Nos habéis hecho llegar a través de nuestro chatbot de WhatsApp (+34 644 229 319), un supuesto mensaje de EVO Banco en el que nos avisan de que “un dispositivo no autorizado se ha conectado a tu cuenta online” y nos piden que verifiquemos “inmediatamente” si no reconocemos dicho acceso. Pero se trata de un caso de smishing (phishing a través de SMS), una técnica para quedarse con nuestros datos a través de un mensaje de texto.
Además, este SMS aparece en el mismo buzón de entrada que otras comunicaciones reales de la entidad. Se trata de una suplantación de SMS o 'SMS spoofing': los timadores utilizan un “alias” igual al de la empresa a la que suplantan, con lo que consiguen “que las aplicaciones de mensajería de los teléfonos agrupen el mensaje en la misma conversación legítima, pareciendo que es de la entidad original”, como ya explicaron en su momento desde el Instituto Nacional de Ciberseguridad (INCIBE) a Maldita.es.
El enlace del mensaje no coincide con la URL oficial de la entidad
Este tipo de timo resulta difícil de identificar casi siempre porque los SMS nos llegan a la misma bandeja de entrada que el resto de mensajes de nuestro banco y utilizan el mismo nombre que la entidad. Esto se consigue a través de técnicas de ingeniería social que dotan al mensaje de fiabilidad.
Sin embargo, fijarnos en el enlace que acompaña a estos mensajes nos puede dar una pista de que se trata de un intento de estafa. En este caso, la URL del mensaje (https://evo-inicio.com) no coincide con la de la web oficial de EVO Banco (https://www.evobanco.com). Además, cuando intentamos acceder a ella a través de distintos buscadores nos dicen que “no se puede acceder al sitio web” o que “no se puede conectar con el servidor”.
En Maldita.es ya te hemos hablado de mensajes similares con los que han intentado suplantar a EVO Banco y a otras entidades como BBVA.
EVO Banco asegura que no pide ni credenciales ni datos completos por email, teléfono o SMS
Desde EVO Banco aseguran a Maldita.es que “no mandan ni emails ni SMS con links” para acceder a nuestra banca digital. Además, indican que "se trata de un intento de phishing" y piden "no acceder a los enlaces y eliminar el mensaje lo antes posible".
Asimismo, en su página web recalcan que “nunca van a pedir ni credenciales, ni códigos OTP (One Time Password), ni datos completos de carácter personal por email, teléfono, SMS, ni ningún otro medio”. Además, recomiendan acceder a EVO siempre desde los canales oficiales, que son su página web (evobanco.com) y su aplicación. Por último, aconsejan comprobar que el dominio al que se nos redirige cuando introducimos nuestras credenciales es el oficial.
¿Cómo se puede enviar un SMS fraudulento a nombre de una entidad concreta?
“Los actores maliciosos dan de alta un alias idéntico al alias que utiliza la entidad, con lo que consiguen que las aplicaciones de mensajería de los teléfonos agrupen el mensaje en la misma conversación legítima, pareciendo que es de la entidad original”, como ya explicaron a Maldita.es desde el Instituto Nacional de Ciberseguridad (INCIBE).
Según el INCIBE, la utilización de estos alias es “una funcionalidad dentro de los servicios de SMS por la cual se puede sustituir el identificador numérico o número de teléfono del remitente por un identificador alfabético de hasta 11 caracteres”. Además, estos mensajes suelen ser aleatorios y no tienen una víctima concreta. De ahí que puedas recibirlos aunque no seas cliente de la entidad a la que se suplanta.
La regulación de esta funcionalidad para evitar este tipo de suplantaciones, añade el Instituto, dependerá “de las comprobaciones que realicen los proveedores de Internet y de la normativa de cada país. Por ello, no se puede descartar que los SMS se están enviando desde algún país extranjero donde los actores hayan conseguido dar de alta ese alias para su uso fraudulento”.
Consejos para evitar ser víctima de ‘phishing’
No podemos hacer que dejen de llegar estos mensajes, pero sí tenemos una serie de recomendaciones que puedes seguir cuando te vuelva a llegar una supuesta alerta o sorteo que use el nombre de tu empresa de confianza.
- Fíjate bien en el link que te envían. Si te llega un mensaje, presta atención al link que te envían y si lleva el nombre de la empresa.
- Mira la dirección de la web a la que te redirige. Normalmente este tipo de notificaciones vienen con un link en el que te piden que introduzcas tus datos. Si la url de esta página web no es de la empresa por la que se hace pasar o es una mezcla de letras, números y el nombre de esa empresa, no introduzcas tus datos. Para ello, fíjate bien en lo que aparece antes del último punto, ese es el dominio real de la página web.
- Cuidado si al intentar pinchar en los elementos de la web no te dirige a ningún sitio o te pide verificar tus datos.
- Observa si el SMS contiene faltas de ortografía o frases sin sentido.
- Contrasta con las fuentes antes de dar tus datos. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Recuerda que puedes preguntar a la propia compañía, a la Policía o a la Guardia Civil o a nosotros a través de nuestro servicio de WhatsApp.
- Mantén actualizado el sistema operativo y el antivirus.
Si te llega un SMS sospechoso, puedes contactar con la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) o también utilizar su línea de ayuda en ciberseguridad. También es recomendable denunciarlo a la Policía Nacional o ante la Guardia Civil.
Y recuerda que puedes enviarnos un email a [email protected] para contarnos tu caso, si has sido víctima de este o cualquier otro fraude.