No te fíes de los SMS o llamadas que llegan de BBVA o Santander: los ataques aprovechan el hilo de esos mensajes o tu DNI para engañarte

Cuidado con los SMS de tu banco. Lo normal es que los ataques de phishing llegaran a través del correo electrónico y trataran de engañarte para que hicieras clic donde no debías, pero ahora esos ataques van un paso más allá con el llamado 'smishing' y el SMS Spoofing.

Estos ataques son más delicados porque hacen que lleguen mensajes SMS en el mismo hilo de los mensajes legítimos de tu banco: de repente parece que el BBVA o el Santanter te avisan a través de sus hilos normales de SMS —aparentemente los mismos donde recibes mensajes normales— de un posible acceso no autorizado o de que tu cuenta ha sido desactivado. Para resolverlo, claro, solo tienes que hacer clic en un enlace, pero cuidado, porque ese enlace es el el peligro real.

Smishing y SMS Spoofing como nuevas amenazas

El propio Banco de España ha alertado de este tipo de fraudes con los que los delincuentes suplantan la identidad de los bancos para intentar acceder a datos e información privada del usuario.

El Banco Santander tiene de hecho una página informativa sobre estos ataques de ingeniería social, llamados también smishing, y que como comentábamos acaban tratando de engañarnos usando SMS.

En Xataka

Estafa del SMS de BBVA y Santander: cómo funciona y cómo puedes evitar caer en este engaño

Los atacantes suelen utilizar argumentos ya conocidos: te ha tocado algún premio o ha surgido un problema o amenaza en tu cuenta que puedes resolver directamente. ¿Cómo? Haciendo clic en el enlace que se suele incluir en el mensaje.

Mucho ojo con el phising que está circulando de BBVA

😱 el sms llega en el mismo hilo de tus mensajes de bbva

☠️ si lo lees rápido y no te fijas en el dominio, te la lían en minutos #phising #phisingBBVA pic.twitter.com/KLnpK4h8S6

— MJ Cachón (@mjcachon) January 11, 2022

Vaya, me ha llegado un supuesto SMS del @BBVA sin tener cuenta en ese banco, y que me manda a una página web rusa. Me siento seguroooo 🤪 #infosec #smishing #phishing pic.twitter.com/GnEFjp5YXm

— Óscar Urra (@o_urra) January 8, 2022

🚨 ALERTA: nueva campaña de #phishing suplanta al #BBVA vía SMS 📲. Gracias al periodista @CdelCastilloM por advertirnos a todos 😀 Info ampliada en nuestro artículo: https://t.co/00R8DTn3M8 #ciberseguridad #prevención #recuperardatos #RecuperaData #recuperacióndedatos pic.twitter.com/EZSAiFN8tW

— RecuperacionDeDatos (@recuperadata) January 4, 2022

Aunque no soy cliente de @bbva @BBVAresponde_es @BBVA_espana he recibido este intento de phishing @mossos @policia @guardiacivil pic.twitter.com/JRXWGJar8W

— Miquel (@Untitl3d86) January 5, 2022

El @bbva me manda un SMS que alguien ha entrado en mi cuenta sin autorización. Que horror!!!!!
no piquéis con el #phishing @movistar_es

Menos mal que no tengo cuenta en bbva pic.twitter.com/NIyNo3iBEv

— bugator (@bugator2) January 8, 2022

Son muchos los usuarios que en las últimas semanas han avisado por ejemplo en Twitter de cómo mensajes de bancos como el BBVA o el Santander llegan precisamente con ese tipo de textos.

Como se puede comprobar en esos mensajes, los enlaces que se incluyen son normalmente sospechosos desde el primer momento al usar por ejemplo dominios de países extraños (como Rusia, .ru) aunque hay otros más elaborados y que hacen uso de nombres dominio más creíbles (como el que intenta hacernos clicar en bbva-movil-seguridad.net).

Los ciberdelincuentes están suplantando la identidad de empresas y envían SMS fraudulentos. Desde BBVA no te enviaremos SMS con enlaces, ni te pediremos claves o datos personales. Te recomendamos que elimines el mensaje. Un saludo.

