..
Viernes, 14 de Enero de 2022
Estafa de 'smishing' para acceder a cuentas de BBVA y Santander
Un masivo envío fraudulento de sms llega a clientes de bancos
Un masivo envío fraudulento de sms está llegando con mensajes en los que figuran Banco Santander y BBVA y que responden a una estafa de 'smishing', con el que los ciberdelincuentes buscan acceder a información confidencial de sus víctimas.
![[Img #123446]](https://madridpress.com/upload/images/01_2022/5327_smsfraud14e.jpg)
Según han notificado algunos usuarios a través de Twitter, se están recibiendo mensajes SMS en los que las entidades, supuestamente, informan de que se ha detectado un acceso no autorizado en la cuenta bancaria de turno, y que deben hacer 'clic' en un enlace para arreglarlo.
Otros de los clientes de estos bancos, en cambio, han recibido un SMS en el que se alerta de que se ha tenido que cerrar su cuenta bancaria debido a una actualización.
WEB RUSA
Para desbloquearla, deben seguir un enlace aparentemente seguro que en realidad pertenece a una web rusa.
No obstante, algunos usuarios se han percatado de este problema debido a que han recibido mensajes de bancos de los que no son clientes ni tienen abierta ningún tipo de cuenta en sus sucursales.
Como rasgo diferencial de esta campaña destaca el hecho de que los mensajes SMS fraudulentos se incluyen en el hilo de mensajes que utilizan las entidades legítimas para comunicarse con sus clientes, como por ejemplo, para autorizar las compras, gracias al uso de técnicas maliciosas que enmascaran el número real.
Debido a estas denuncias, desde BBVA han recordado que no van a enviar SMS con enlaces ni solicitarán claves o datos personales por esta vía. Asimismo, han recomendado que los clientes eliminen estos mensajes en el caso de que los reciban.
Por su parte, Banco Santander ha indicado que, ante ese tipo de situaciones, lo más recomendable es proteger los datos sensibles que se pidan mediante estos SMS y, en caso de duda, contactar con la empresa o la administración remitente a través de sus canales y direcciones oficiales.
Además, ha señalado que no conviene hacer clic en los links de páginas web que se envían a través de mensajería instantánea o SMS. En su lugar y ante la duda se debe acceder directamente a través del navegador o un buscador a una página concreta.
EL SMISHING
A pesar de que, hasta hace poco, el método más utilizado para robar datos personales era el 'phishing', a través de correos electrónicos, el ' smishing' se ha impuesto como uno de los más habituales de la actualidad. Su nombre deriva del medio con el que se realiza el ataque, el SMS.
Este fraude, que también recibe el nombre de 'SMS Spoofing' (suplantación de identidad mediante SMS), se realiza mediante el envío de un mensaje en el que se comunica que quien lo recibe ha obtenido un premio o que existe algún problema con los datos de su banco.
A diferencia del 'phishing', donde gran parte de los emails fraudulentos se filtran por la carpeta de spam del correo electrónico, los ataques de 'smishing' se caracterizan por tener una técnica más sofisticada.
En lugar de quedar bloqueados, estos mensajes SMS se añaden al mismo hilo de los mensajes legítimos del banco al que pertenece el usuario. De este modo, si ha recibido notificaciones previas (por ejemplo, cuando recibe un enlace de autorización en un proceso de compra 'online), se muestran a continuación.
En esta comunicación se incluye información para que el usuario llame a un determinado número de teléfono para realizar una gestión concreta o haga clic en un enlace ajeno al banco. Si accede, los ciberdelincuentes podrán obtener sus datos personales, como el número de cuenta o su DNI.
ALERTA
El Banco de España ha alertado de este fraude y de que se realiza mediante diferentes páginas web y aplicaciones móviles. Además, ha alertado de la posibilidad de realizarlo para las llamadas.
Esta suplantación telefónica (o 'caller ID spoofing') consiste en que el identificador de llamadas muestre un número de teléfono distinto al del operador desde el que se está haciendo la llamada.
Mediante este método, los ciberdelincuentes se hacen pasar por empleados de los bancos o de sus sucursales con el objetivo de que la víctima revele algunos datos confidenciales.
Una vez los ha obtenido, el presunto empleado alerta de que ha habido un problema que el usuario debe solucionar haciendo clic en un enlace que va a recibir por SMS, o bien, el supuesto banco envía un código que el cliente debe desvelar para completar el proceso.
