“[SANTANDER] Por motivos de seguridad. Hemos bloqueado tu Tarjeta. Verifica tu cuenta para activar el acceso”. Este es el mensaje que llega por SMS acompañado de un enlace y por el que nos habéis preguntado a través de nuestro chatbot (+34 644 229 319).
Se trata de un intento de smishing, es decir, phishing a través de SMS. El enlace al que nos redirige no es el oficial del banco Santander y a través de él intentan quedarse tanto con nuestros datos personales como con datos bancarios.
La página no es la oficial del banco y la conexión con ella no es privada
Al hacer clic en el enlace del SMS, nos redirige a una página web (bank-santa.es.swtest.ru/29.08/) que no es la oficial del banco Santander (https://www.bancosantander.es/particulares) ni de su sección de banca online (https://particulares.bancosantander.es/login/).
Si comparamos las dos páginas, vemos como la oficial ofrece más botones, incluido uno de “Seguridad” que redirige a una sección del banco destinada a aconsejar a sus usuarios para operar online de forma segura e informar de sus distintos protocolos. Además, la página fraudulenta aporta una fecha que no es la actual al saludar con un “Buenas tardes” sea la hora que sea.
Por otro lado, al pinchar en el link, el navegador nos avisa ya de que “la conexión no es privada” por lo que pueden estar intentando robar nuestros datos:
Además, el banco ya ha asegurado en otras ocasiones que nunca piden contraseñas ni número de PIN por SMS u otro tipo de mensajería privada, pues no es la primera vez que suplantan al Banco Santander para intentar hacerse con datos bancarios.
¿Has recibido algún mensaje sospechoso con nuestro nombre? ¡NO PIQUES! ✋Desde el banco nunca te pediremos contraseñas ni número de PIN por mensajería privada o SMS.
— Santander (@bancosantander) October 1, 2020
Aprende a protegerte de fraudes y conviértete en un #CiberHeroe 💪 https://t.co/uswFAq34Eu
Banco Santander también indica a sus usuarios que, en caso de recibir un correo o mensaje dudoso se lo hagamos saber para que puedan "tomar medidas" y así ayudarles "a proteger a otros clientes" a través del correo [email protected].
Desde Maldita.es hemos desmentido otros casos de phishing que utilizan el nombre de la entidad bancaria para hacerse con nuestros datos. Por ejemplo, asegurando por SMS que ha habido un “cargo sospechoso” por lo que se ha bloqueado la tarjeta o un mensaje que pide que activemos “la nueva sistema de seguridad”.
Consejos para evitar ser víctima de 'phishing'
No podemos hacer que dejen de llegarte estos casos, pero sí tenemos una serie de recomendaciones que puedes seguir cuando te vuelva a llegar una supuesta alerta o sorteo que use el nombre de tu empresa de confianza.
- Fíjate bien en la dirección del correo electrónico. Si te llega un mensaje, presta atención a la dirección del correo que te lo envía, concretamente a lo que viene después de la "@". Si notas algo raro, borra el correo.
- Mira la dirección de la web a la que te redirige. Normalmente este tipo de notificaciones vienen con un link en el que te piden que introduzcas tus datos. Si la url de esta página web no es de la empresa por la que se hace pasar o es una mezcla de letras, números y el nombre de esa empresa, no introduzcas tus datos. Para ello, fíjate bien en lo que aparece antes del último punto, ese es el dominio real de la página web.
- Cuidado si al intentar pinchar en los elementos de la web no te dirige a ningún sitio o te pide verificar tus datos.
- Contrasta con las fuentes antes de dar tus datos o pulsar un enlace. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Recuerda que puedes preguntar a la propia compañía, a la Policía o a la Guardia Civil o a nosotros a través de nuestro servicio de WhatsApp (+34 644 22 93 19).
También puedes contactar con la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) o utilizar su línea de ayuda en ciberseguridad.
Si piensas que has sido víctima de este fraude u otro similar, puedes contarnos tu historia escribiéndonos a [email protected].