Nos habéis preguntado acerca de un mensaje enviado, supuestamente, en nombre de EVO Banco en el que piden al usuario que verifique sus datos personales. Se trata de un ataque de phishing, los timadores se hacen pasar por nuestra entidad bancaria para intentar colárnosla. Además, también es un caso de SMS spoofing (suplantación de SMS, en su traducción del inglés), difícil de identificar casi siempre porque los SMS los recibimos en nombre de nuestro banco y suelen colarse en la misma bandeja de entrada que la entidad.
La web a la que redirige el enlace no es la web oficial de EVO Banco, y si introducimos el link en la web de análisis reputacional y de seguridad URL VOID, podemos ver que el dominio se registró por primera vez hace tan solo 8 días.
Esto se consigue a través de técnicas de ingeniería social, lo que dota de fiabilidad al mensaje. Como ya contamos en Maldita.es, este modus operandi tiene precedentes en otras entidades e instituciones, como Correos.
¿Cómo se puede enviar un SMS fraudulento a nombre de una entidad concreta?
Desde el Instituto Nacional de Ciberseguridad (INCIBE) ya nos indicaron que, en estos casos, “los actores maliciosos dan de alta un alias idéntico al alias que utiliza la entidad, con lo que consiguen que las aplicaciones de mensajería de los teléfonos agrupen el mensaje en la misma conversación legítima, pareciendo que es de la entidad original”.
La utilización de estos alias, según el instituto es “una funcionalidad dentro de los servicios de SMS por la cual se puede sustituir el identificador numérico o número de teléfono del remitente por un identificador alfabético de hasta 11 caracteres”. Además, estos mensajes suelen ser aleatorios y no tienen una víctima concreta.
Sobre la regulación de esta funcionalidad para evitar este tipo de suplantaciones, según en INCIBE, dependerá “de las comprobaciones que realicen los proveedores de internet y de la normativa de cada país, por lo que no se puede descartar que los SMS se están enviando desde algún país extranjero donde los actores hayan conseguido dar de alta ese alias para su uso fraudulento”.
Accede siempre desde la web oficial de tu banco
Como ya te contamos en Maldita.es con la ayuda de los expertos Iván Forcada y Jorge Louzao, los bancos no suelen enviar mensajes con enlaces a sus clientes, tal y como afirman en su propia página web Caixabank o BBVA. Además, la utilización de SMS es considerada insegura desde hace años por las entidades bancarias.
Como alternativa, accede a tu cuenta a través de la página web de la o aplicación oficial de estas empresas y, ante cualquier duda, ponte en contacto con ellas.
Consejos para evitar ser víctima de phishing
No podemos hacer que dejen de llegar estos mensajes, pero sí tenemos una serie de recomendaciones que puedes seguir cuando te vuelva a llegar una supuesta alerta o sorteo que use el nombre de tu empresa de confianza.
- Fíjate bien en el link que te envían. Si te llega un mensaje, presta atención al link que te envían y si lleva el nombre de la empresa.
- Mira la dirección de la web a la que te redirige. Normalmente este tipo de notificaciones vienen con un link en el que te piden que introduzcas tus datos. Si la url de esta página web no es de la empresa por la que se hace pasar o es una mezcla de letras, números y el nombre de esa empresa, no introduzcas tus datos. Para ello, fíjate bien en lo que aparece antes del último punto, ese es el dominio real de la página web.
- Cuidado si al intentar pinchar en los elementos de la web no te dirige a ningún sitio o te pide verificar tus datos.
- Observa si el SMS contiene faltas de ortografía o frases sin sentido.
- Contrasta con las fuentes antes de dar tus datos. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Recuerda que puedes preguntar a la propia compañía, a la Policía o a la Guardia Civil o a nosotros a través de nuestro servicio de WhatsApp.
- Mantén actualizado el sistema operativo y el antivirus.
Si te llega un SMS sospechoso, puedes contactar con la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) o también utilizar su línea de ayuda en ciberseguridad. También es recomendable denunciarlo a la Policía Nacional o ante la Guardia Civil.
Y recuerda que puedes enviarnos un email a [email protected] para contarnos tu caso, si has sido víctima de este o cualquier otro fraude.