— BBVA (@bbva) January 3, 2022

En BBVA ya indicaron en Twitter que "no te enviaremos SMS con enlaces, ni te pediremos claves o datos personales", y de hecho terminaban diciendo que lo mejor que podías hacer con esos mensajes era eliminarlos directamente.

Al final, como indican en Santander, es importante no hacer clic en los enlaces a páginas web que nos envían a través de mensajería instantánea o SMS. Si tenemos dudas podemos abrir el navegador o la app móvil oficial de forma separada para acceder a nuestra cuenta y comprobar que todo está en regla, pero también podemos contactar con nuestro banco mediante una llamada de teléfono.

¿Cómo es posible que los cacos tengan tu DNI o teléfono? Eso hace más creíble el engaño

Además de este problema también se están dando otros problema importante: de repente te puede llegar una llamada en la que alguien se hace pasar por un empleado del Banco Santander o del BBVA (o de otro banco).

NI AUNQUE SEA DESDE EL MALDITO TELÉFONO DEL PROPIO BANCO. JODER.
A ver si así hay alguien que no pica. Que ya no es divertido como los que llamaban de Microsoft. No lines. Esto ya es otro nivel. pic.twitter.com/zzsDvGcwwa

— JJ Merelo (@jjmerelo) January 11, 2022

La cosa sería fácilmente descartable, pero es que ese supuesto empleado tiene tu nombre, tu DNI y tu teléfono. Eso, claro, hace dudar a cualquiera, porque esos datos efectivamente suele tenerlos el banco con el que operamos.

En Xataka

Ni se llama Linda ni trabaja en Microsoft, pero habla fatal español: mucho cuidado con esta versión del fraude de las llamadas

A partir de ahí el empleado te indica cosas como que ha habido un problema y que te van a enviar un SMS con un enlace para arreglar el problema. O te piden el código que te envía el banco para completar el proceso para arreglar el problema. ¿Qué hacemos?

De nuevo, nada. Ignorar la llamada y el mensaje y, en caso de dudas, llamar nosotros a nuestro banco, que con toda seguridad nos dirá que eso ha sido un ataque de phishing y que no existe problema alguno con nuestra cuenta.

¿Cómo es posible entonces que un ciberatacante tenga nuestro nombre, DNI y teléfono? Es muy probable que los haya obtenido de filtraciones de datos masivas como la que se produjo el año pasado entre los clientes de Phone House.

Allí se robaron 113 GB con teléfonos, direcciones y más, y ahora esos y otros datos son perfectos para que los ciberdelincuentes afinen estos ataques de ingeniería social y los hagan aún más sofisticados. Ocurrió recientemente con los mensajes falsos de la empresa de mensajería MRW, por ejemplo.

Como ya mencionamos en el pasado, ante estas llamadas lo importante es no hacer nada con urgencia. Román Ramírez (@patowc), experto en ciberseguridad y organizador del evento RootedCon, nos explicaba que lo importante ante una llamada de este tipo es que "la gente se enfríe y no haga nada inmediatamente". Los delincuentes tratan de manipular nuestros sesgos cognitivos y convencernos de que debemos actuar rápido y sin pensar.

Sin embargo eso es precisamente lo que no debemos hacer. Debemos tener sentido común y no tomar ninguna decisión inmediata. En cuanto nos tomemos un minuto para analizar el problema nos daremos cuenta de que con casi total seguridad ese problema no existe. Cuidado no obstante con estos fraudes, porque ciertamente cada vez son más peligrosos.

Vïa | EuropaPress

-
La noticia No te fíes de los SMS o llamadas que llegan de BBVA o Santander: los ataques aprovechan el hilo de esos mensajes o tu DNI para engañarte fue publicada originalmente en Xataka por Javier Pastor .

Fuente: Xataka
Enlace: No te fíes de los SMS o llamadas que llegan de BBVA o Santander: los ataques aprovechan el hilo de esos mensajes o tu DNI para engañarte