Nos habéis preguntado a través de las redes sociales por dos mensajes de texto enviados en nombre del Banco Santander que aseguran que tu cuenta o tu tarjeta bancaria ha sido “bloqueadas temporalmente” por motivos de seguridad y que incorporan sendos enlaces para reactivarlas. Son mensajes diferentes con enlaces diferentes, pero con el mismo argumento. Se trata de un nuevo caso de phishing a través de SMS (smishing) que intenta hacerse con tus datos y tu dinero, tal y como hemos explicado en Maldita.es.
Las páginas web no pertenecen al Banco Santander
Como decimos, ambos SMS contienen un enlace donde supuestamente puedes reactivar tu cuenta o tu tarjeta. Sin embargo, ninguna de las URL adjuntas es la oficial del Banco Santander (www.bancosantander.es).
En este caso el enlace no lleva a ninguna página web, pero se puede comprobar que la URL (http://bancosantandershelps.com/es) no es segura porque que utiliza el protocolo HTTP y no HTTPS. Según la Oficina de Seguridad del Internauta (OSI), "en páginas donde tengamos que introducir información bancaria la URL sí debe facilitar HTTPS que indique que la información se transmite cifrada".
En el mensaje que asegura que tu tarjeta bancaria está bloqueada, la página web a la que lleva el link (https://particulares.one) suplanta al Banco Santander y solicita introducir el número de tu documento nacional de identidad. Sin embargo, el resto de los elementos de la página como la política de privacidad, la atención al cliente o el logo de la entidad bancaria no redirigen a ningún sitio al clicar sobre ellos. Esto es algo que siempre te tiene que hacer sospechar.
El mismo mensaje se ha utilizado con otros bancos
Además, el argumento que emplean estos mensajes de texto, es decir, el bloqueo de la cuenta por distintas razones, se ha utilizado ya para suplantar a otros bancos. Entre ellos, Bankia en septiembre del año pasado o Caixabank el pasado febrero.
El Banco Santander ya ha advertido en diversas ocasiones en sus redes sociales de estos fraudes en su nombre y ha asegurado que “nunca” solicitarán contraseñas ni número de PIN por mensajería privada o SMS, como tampoco la firma electrónica completa por email ni por teléfono.
También en mayo de este año se produjo otro smishing en nombre del Banco Santander asegurando que la tarjeta había sido bloqueada “debido a un cargo sospechoso” o que anunciaba la recepción de un “reembolso” y que también desmentimos en Maldita.es.
Consejos para evitar ser víctima de phishing
No podemos hacer que dejen de llegarte estos casos, pero sí tenemos una serie de recomendaciones que puedes seguir cuando te vuelva a llegar una supuesta notificación de tu empresa de confianza.
- Fíjate bien en el remitente y la dirección a la que te redirige el SMS.
- Si el SMS contiene faltas de ortografía, no te fíes.
- Mira la dirección de la web a la que te redirige. Normalmente este tipo de notificaciones vienen con un link en el que te piden que introduzcas tus datos. Si la URL de esta página web no es de la empresa por la que se hace pasar o es una mezcla de letras, números y el nombre de esa empresa, no introduzcas tus datos. Para ello, fíjate bien en lo que aparece antes del último punto, ese es el dominio real de la página web.
- Cuidado al intentar pinchar en los elementos de la web si no te dirigen a ningún sitio o te pide verificar tus datos.
- Contrasta con las fuentes antes de dar tus datos o pulsar un enlace. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Recuerda que puedes preguntar a la propia compañía, a la Policía o a la Guardia Civil o a nosotros a través de nuestro servicio de WhatsApp (+34 644 22 93 19).
Asimismo, puedes contactar con la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) o también puedes utilizar su línea de ayuda en ciberseguridad.
Si has sido víctima de phishing puedes mandarnos tu caso a [email protected].
Primera fecha de publicación de este artículo: 05/07/2021
