“Hemos detectado intentos de acceso sospechosos a su cuenta. Debe activar su sistema de seguridad web o bien su cuenta quedará bloqueada”, comienza diciendo el SMS del que ha alertado la Policía Nacional, quienes han detectado una modalidad de fraude bancario que combina SMS que suplantan al banco con llamadas telefónicas para perfeccionar la técnica de engaño.
Por tanto, si recibes un mensaje pidiéndote alguna clave o datos bancarios, recuerda que los bancos nunca te pedirán las credenciales por esta vía. Ante la duda, accede directamente desde la aplicación o contacta con ellos.
⚠Detectada una modalidad de #fraude bancario mediante SMS y llamadas telefónicas
— Policía Nacional (@policia) August 11, 2021
Si recibes este mensaje? #NoPiques y si tienes dudas llama? directamente a tu banco pic.twitter.com/kkjF1YkCRI
El modus operandi empleado es la combinación de SMS que suplantan al banco junto con una posterior llamada
Como decimos, según la Policía, la víctima recibe inicialmente un mensaje haciéndose pasar por su entidad bancaria con el texto: “hemos detectado intentos de acceso sospechosos a su cuenta. Debe activar su sistema de seguridad web o bien su cuenta quedará bloqueada”. Intentar transmitir urgencia es una técnica muy empleada en estos casos de ingeniería social para que a la víctima no le dé tiempo a reaccionar.
De acuerdo con las autoridades “los mensajes pueden presentar ciertas variaciones, aunque siempre incluyen un enlace para que la víctima pueda acceder directamente a su banco”.
Como ya hemos visto otras veces en Maldita.es, el link no te lleva a la página web del banco, sino que la suplanta, motivo por el que debemos fijarnos siempre en la URL. Una vez llegados a esta página, solicitan tanto los datos bancarios como los personales, incluido un teléfono de contacto. Asimismo, según la Policía, señalan a la persona que recibirá “una llamada para realizar las verificaciones de seguridad oportunas”.
De esta forma, tras la recepción del SMS, los ciberdelincuentes llaman a sus víctimas haciéndose pasar por empleados de su entidad “para informar de movimientos sospechosos en su cuenta simulando ser empleados de la entidad financiera” para que la víctima no sospeche de que se trata de un fraude, como indica la nota de prensa publicada por la Policía Nacional.
Las víctimas pueden recibir nuevos SMS mientras se mantienen al teléfono con los ciberdelincuentes
Se trata de un fraude perfeccionado, no sólo por la combinación de SMS y llamadas haciéndose pasar por el banco, sino, además, porque el número de teléfono desde el que llaman a la víctima puede parecer un número legítimo del banco, aunque indican que realmente no lo es, como ocurre con los SMS que se envían en la misma cadena de comunicaciones de una entidad.
Una vez la víctima comienza a hablar por teléfono con los ciberdelincuentes y estos le informan de que han visto movimientos sospechosos en su cuenta, haciéndose pasar por empleados del banco, “le solicitan las claves de firma electrónica con las que opera habitualmente” con la excusa de que van a resolver el problema.
De esta forma, mientras mantienen la comunicación, estos pueden seguir enviando SMS e incluso simular que transfieren llamadas desde otros departamentos, consiguiendo tener acceso total a la banca online de la víctima y, por tanto, seguir haciendo operaciones mientras hablan con ella por teléfono.
Si recibimos una supuesta llamada del banco, la Policía recomienda colgar y llamar directamente a la entidad
Como hemos dicho, el número desde el que nos llaman puede aparecer como si fuese el del banco, por tanto, ante la duda, la Policía Nacional recomienda colgar y llamar directamente al banco.
De igual forma, si recibes un SMS que dice ser de la entidad bancaria con un link para acceder a determinados movimientos, es aconsejable no pinchar sobre este enlace, eliminar el mensaje e ir directamente a la aplicación del banco o llamar a atención al cliente y comprobar si es cierto lo que nos piden. No obstante, los bancos no van a pedir credenciales mediante mensajes de texto, como indica la Policía Nacional.
Consejos para evitar ser víctima de phishing
No podemos hacer que dejen de llegarte estos casos, pero sí tenemos una serie de recomendaciones que puedes seguir cuando te vuelva a llegar una supuesta alerta o sorteo que use el nombre de tu empresa de confianza.
- Fíjate bien en el link que te envían. Si te llega un mensaje, presta atención al link que te envían y si lleva el nombre de la empresa.
- Si una institución supuestamente se está poniendo en contacto contigo, pero el SMS no está dirigido a tu nombre, sospecha.
- Observa si el SMS contiene faltas de ortografía o frases sin sentido.
- Contrasta con las fuentes antes de dar tus datos. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Recuerda que puedes preguntar a la propia compañía, a la Policía o a la Guardia Civil o a nosotros a través de nuestro servicio de WhatsApp.
- Mantén actualizado el sistema operativo y el antivirus.
Si te llega un SMS sospechoso, puedes contactar con la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) o también utilizar su línea de ayuda en ciberseguridad. También es recomendable denunciarlo a la Policía Nacional o ante la Guardia Civil.
Y recuerda que puedes enviarnos un email a [email protected] para contarnos tu caso, si has sido víctima de este o cualquier otro fraude.
Primera fecha de publicación de este artículo: 11/08/2021