Després de la integració entre CaixaBank i Bankia de l'any passat, s'ha format l'entitat financera espanyola més gran, concretament uns 21 milions d'usuaris dels quals la gran majoria fan servir els canals digitals.
El seu sistema tecnològic i operatiu arriba a un volum mitjà de 29.000 transaccions per segon i la seva xarxa uneix més de 16.000 servidors.
Com calia esperar, aquest volum operatiu no ha passat inadvertit pels cibercriminals que intenten aprofitar-se de bretxes de seguretat o de fer les seves ciberestafes.
Ja a finals d'any, al SOC d'Infordisa s'anunciava mitjançant una alerta de seguretat sobre el increment de smishing suplantant entitats bancàries, doncs bé, CaixaBank també reitera aquest avís.
⚠ Compte! No piquis al frau per SMS. Si reps un SMS de la teva entitat bancària, amb un enllaç sospitós i sol·licitant-te dades personals per activar el teu compte, targeta o qualsevol altre pretext, segueix aquestes recomanacions de ciberseguretat: pic.twitter.com/4aU9cCB7t7
— CaixaBank (@caixabank) January 21, 2022
CaixaBank insisteix que en cap cas enviarà SMS que continguin enllaços. Tècnicament els SMS es poden falsejar i en rebre'ls es poden col·locar al mateix fil i això pot enganyar fàcilment.
A finals de gener l'entitat va enviar als usuaris un SMS indicant:
Ara rebràs les teves alertes a la teva App CaixaBankNow i no per SMS. Recorda que si desactives les notificacions deixaràs de rebre les alertes.
Com funciona aquesta estafa?
Segons explica el banc, a la primera fase de l'estafa, l'usuari rep un SMS signat suposadament per CaixaBank animant-lo a clicar en un enllaç. Perquè sigui menys sospitós, els ciberdelinqüents enganyen el dispositiu del client perquè col·loqui el missatge fals a continuació dels missatges legítims rebuts prèviament de CaixaBank, al mateix fil de SMS.
Si l'usuari punxa a l'enllaç, dirigeix-lo a una web falsa, que imita la de CaixaBank, sol·licitant dades personals com l'usuari, la contrasenya i el número de telèfon. En enviar les dades sol·licitades, l'usuari rep una trucada del ciberdelinqüent fent-se passar per un gestor de CaixaBank. El número fals que apareix a la pantalla és molt similar o fins i tot igual que un de legítim de l'entitat.
En aquest moment, el ciberdelinqüent es presenta com a empleat de CaixaBank i informa la víctima que hi ha moviments sospitosos al seu compte. Per solucionar-los, us demana les claus personals i us demana signar la retrocessió de les operacions a través de CaixaBank Sign. En alguns casos, per donar més credibilitat a la trucada, l'estafador emet falsos missatges de text informant sobre les operacions que duu a terme.
Així, el delinqüent aconseguirà tenir accés a la banca en línia de la víctima i efectuarà pagaments i transferències que la víctima signarà com a part de l'engany.
Com evitar l'estafa de smishing?
Es pot resumir amb les 3 regles d'or:
- Es recomana no fer clic als enllaços continguts en un SMS.
- No proporcionar dades personals, telèfon o claus secretes per mitjans que no siguin l'APP o web legítima.
- Accedir a la informació a través de la pròpia APP o de la pàgina web legítima del servei.
A finals del passat mes de gener també vam publicar una bona pràctica al SOC d'Infordisa: «Com evitar suplantacions d'identitat d'entitats bancàries«. Us recomanem tenir en compte tots els consells.