Nos habéis preguntado por un SMS supuestamente enviado por el banco ImaginBank en el que se nos advierte que nuestra cuenta bancaria va a quedar suspendida próximamente. A continuación, indica que actualicemos nuestros datos a través de un enlace. Pero esto es smishing (phishing a través de SMS).
El enlace del SMS en el que se nos pide pinchar no pertenece a la web oficial de ImaginBank ni de CaixaBank, redirige a una página muy parecida en aspecto en la que los timadores se intentarán hacer con nuestro usuario y clave de acceso a la banca online.
¿Cómo nos la intentan colar?
Al hacer click en la URL adjunta, nos redirige a una página web (e-b50d2a.ingress-earth.ewp.live) que no es la oficial del banco (https://www.imagin.com/ o https://www.caixabank.es/).
Además, hemos introducido el enlace al que nos redirige el mensaje de texto que se hace pasar por ImaginBank en la página de análisis reputacional URL VOID, donde nos avisa de que el dominio ha sido registrado en Estados Unidos.
Por otro lado, la página que intenta hacerse con nuestros simula una interfaz de usuario de CaixaBank Now, la banca digital de CaixaBank, que ya no está en uso. Es decir, el diseño de la web en la actualidad es distinto, como podemos ver en la imagen.
Tanto ImaginBank como CaixaBank advierten de los peligros del ‘smishing’
Desde la página web oficial de ImaginBank dan diversos consejos de seguridad a sus clientes. Entre ellos, alertan del smishing y recomiendan que “en caso de que tengas alguna duda sobre la autenticidad de cualquier correo electrónico o sitio web que parezca proceder de imaginB, ponte en contacto con nosotros de forma inmediata”.
Además, CaixaBank, banco al que pertenece ImaginBank, va más allá y aconseja “no hacer clic directamente en los enlaces de los SMS”, desconfiar de “mensajes que traten de transmitir urgencia” y vigilar los enlaces demasiado cortos.
En Maldita.es ya hemos desmentido otros casos que utilizan también la imagen de ImaginBank para el phishing y smishing. En uno de ellos, el mensaje que se difundía alertaba de que nuestra cuenta supuestamente había sido desactivada, mientras que en otro comunicaban el supuesto bloqueo de nuestra tarjeta bancaria. Ambos tenían la misma intención de hacerse con nuestros datos bancarios.
Consejos para evitar ser víctima de 'phishing'
No podemos hacer que dejen de llegarte estos casos, pero sí tenemos una serie de recomendaciones que puedes seguir cuando te vuelva a llegar una supuesta alerta o sorteo que use el nombre de tu empresa de confianza.
- Fíjate bien en el link que te envían. Si te llega un mensaje, presta atención al link que te envían y si lleva el nombre de la empresa.
- Cuidado si al intentar pinchar en los elementos de la web no te dirige a ningún sitio o te pide verificar tus datos.
- Observa si el SMS contiene faltas de ortografía o frases sin sentido.
- Contrasta con las fuentes antes de dar tus datos. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Recuerda que puedes preguntar a la propia compañía, a la Policía o a la Guardia Civil o a nosotros a través de nuestro servicio de WhatsApp.
- Mantén actualizado el sistema operativo y el antivirus.
