Campañas de smishing suplantando a múltiples entidades bancarias

Empezamos el año con varias campañas de smishing

 

El smishing (de SMiShing; a su vez, de SMS y fishing) es un tipo de delito o actividad criminal a base de técnicas de ingeniería social con mensajes de texto dirigidos a los usuarios de telefonía móvil. Se trata de una variante del phishing.


Descripción:


Se  han detectado en las últimas horas varias campañas de envío de SMS fraudulentos de tipo smishing que tratan de suplantar a varias entidades bancarias. Una de ellas suplanta a la entidad Sabadell y al BBVA. El SMS viene en nombre del Sabadell y te avisa de que tu cuenta está bloqueada, pero te redirige a una página web fraudulenta del BBVA. Otra de las campañas detectada a través de SMS suplanta a la entidad bancaria Santander.


Detalle:


La campaña detectada tiene como finalidad el robo de datos de autenticación en banca online mediante la suplantación a varios bancos, entre ellos BBVA, Sabadell y Banco Santander.
En la primera campaña, se recibe un supuesto SMS del banco Sabadell en el cual se menciona que la cuenta ha sido bloqueada el 29/12/2021, y que para desbloquearla hay que desactivar el sistema de seguridad, haciendo clic en el enlace del SMS.

Tras pulsar en el enlace, le redirige a una página fraudulenta del BBVA, en la que al introducir sus credenciales, estas pasarán a estar en poder de los ciberdelincuentes.

Otra campaña detectada afecta al banco Santander, tras recibir un SMS con un enlace y entrar en él, redirigiendo  a una web fraudulenta de este banco. En esta web solicitan sus datos bancarios, que en caso de introducirles, irán directos a los ciberdelincuentes.

Solución:


Si recibes un SMS o cualquier notificación con estas características, omítelo o elimínalo, nunca sigas el enlace, ni descargues ninguna aplicación.
Como pautas generales para evitar ser víctima de fraudes de este tipo, se recomienda:
•    No abras los enlaces de usuarios desconocidos o que no hayas solicitado: eliminarlos directamente.
•    Recuerda que en caso de que el mensaje proceda de una entidad legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos. Para acceder a la entidad, teclea la URL legítima de la misma en el navegador o accede vía su app.
•    No contestes en ningún caso a estos mensajes.
•    Ten precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
•    Comprueba los enlaces que recibes en el móvil en un ordenador de sobremesa. En ocasiones, estos enlaces sólo funcionan en dispositivos móviles. Ante cualquier duda, mejor no hagas clic, contacta con la entidad por otro medio.
•    Ten siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
•    Asegúrate que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.