CaixaBank alerta als seus clients d'un elaborat smishing

Després de la integració entre CaixaBank i Bankia de l'any passat, s'ha format l'entitat financera espanyola més gran, concretament uns 21 milions d'usuaris dels quals la gran majoria fan servir els canals digitals.

El seu sistema tecnològic i operatiu arriba a un volum mitjà de 29.000 transaccions per segon i la seva xarxa uneix més de 16.000 servidors.

Com calia esperar, aquest volum operatiu no ha passat inadvertit pels cibercriminals que intenten aprofitar-se de bretxes de seguretat o de fer les seves ciberestafes.

Ja a finals d'any, al SOC d'Infordisa s'anunciava mitjançant una alerta de seguretat sobre el increment de smishing suplantant entitats bancàries, doncs bé, CaixaBank també reitera aquest avís.

CaixaBank insisteix que en cap cas enviarà SMS que continguin enllaços. Tècnicament els SMS es poden falsejar i en rebre'ls es poden col·locar al mateix fil i això pot enganyar fàcilment.

A finals de gener l'entitat va enviar als usuaris un SMS indicant:

Ara rebràs les teves alertes a la teva App CaixaBankNow i no per SMS. Recorda que si desactives les notificacions deixaràs de rebre les alertes.

Com funciona aquesta estafa?

Segons explica el banc, a la primera fase de l'estafa, l'usuari rep un SMS signat suposadament per CaixaBank animant-lo a clicar en un enllaç. Perquè sigui menys sospitós, els ciberdelinqüents enganyen el dispositiu del client perquè col·loqui el missatge fals a continuació dels missatges legítims rebuts prèviament de CaixaBank, al mateix fil de SMS.

Si l'usuari punxa a l'enllaç, dirigeix-lo a una web falsa, que imita la de CaixaBank, sol·licitant dades personals com l'usuari, la contrasenya i el número de telèfon. En enviar les dades sol·licitades, l'usuari rep una trucada del ciberdelinqüent fent-se passar per un gestor de CaixaBank. El número fals que apareix a la pantalla és molt similar o fins i tot igual que un de legítim de l'entitat.

En aquest moment, el ciberdelinqüent es presenta com a empleat de CaixaBank i informa la víctima que hi ha moviments sospitosos al seu compte. Per solucionar-los, us demana les claus personals i us demana signar la retrocessió de les operacions a través de CaixaBank Sign. En alguns casos, per donar més credibilitat a la trucada, l'estafador emet falsos missatges de text informant sobre les operacions que duu a terme.

Així, el delinqüent aconseguirà tenir accés a la banca en línia de la víctima i efectuarà pagaments i transferències que la víctima signarà com a part de l'engany.

Com evitar l'estafa de smishing?

Es pot resumir amb les 3 regles d'or:

  1. Es recomana no fer clic als enllaços continguts en un SMS.
  2. No proporcionar dades personals, telèfon o claus secretes per mitjans que no siguin l'APP o web legítima.
  3. Accedir a la informació a través de la pròpia APP o de la pàgina web legítima del servei.

A finals del passat mes de gener també vam publicar una bona pràctica al SOC d'Infordisa: «Com evitar suplantacions d'identitat d'entitats bancàries«. Us recomanem tenir en compte tots els consells.

Comparteix aquest contingut:

Deixa un comentari

Calendari ciberseguretat /24

LIVE WEBINAR | 1/2/2024

Com protegir el teu Active Directory d'atacs Ransomware amb Tenable

Alertes de seguretat

Rep les més importants al teu email