Apartir del 22/07/2021 No puedes utilizar su cuenta, Tienes que activar la nueva sistema de seguridad (sic.)” dice el SMS que nos habéis enviado a [email protected] y que suplanta al Banco Santander. Tal y como está escrito el mensaje, nos lleva a sospechar que, efectivamente, se trata de un caso de smishing, un phishing a partir de un SMS.
No obstante, hay que tener mucho cuidado porque lo recibimos en la misma cadena en la que recibimos el resto de notificaciones del Banco Santander, en caso de ser cliente. Esto puede provocar que la persona que lo recibe piense que es legítimo y acabe proporcionando sus datos.
En los últimos días en Maldita.es hemos visto un aumento de estos casos. Ya os alertamos de los SMS que suplantaban a BBVA y a Seur. Estos mensajes también se recibían a nombre de estas empresas y aparecía junto con el resto de comunicaciones que enviaban estas entidades. A esto se le denomina SMS 'Spoofing'.
En la siguiente imagen se puede ver cómo el receptor recibió este SMS que suplantaba al Banco Santander junto con el resto de notificaciones de esta entidad:
El SMS contiene faltas de ortografía
Este mensaje a nombre de Santander, como ya hemos mencionado, está mal escrito ( “la nueva sistema de seguridad”, “No puedes utilizar su cuenta”). Por tanto, ya desde el primer momento es una señal que nos debe hacer sospechar de que no nos lo envía nuestro banco. Esto, además, es muy habitual en los casos de phishing.
Los navegadores advierten de que se ha detectado phishing en el sitio web al que te redirige el link
Si clicamos sobre el link que nos envían, podemos ver que los navegadores, como Chrome y Firefox nos advierten de que se trata de un sitio web “engañoso” y que se ha detectado phishing. Por tanto, lo recomendable es que si recibimos un SMS y no estamos seguros de su legitimidad, además de contactar con nuestro banco, accedamos a la URL desde un ordenador para comprobar si los navegadores detectan algún fraude.
Además, si nos fijamos, la URL no es del Banco Santander, aunque se hace pasar por ella. La URL de esta entidad es www.bancosantander.es y www.bancosantander.es/particulares, en el caso de acceder a la sección de “particulares”, como su propio nombre indica. En cambio, la URL a la que nos lleva el mensaje fraudulento es http://partuculiers-santander-es...Por tanto, no te fíes si la URL no coincide con la original.
La dirección web no está disponible actualmente
En Maldita.es hemos accedido al link que nos envían y hemos comprobado que la dirección web ya no está disponible.
Sin embargo, la persona que se ha puesto en contacto con este medio nos ha enviado las capturas de pantalla del sitio al que le dirigía la URL que hemos mencionado. Esta se hace pasar por esta entidad y pide al usuario su número de identidad, clave de acceso, así como su firma electrónica.
El Banco Santander nunca va a pedirte contraseñas por SMS
Los casos de phishing están a la orden del día. Por ello, el Banco Santander ya ha informado a los usuarios de que “desde el banco nunca” te pedirán “contraseñas ni número de PIN por mensajería privada o SMS”, como indica este tuit.
¿Has recibido algún mensaje sospechoso con nuestro nombre? ¡NO PIQUES! ✋Desde el banco nunca te pediremos contraseñas ni número de PIN por mensajería privada o SMS.
— Santander (@bancosantander) October 1, 2020
Aprende a protegerte de fraudes y conviértete en un #CiberHeroe ? https://t.co/uswFAq34Eu
¿Cómo envían este SMS fraudulento a nombre del Banco Santander?
El Instituto Nacional de Ciberseguridad (INCIBE) señala a Maldita.es que el SMS no se envía desde la cuenta del banco ni desde el número del mismo, sino que “los actores maliciosos dan de alta un 'alias' para el envío de SMS idéntico al alias que utiliza la entidad bancaria, con lo que consiguen que las aplicaciones de mensajería de los teléfonos agrupen el mensaje en la misma conversación legítima, pareciendo que es de la entidad original”. Afirman que no es lo habitual pero que ya se ha detectado el mismo modus operandi en otras campañas.
La utilización de estos alias que hemos mencionado, según el instituto, es “una funcionalidad dentro de los servicios de SMS por la cual se puede sustituir el identificador numérico o número de teléfono del remitente por un identificador alfabético de hasta 11 caracteres”.
Sobre la regulación de esta funcionalidad para evitar este tipo de suplantaciones, indican que “depende de las comprobaciones que realicen los proveedores de internet y de la normativa de cada país, por lo que no se puede descartar que los SMS se estén enviando desde algún país extranjero donde los actores hayan conseguido dar de alta ese alias para su uso fraudulento”.
Con el INCIBE coincide el maldito y experto en ciberseguridad, Jorge Louzao: “si buscas en internet 'SMS remitente personalizado', encontrarás que hay decenas de empresas de envío de mensajes que ofrecen ese servicio”, aunque, según el experto, podrían haberlo “enviado desde algún servicio extranjero para dificultar su seguimiento en caso de que alguien denuncie”.
El también maldito, licenciado en telecomunicaciones y experto en ciberseguridad, Iván Forcada, nos explica que “el uso de SMS es considerado inseguro desde hace años. Casi siempre se habla de la inseguridad de usarlos para recibir el segundo factor de autenticación pero lo que no se menciona tanto es la facilidad para suplantar al remitente”. Esto se denomina 'SMS Spoofing'.
Teniendo en cuenta lo mencionado, Forcada concluye que hay que seguir educando en ciberseguridad y tener en mente cuando recibamos un SMS que “son inseguros, por lo que no deberíamos utilizarlos para nada importante”, aunque es consciente de su uso por parte de los bancos los cuales, en su opinión, “deberían dejar de utilizar”. Por último, recomienda desconfiar de un SMS “que te pida hacer algo”, especialmente “si hay errores gramaticales, aunque sean pequeños”.
Consejos para evitar ser víctima de phishing
No podemos hacer que dejen de llegarte estos casos, pero sí tenemos una serie de recomendaciones que puedes seguir cuando te vuelva a llegar una supuesta alerta o sorteo que use el nombre de tu empresa de confianza.
- Fíjate bien en el remitente y el enlace al que te redirige el SMS. Si te llega un mensaje, presta atención al remitente que te lo envía y, en este caso, al suplantar al Banco Santander, a la dirección a la que te redirige.
- Cuidado si al intentar pinchar en los elementos de la web no te dirige a ningún sitio, te pide verificar tus datos o instalar una aplicación móvil.
- Observa si el SMS contiene faltas de ortografía o frases sin sentido.
- Contrasta con las fuentes antes de dar tus datos. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar.
- Si te llega un mensaje sospechoso como este recuerda que puedes contactar con la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) o también puedes utilizar su línea de ayuda en ciberseguridad. También puedes denunciarlo a la Policía Nacional o ante la Guardia Civil e informarnos a nosotros a través de nuestro servicio de WhatsApp (+34 644 229 319).
Si te ha llegado uno de estos SMS o crees que has sido víctima de un timo similar, puedes enviarnos un email a [email protected].
Primera fecha de publicación de este artículo: 30/07/2021
