Nos habéis preguntado por un mensaje de SMS enviado, supuestamente, por la entidad bancaria Bankinter, avisando de un cargo de 999,99 euros. Pero es un bulo: se trata de un caso de smishing (phishing a través de SMS). Bankinter no ha enviado ningún tipo de SMS de estas características.
En Maldita.es ya os contamos que habían aumentado los casos de este tipo de suplantación bancaria con BBVA o Banco Santander. Se trata de una forma de phishing denominada smishing y que consiste en hacerse pasar por una entidad bancaria para conseguir los datos personales y bancarios de la víctima. En este caso, la persona recibe un SMS donde se le comunica un cargo de una cifra de dinero en su tarjeta de crédito, supuestamente, por parte de su banco de confianza.
El servidor no está en España, sino en Indonesia
Al recibir el SMS podemos observar que el link no lleva a la página web oficial de la entidad (www.bankinter.com), sino a una dirección que está inoperativa actualmente. Hemos introducido la dirección en la web de análisis reputacional web URL VOID, donde vemos que la ubicación del dominio está en Indonesia, no en España.
Por lo tanto, estaríamos ante un claro caso de phishing o smishing con la intención de hacerse con los datos bancarios de la víctima para poder llevar a cabo la estafa. Además, en la propia web de Bankinter alertan de este tipo de estafas, y recuerdan a sus clientes que la entidad nunca les pedirá por SMS los datos personales o de la tarjeta de crédito; tampoco el usuario ni la contraseña.
¿Cómo envían este SMS fraudulento a nombre de Bankinter?
El Instituto Nacional de Ciberseguridad (INCIBE) señala a Maldita.es que el SMS no se envía desde la cuenta del banco ni desde el número del mismo, sino que “los actores maliciosos dan de alta un 'alias' para el envío de SMS idéntico al alias que utiliza la entidad bancaria, con lo que consiguen que las aplicaciones de mensajería de los teléfonos agrupen el mensaje en la misma conversación legítima, pareciendo que es de la entidad original”. Afirman que no es lo habitual pero que ya se ha detectado el mismo modus operandi en otras campañas.
La utilización de estos alias que hemos mencionado, según el instituto, es “una funcionalidad dentro de los servicios de SMS por la cual se puede sustituir el identificador numérico o número de teléfono del remitente por un identificador alfabético de hasta 11 caracteres”.
Sobre la regulación de esta funcionalidad para evitar este tipo de suplantaciones, indican que “depende de las comprobaciones que realicen los proveedores de internet y de la normativa de cada país, por lo que no se puede descartar que los SMS se estén enviando desde algún país extranjero donde los actores hayan conseguido dar de alta ese alias para su uso fraudulento”.
Consejos para evitar ser víctima de phishing
No podemos hacer que dejen de llegar estos mensajes, pero sí tenemos una serie de recomendaciones que puedes seguir cuando te vuelva a llegar una supuesta alerta o sorteo que use el nombre de tu empresa de confianza.
- Fíjate bien en el remitente y el enlace al que te redirige el SMS. Si te llega un mensaje, presta atención al remitente que te lo envía y, en este caso, al suplantar al Bankinter, a la dirección a la que te redirige.
- Cuidado si al intentar pinchar en los elementos de la web no te dirige a ningún sitio, te pide verificar tus datos o instalar una aplicación móvil.
- Observa si el SMS contiene faltas de ortografía o frases sin sentido.
- Contrasta con las fuentes antes de dar tus datos. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar.
- Si te llega un mensaje sospechoso como este recuerda que puedes contactar con la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) o también puedes utilizar su línea de ayuda en ciberseguridad. También puedes denunciarlo a la Policía Nacional o ante la Guardia Civil e informarnos a nosotros a través de nuestro servicio de WhatsApp (+34 644 229 319).
Si te ha llegado uno de estos SMS o crees que has sido víctima de un timo similar, puedes enviarnos un email a [email protected].