.- ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha alertado de un aumento de ataques de phishing a entidades financieras españolas en los últimos días, a pesar de que parezca que muchos delincuentes estén aprovechando el coronavirus como tema único para realizar sus ataques.
Las campañas más recientes que se han observado empezaron el pasado jueves 2 de abril con un mensaje SMS enviado a varios usuarios haciéndose pasar por Bankinter, en el que se indicaba que la cuenta bancaria de la víctima había sido bloqueada temporalmente. Este tipo de mensajes se han repetido posteriormente con Bankia y Santander como supuestos remitentes.
En el caso de que el usuario que recibe el mensaje SMS en su dispositivo móvil pulsase sobre el enlace correspondiente, accedería a una web que podría pasar, a primera vista, por una web legítima.
En el caso del Santander, para empezar, el diseño de la web es diferente a la original que la entidad tiene para acceder a su zona de clientes. No obstante, el diseño está bastante bien realizado y podría ser confundido por uno legítimo. “Lo que nos debería preocupar es que esta web de phishing (como muchas de las que se generan desde hace tiempo) presenta un certificado válido, algo que muchos usuarios interpretan como que la web es segura cuando en realidad lo único que se garantiza es que la comunicación que estamos realizando con esa página es segura, no que el contenido de la misma lo sea o que los datos que introduzcamos en ella se encuentren seguros”, alerta Josep Albors, responsable de concienciación e investigación de ESET España.
En el caso del phishing al banco Santander analizado por el laboratorio de ESET, curiosamente los delincuentes no buscan obtener los datos de la tarjeta de crédito, sino las credenciales de acceso a la banca online de la víctima. No obstante, a lo largo de los últimos años las entidades bancarias han ido añadiendo medidas de seguridad adicionales para tratar de dificultar este tipo de delitos.
Tras conseguir que la víctima haya introducido su número de documento de identificación y la clave de acceso, los delincuentes muestran una nueva página donde se solicita los caracteres de la firma electrónica. Esta firma es una medida de seguridad que varias entidades bancarias han adoptado y que consiste en una palabra de seguridad de la cual se solicitan algunos caracteres ubicados en ciertas posiciones cada vez que se vaya a realizar alguna transferencia. En este caso, los delincuentes solicitan todos los caracteres de esta firma electrónica para, una vez han accedido a la cuenta de la víctima, proporcionarlos a la entidad cuando esta se los pida a la hora de robar el dinero de la cuenta corriente.
“Aun contando con todos los caracteres de esta firma electrónica, todavía queda otra capa de seguridad que los delincuentes deben sortear”, advierte Albors. “Estamos hablando del doble factor de autenticación que reciben los usuarios por medio de un SMS antes de confirmar una operación”.
Para obtener la clave temporal, los criminales detrás de esta campaña no se han complicado. Primero solicitan el número de teléfono a donde se enviará este SMS, algo que no debería hacer falta, puesto que el banco ya lo tiene registrado, y que nos debería hacer sospechar.
En los casos de las víctimas de Bankinter y Bankia, los delincuentes buscan obtener los datos de las tarjetas de crédito. “El porqué de este cambio es difícil de explicar”, comenta Albors. “Es probable que se trate de grupos criminales diferentes o de un cambio de estrategia para ver cuál les resulta más beneficiosa”.
Para evitar ser víctima de un fraude de este tipo, ESET aconseja:
- Tener en cuenta que, salvo en contadísimas excepciones, una entidad bancaria no contactará con nosotros para ofrecernos un enlace sobre el que pulsar para entrar a su web. Siempre debemos acceder introduciendo nosotros mismos la dirección web de la entidad bancaria en el navegador, e incluso en alertas como la recibida por SMS siempre es recomendable llamar antes a la entidad bancaria para comprobar si ese aviso lo han lanzado ellos.
- Revisar la web legítima del banco y familiarizarnos con ella para desconfiar cuando accedamos a otras similares. En el caso de la página real del banco Santander, además del candado aparece también en verde el nombre de la entidad bancaria. Lo mismo sucede si revisamos el certificado, donde el banco Santander aparece como propietario del mismo, algo que en la web de phishing no sucede.
- Contar con una solución de seguridad que incorpore módulos antiphishing y de navegador seguro para realizar operaciones financieras.