La Oficina de Seguridad del Internauta (OSI), es la encargada de detectar las estafas que existen en internet y comunicarlas a los usuarios para que no caigan en ellas.
El último aviso que han dado es sobre una campaña de smishing (un tipo de phishing, pero de SMS fraudulentos) que suplantan a nueve entidades bancarias.
A la víctima le llega un SMS alertando de que debe pulsar en el enlace y seguir los pasos. El objetivo de esta campaña es hacerle creer que existe algún fallo o error con sus datos para dirigirle a una página web que se hace pasar por la de la entidad bancaria en cuestión, y así robarle las credenciales de acceso.
Este tipo de SMS pueden ser enviados por un número desconocido o, incluso, se pueden camuflar con el resto de SMS que envía el propio banco y así parecen reales, además de que se utilizan enlaces muy parecidos a los originales.
La OSI ha dado a conocer los nueve bancos que han sido suplantados:
- Santander
- Caixabank
- Unicaja
- Bankinter
- Openbank
- Ibercaja
- BBVA
- Abanca
- Kutxabank
Para cada uno de ellos hay varios modelos de smishing. Un ejemplo podría ser: A partir del [dd/mm/aaaa] no podrá utilizar su tarjeta debido a cambios en la política de seguridad. Acceda al link para proceder con la activación [URL fraudulenta]. Entonces, el usuario pulsa en la URL y le dirige a la página fraudulenta. Otro modelo es decirle al usuario que se va a suspender su tarjeta de crédito o débito por supuestas operaciones sospechosas, ya que este mensaje preocupa mucho a la víctima y pulsa en el enlace.
Cómo detectar SMS fraudulentos o smishing
Cualquier persona puede ser víctima de esta estafa de smishing si pertenece a una de las entidades bancarias nombradas anteriormente. Pero existen unos patrones que pueden desenmascarar estas estafas. Por ejemplo, si hay faltas de ortografía o fallos gramaticales, si emplean palabras que no se utilizan normalmente o si hay dobles espacios en el contenido del SMS. Además, es importante prestar atención a la URL, ya que si emplean los dominios como .ly, .to, .com, .eu, .at, etc. es probable que sean estafas. Por otro lado, si hay alguna mayúscula en el enlace es otra señal de que no es fiable.
También hay que sospechar si el contenido del SMS tiene palabras como “seguridad”, “bloqueo”, “activar”, “actualizar”, “tarjeta”, “reactivar” o “cuenta”, ya que son palabras empleadas para alarmar a la víctima y que caiga en la trampa.
Cómo actuar en caso de smishing
Lo principal es que el usuario que recibe un SMS fraudulento no debe pulsar en el enlace ni facilitar sus datos, debe eliminarlo directamente. Pero, en el caso de que el usuario pinche en el enlace y entregue sus datos, inmediatamente debe ponerse en contacto con su banco y explicar lo sucedido para bloquear las tarjetas y cancelar posibles transacciones. La OSI también recomienda cambiar la contraseña si utiliza la misma para otras aplicaciones y avisa a los usuarios que tengan en cuenta que los bancos nunca notifican incidentes sobre su cuenta a través de correo electrónico o SMS incluyendo un enlace a su web en el mensaje.
Por último, la OSI advierte que no se descarta que estos mensajes puedan estar llegando por correo electrónico (phishing) a dispositivos móviles.
