cómo evitarlo

Si has recibido un SMS con las características descritas anteriormente, has accedido al enlace y has facilitado tus credenciales, así como cualquier otro dato de carácter personal lo primero que debes hacer es contactar lo antes posible con tu entidad bancaria para informarles de la situación y cancelar posibles transacciones que se hayan podido realizar de manera fraudulenta. También bloquear el acceso a tu cuenta, tarjetas y actualizar los datos de acceso a tu servicio de banca online para evitar que sigan accediendo terceros. Además, también se recomienda modificar la contraseña de aquellas cuentas o servicios en los que se utilizaba la misma que para acceder a tu banca online.

Algunas de las recomendaciones que debes seguir para evitar ser víctima de fraudes de tipo smishing son los siguientes:

• No habrás mensajes de usuarios desconocidos. Lo mejor es borrarlos directamente y en ningún caso contestar a estos SMS.
• Presta atención al seguir enlaces, aunque sean de usuario conocidos.
• Acostumbra a revisar la URL de la página web. Si no hay certificado no facilites ningún dato personal.
• En caso de duda, ponte en contacto con la empresa implicada.

De forma adicional ten en cuenta también los consejos que facilitan los bancos y entidades financieras en su sección de seguridad:

• Cerrar todas las aplicaciones y programas antes de acceder a su web.
• Escribir la URL de la entidad directamente en el navegador.
• Tu banco nunca notifica incidencias de tu cuenta a través de un SMS o correo electrónico incluyendo un enlace a su web en el mensaje.
• Presta atención a que la app que descargas es la oficial de tu banco.
• Utiliza siempre contraseñas seguras y sistemas de doble verificación.
• Es recomendable no acceder a tu banca online a través de dispositivos públicos o que estén conectados a redes WiFi públicas.