La Oficina de Seguridad del Internauta ha detectado una campaña de envío de correos electrónicos fraudulentos que suplantan al Banco Santander, cuyo objetivo es dirigir a la víctima a una página web falsa (phishing) para robar sus credenciales de acceso e información bancaria, con la excusa de que es necesario activar un nuevo sistema de seguridad.
La campaña maliciosa detectada tiene como asunto “A partir del 23 de Junio de 2020, no podrá utilizar su tarjeta”, aunque no se descarta que existan correos con asuntos y contenidos similares que estén utilizando el nombre de cualquier otra entidad bancaria.
En la comunicación se informa al usuario que la entidad bancaria ha desarrollado una nueva red de seguridad para garantizar mayor seguridad. Para activar el nuevo servicio el usuario debe acceder al enlace.
Los ciberdelincuentes, para dar más veracidad a la comunicación, han falseado parte de la dirección del remitente haciendo que parezca que proviene de la entidad bancaria legítima, cuando en realidad no es así.
Cabe destacar que, en este caso, la redacción del correo no presenta errores ortográficos, ni gramaticales.
Si se hace clic en el enlace incluido en el correo, el usuario accederá a la página web fraudulenta que suplanta a la del Banco Santander.
Tras introducir las credenciales de acceso, el usuario será redirigido a una sección donde se le solicita información referente a la firma electrónica.
Una vez introducidos todos los caracteres de la firma electrónica, le solicitará además información de la tarjeta bancaria.
A continuación, el número de teléfono.
Por último, solicita dos veces un código de verificación SMS.
Una vez introducidos todos los datos anteriores, el usuario será redirigido a la página web legítima del Banco Santander para dotar de mayor credibilidad al fraude y no levantar sospechas sobre la víctima.
¿Qué hacer?
- Nunca te sientas presionado a hacer clic en un enlace de un correo electrónico. Aún más importante, no actúes siguiendo consejos que no solicitaste y que no esperabas. Si realmente estás buscando consejos sobre el coronavirus, realiza tu propia investigación.
- No te dejes engañar por el nombre del remitente. Esta estafa dice que es de la “Organización Mundial de la Salud”, pero el remitente puede poner cualquier nombre que desee en el campo De:
- Presta atención a errores ortográficos y gramaticales. No todos los delincuentes cometen errores, pero muchos lo hacen. Tómate un tiempo extra para revisar los mensajes en busca de signos reveladores de que son fraudulentos: ya es bastante malo ser estafado si te das cuenta que podrías haber detectado el fraude.
- Verifica la URL antes de escribirla o hacer clic en un enlace. Si el sitio web al que accedes no parece correcto, mantente alejado. Haz tu propia investigación y tu propia elección sobre dónde buscar.
- Nunca introduzcas datos que un sitio web no debería solicitar. No hay ninguna razón para que una página web de concientización de salud solicite tu dirección de correo electrónico, y mucho menos tu contraseña. En caso de duda, no los des a conocer.
- Si te das cuenta de que acabas de revelar tu contraseña a los impostores, cámbiala lo antes posible. Los delincuentes que dirigen sitios de phishing generalmente prueban las contraseñas robadas de inmediato (este proceso a menudo se puede hacer automáticamente), por lo que cuanto antes reacciones, menos probabilidades hay de daños mayores.
- Nunca uses la misma contraseña en más de un sitio. Una vez que los delincuentes tengan una contraseña, generalmente la probarán en todos los sitios web donde puedas tener una cuenta, para ver si tienen suerte.
- Activa la autenticación de dos factores (2FA) si puedes. Esos códigos de seis dígitos que recibes en tu teléfono o generas a través de una aplicación son un inconveniente menor, pero generalmente son una gran barrera para los delincuentes, porque el simple hecho de conocer su contraseña por sí sola no es suficiente.
De manera adicional, ten en cuenta siempre los consejos que facilitan los bancos y entidades financieras en su sección de seguridad:
- Cierra todas las aplicaciones o programas antes de acceder a su web.
- Escribe directamente la URL de la entidad en el navegador, en lugar de llegar a ella a través de enlaces disponibles desde páginas de terceros o en correos electrónicos.
- Si prefieres hacer uso de la app del banco para los distintos trámites, asegúrate que descargas la aplicación oficial.
- No accedas al servicio de banca online desde dispositivos públicos, no confiables o que estén conectados a redes wifi públicas.