“Pago realizado con su tarjeta por un importe de 2090,99 EUR. Si no reconoce el cobro cancele siguiente nuestro enlace” (sic). Es lo que dice un SMS supuestamente enviado por la entidad bancaria Abanca y por el que nos habéis preguntado a través de nuestro chatbot de WhatsApp (+34 644 229 319). Es un bulo: se trata de un nuevo caso de smishing (phishing a través de SMS) en el que los timadores se hacen pasar por la entidad para hacerse con tu información personal y bancaria.
La URL de la supuesta web no es la oficial de Abanca
Si pulsamos sobre el enlace que incluye el SMS, nos redirige a una página web que no está disponible. No obstante, si nos fijamos en su URL, vemos que empieza por “https://es.abanca…” y esta no es la URL oficial de Abanca (https://www.abanca.com/es/). Este es el primero de los elementos que debe hacernos sospechar que estamos ante un caso de phising.
Además, la propia entidad ha advertido del carácter engañoso de estos mensajes en su cuenta oficial de Twitter. “Nunca te pediremos de esta forma que confirmes/canceles una operación”, explica en esta red social.
Además, en su blog recuerdan que “nunca” solicitarán “datos confidenciales ni claves por correo electrónico, SMS o WhatsApp”. Tiene otras recomendaciones para evitar estas estafas como comprobar que aparezca el indicador de seguridad (representado por un candado) al introducir la URL o cerrar la sesión al terminar las gestiones.
La OSI alerta de este intento de smishing
El pasado 23 de enero, la Oficina de Seguridad del Internauta anunció que se había detectado una campaña de smishing que suplanta la identidad de Abanca. En su web explican los métodos que utilizan los estafadores para hacerse con nuestros datos personales.
La víctima recibe un SMS indicando que “se ha realizado un cargo en su cuenta, un acceso no autorizado o una actividad sospechosa” junto con un enlace fraudulento, que le redirige a una “página web maliciosa que suplanta a la oficial”. Adjunta, además, varios ejemplos de smishing.
Recomienda eliminar el SMS de la bandeja de entrada si no se han introducido los datos y marcarlo como spam para no recibirlo de nuevo. Si, por el contrario, hemos facilitado nuestra información, aconseja ponerse “de inmediato en contacto con la entidad bancaria y explicar la situación”.
¿Por qué el SMS llega a través del remitente oficial de Abanca?
Este es uno de los casos en los que el SMS llega a través del remitente oficial de la empresa a la que suplanta, lo que se conoce como SMS spoofing y que os hemos contado en Maldita.es.
Desde el Instituto Nacional de Ciberseguridad (INCIBE) explican que los ciberdelincuentes crean un alias para el envío de SMS que es idéntico al que utiliza la empresa en cuestión, consiguiendo que “las aplicaciones de mensajería de los teléfonos agrupen el mensaje en la misma conversación”.
Este mismo SMS ha llegado a nombre de otras entidades bancarias como el Banco Santander o el ING, también incluido dentro del hilo de mensajes oficiales de los bancos.
Consejos para evitar ser víctima de phishing
No podemos hacer que dejen de llegarte estos casos, pero sí tenemos una serie de recomendaciones que puedes seguir cuando te vuelva a llegar una supuesta alerta o sorteo que use el nombre de tu empresa de confianza.
- Fíjate bien en el remitente. En los casos de phishing el remitente suele ser diferente al oficial. No obstante, si el SMS te llega dentro del mismo hilo de mensajes oficiales de la empresa, tampoco tiene por qué ser real, como ocurre en este caso y ha pasado en otras ocasiones.
- Analiza el enlace al que te redirige el SMS. Presta atención a la dirección web a la que te redirige el mensaje y si la URL es oficial.
- Cuidado al pinchar en los elementos de la web si no te dirigen a ningún sitio, te pide verificar tus datos o instalar una aplicación móvil.
- Observa si el SMS contiene faltas de ortografía o frases sin sentido.
- Contrasta con las fuentes antes de dar tus datos. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Si te llega un mensaje sospechoso como este recuerda que puedes contactar con la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) o también puedes utilizar su línea de ayuda en ciberseguridad. También puedes denunciarlo a la Policía Nacional o ante la Guardia Civil e informarnos a nosotros a través de nuestro servicio de WhatsApp (+34 644 229 319).
Si te ha llegado uno de estos SMS o crees que has sido víctima de un timo similar, puedes enviarnos un email a [email protected].