Según han notificado algunos usuarios a través de Twitter, se están recibiendo mensajes SMS en los que las entidades, supuestamente, informan de que se ha detectado un acceso no autorizado en la cuenta bancaria de turno, y que deben hacer 'clic' en un enlace para arreglarlo.
Otros de los clientes de estos bancos, en cambio, han recibido un SMS en el que se alerta de que se ha tenido que cerrar su cuenta bancaria debido a una actualización.
WEB RUSA
Para desbloquearla, deben seguir un enlace aparentemente seguro que en realidad pertenece a una web rusa.
No obstante, algunos usuarios se han percatado de este problema debido a que han recibido mensajes de bancos de los que no son clientes ni tienen abierta ningún tipo de cuenta en sus sucursales.
Como rasgo diferencial de esta campaña destaca el hecho de que los mensajes SMS fraudulentos se incluyen en el hilo de mensajes que utilizan las entidades legítimas para comunicarse con sus clientes, como por ejemplo, para autorizar las compras, gracias al uso de técnicas maliciosas que enmascaran el número real.
Debido a estas denuncias, desde BBVA han recordado que no van a enviar SMS con enlaces ni solicitarán claves o datos personales por esta vía. Asimismo, han recomendado que los clientes eliminen estos mensajes en el caso de que los reciban.
Por su parte, Banco Santander ha indicado que, ante ese tipo de situaciones, lo más recomendable es proteger los datos sensibles que se pidan mediante estos SMS y, en caso de duda, contactar con la empresa o la administración remitente a través de sus canales y direcciones oficiales.
Además, ha señalado que no conviene hacer clic en los links de páginas web que se envían a través de mensajería instantánea o SMS. En su lugar y ante la duda se debe acceder directamente a través del navegador o un buscador a una página concreta.
EL SMISHING
A pesar de que, hasta hace poco, el método más utilizado para robar datos personales era el 'phishing', a través de correos electrónicos, el ' smishing' se ha impuesto como uno de los más habituales de la actualidad. Su nombre deriva del medio con el que se realiza el ataque, el SMS.
Este fraude, que también recibe el nombre de 'SMS Spoofing' (suplantación de identidad mediante SMS), se realiza mediante el envío de un mensaje en el que se comunica que quien lo recibe ha obtenido un premio o que existe algún problema con los datos de su banco.
A diferencia del 'phishing', donde gran parte de los emails fraudulentos se filtran por la carpeta de spam del correo electrónico, los ataques de 'smishing' se caracterizan por tener una técnica más sofisticada.
En lugar de quedar bloqueados, estos mensajes SMS se añaden al mismo hilo de los mensajes legítimos del banco al que pertenece el usuario. De este modo, si ha recibido notificaciones previas (por ejemplo, cuando recibe un enlace de autorización en un proceso de compra 'online), se muestran a continuación.
En esta comunicación se incluye información para que el usuario llame a un determinado número de teléfono para realizar una gestión concreta o haga clic en un enlace ajeno al banco. Si accede, los ciberdelincuentes podrán obtener sus datos personales, como el número de cuenta o su DNI.
ALERTA
El Banco de España ha alertado de este fraude y de que se realiza mediante diferentes páginas web y aplicaciones móviles. Además, ha alertado de la posibilidad de realizarlo para las llamadas.
Esta suplantación telefónica (o 'caller ID spoofing') consiste en que el identificador de llamadas muestre un número de teléfono distinto al del operador desde el que se está haciendo la llamada.
Mediante este método, los ciberdelincuentes se hacen pasar por empleados de los bancos o de sus sucursales con el objetivo de que la víctima revele algunos datos confidenciales.
Una vez los ha obtenido, el presunto empleado alerta de que ha habido un problema que el usuario debe solucionar haciendo clic en un enlace que va a recibir por SMS, o bien, el supuesto banco envía un código que el cliente debe desvelar para completar el proceso.
Normas de participación
Esta es la opinión de los lectores, no la de este medio.
Nos reservamos el derecho a eliminar los comentarios inapropiados.
La participación implica que ha leído y acepta las Normas de Participación y Política de Privacidad
Normas de Participación
Política de privacidad
Por seguridad guardamos tu IP
216.73.216.103