El Instituto Nacional de Ciberseguridad alerta que se han detectado varias campañas de phishing que se hace pasar por dos entidades financieras, ING y Bankia, con la intención de dirigir a la víctima a una página web falsa para robar sus credenciales de acceso al banco e información personal.
La campaña de correos electrónicos fraudulentos que suplanta a ING tiene como asunto «Actualización de datos personales» aunque no se descarta que puedan utilizar otro tipo de asuntos. En la comunicación se informa al usuario que debe actualizar los datos personales asociados a su cuenta, para ello debe acceder al «Área de clientes» facilitando un enlace en el correo.
Si se hace clic en el enlace incluido en el correo, el usuario será redirigido a una página web que suplanta ser la legítima. En ella se solicita que el usuario introduzca su documento de identificación y fecha de nacimiento, como lo hace la web de ING. Sin embargo, si nos fijamos, el navegador marca el candado tachado indicando que no es un sitio que use un protocolo seguro, lo que ya debería hacernos desconfiar.
Si pulsa ENTRAR redirige a otra página donde solicita que complete las posiciones que faltan de su clave de seguridad, aunque no hay ninguna marcada con asteriscos o rellena.
Después pide introducir el número de teléfono móvil.
A continuación, envía a una página con apariencia de Orange que el navegador también detecta como no segura.
A continuación, será redirigido a la página web legítima de ING, pero si ha introducido sus datos personales y bancarios, estarán en manos de los ciberdelincuentes. Con estos datos podrían entrar en su cuenta de ING.
En el caso de Bankia tiene como asunto «nuevo documento en su cuenta N° 533456-847», aunque este podría variar. En el cuerpo del mensaje se indica al usuario que se va a lanzar un nuevo sistema de seguridad, y debe activarlo para utilizar su cuenta de forma más segura.
El cuerpo del mensaje del correo electrónico es el siguiente:
Haciendo clic en el enlace del correo, el usuario accederá a la página web fraudulenta que suplanta a la de Bankia.
Una vez ha introducido las credenciales de acceso (NIF y PIN), se le pedirá, al usuario todos los datos de la tarjeta.
Si se han introducido todos los datos de la tarjeta y se ha picado en continuar, se pasará a una ventana con un proceso de carga.
En la siguiente pantalla se solicitará la supuesta clave recibida por SMS, aunque en ningún momento se haya pedido información del teléfono.
Una vez metida la supuesta clave recibida, al hacer clic en validar clave, se solicitará nuestra firma digital.
Si introducimos la firma digital y pulsamos en continuar, nos redirigirá a la página legítima de Bankia, y los ciberdelincuentes ya tendrán en su poder todos nuestros datos.
¿Qué hacer?
Nuestros consejos para no caer en este tipo de estafas son:
- No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
- En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
- No contestar en ningún caso a estos correos.
- Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
- Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
- Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.
- Informa de los correos electrónicos sospechosos a tu equipo de seguridad. Adquiere el hábito de hacer esto siempre, aunque creas que no sirve para nada. Los delincuentes de suplantación de identidad no envían sus correos electrónicos solo a una persona a la vez, por lo que si eres el primero en la empresa en detectar una nueva estafa, una advertencia temprana permitirá que tu departamento de TI advierta a todos los demás que podrían haberlo recibido también.
- Busca señales obvias. Como hemos dicho muchas veces antes, lo único peor que ser estafado es ser estafado y luego darse cuenta de que las señales estuvieron ahí todo el tiempo. Los ladrones no siempre cometen errores obvios, pero si los cometen, asegúrate de encontrarlos.
- Si crees que introdujiste una contraseña donde no deberías, cámbiala lo antes posible. Encuentra tu propio camino al sitio oficial del servicio en cuestión e inicia sesión directamente. Cuanto antes corrijas tu error, menos posibilidades tendrán los ladrones de llegar primero.
- Utiliza 2FA siempre que puedas. Las cuentas que están protegidas por autenticación de dos factores son más difíciles de atacar para los delincuentes. Deben engañarte para que reveles tu código 2FA en el mismo momento en que te están haciendo phishing.
- Considera los simuladores de phishing como Sophos Phish Threat. Si formas parte del equipo de seguridad de TI, esta herramienta te ofrece una forma segura de exponer a tu personal a ataques similares a los de suplantación de identidad, para que puedan aprender tus lecciones cuando estás tú en el otro extremo, no los ciberdelincuentes.