Nos habéis preguntado por un supuesto SMS de Bankinter que afirma que se ha hecho un cargo de 749 euros en la tarjeta del cliente. Hemos comprobado que es un timo: se trata de un caso de smishing (phishing a través de SMS).
Desde Maldita.es ya os hemos contado otros casos parecidos en los que se ha intentado suplantar a bancos como BBVA o Banco Santander. Se trata de una forma muy concreta de phishing denominada smishing, que consiste en hacerse pasar por una entidad bancaria para conseguir los datos bancarios y personales de la víctima.
La página no existe y la dirección está localizada en Países Bajos
La persona recibe un mensaje de la entidad bancaria en el que se le comunica que se ha retenido un cargo de 749 euros. En el SMS se le pide al usuario que, si no ha sido él, anule la operación pinchando en el enlace que aparece a continuación. Sin embargo, la página web del enlace no es la página web oficial de Bankinter, www.bankinter.com y, si la buscamos ahora, podemos ver que ya no existe.
Además, hemos introducido la dirección en la web de análisis reputacional URL Void y se puede ver que el dominio se creó ayer, y que su ubicación está en Países Bajos, no en España. Por lo tanto, estamos frente a una estafa.
Bankinter ya ha advertido de este tipo de timos en su web
La propia entidad bancaria avisa en su página web de que hay que tener mucho cuidado con las webs que suplantan a Bankinter. También aseguran que jamás pedirán datos personales o bancarios a sus clientes a través de SMS, y tampoco el usuario, la contraseña o el número de teléfono.
¿Cómo envían este SMS fraudulento a nombre de Bankinter?
El Instituto Nacional de Ciberseguridad (INCIBE) señala a Maldita.es que el SMS no se envía desde la cuenta del banco ni desde el número del mismo, sino que “los actores maliciosos dan de alta un 'alias' para el envío de SMS idéntico al alias que utiliza la entidad bancaria, con lo que consiguen que las aplicaciones de mensajería de los teléfonos agrupen el mensaje en la misma conversación legítima, pareciendo que es de la entidad original”. Afirman que no es lo habitual pero que ya se ha detectado el mismo modus operandi en otras campañas
Sobre la regulación de esta funcionalidad para evitar este tipo de suplantaciones, indican que “depende de las comprobaciones que realicen los proveedores de internet y de la normativa de cada país, por lo que no se puede descartar que los SMS se estén enviando desde algún país extranjero donde los actores hayan conseguido dar de alta ese alias para su uso fraudulento”.
La utilización de estos alias que hemos mencionado, según el instituto, es “una funcionalidad dentro de los servicios de SMS por la cual se puede sustituir el identificador numérico o número de teléfono del remitente por un identificador alfabético de hasta 11 caracteres”.
Lo que puedes hacer para evitar ser víctima de casos de 'phishing'
Aquí tienes una serie de recomendaciones generales que podrían serte de utilidad si recibes un mensaje de estas características.
- Fíjate en la URL. Comprueba en la barra de direcciones que la página web a la que te redirige el enlace del supuesto mensaje de la empresa o institución tenga una URL oficial. Ten en cuenta que los delincuentes pueden copiar su imagen corporativa, pero no pueden copiar su dominio.
- Atento a la dirección del correo electrónico. Algo parecido a lo anterior ocurre en este caso, los estafadores te envían comunicaciones desde emails que se parecen a los oficiales, pero no lo son. Presta atención a lo que viene después de la “@”, si notas algo raro, borra el correo. Si te contactan por teléfono, compruébalo también.
- Revisa la redacción del texto. En una notificación oficial de una empresa o institución, es muy improbable que el texto tenga faltas de ortografía. Los emails de phishing suelen estar mal redactados o tienen erratas graves.
- Si no está dirigido a tu nombre, sospecha. Normalmente, cuando una institución te envía un correo electrónico se dirige a ti por tu nombre. En los correos de phishing se suelen utilizar fórmulas anónimas como “Estimado cliente” o “Notificación al usuario”.
- Antes de pinchar, pregunta a la institución afectada. Que una institución pida información confidencial a través de un SMS no es lo común. Si sospechas del mensaje, llama a la empresa o el organismo afectado.
- Contrasta la información con fuentes oficiales. Los mensajes de phishing te solicitan que introduzcas tus datos con urgencia para que no te dé tiempo a reaccionar. Pero, si dudas, recuerda que puedes preguntar a la Policía o a la Guardia Civil para comprobar si se trata de phishing. También puedes escribirnos a través de nuestro servicio de WhatsApp (+34 644 229 319) y te intentaremos ayudar.
Si has sido víctima de este timo o de otro similar y quieres contárnoslo, puedes ponerte en contacto con nosotros en [email protected].