CaixaBank alerta a sus clientes de un elaborado smishing

Después de la integración entre CaixaBank y Bankia del pasado año, se ha formado la entidad financiera española de mayor tamaño, concretamente unos 21 millones de usuarios de los cuales la gran mayoría usan los canales digitales.

Su sistema tecnológico y operativo llega a un volumen medio de 29.000 transacciones por segundo y su red une a más de 16.000 servidores.

Como era de esperar, este volumen operativo no ha pasado inadvertido por los cibercriminales que intentan aprovecharse de brechas de seguridad o de realizar sus ciberestafas.

Ya a finales de año, en el SOC de Infordisa se anunciaba mediante una alerta de seguridad sobre el incremento de smishing suplantando a entidades bancarias, pues bien, CaixaBank también reitera este aviso.

CaixaBank insiste que en ningún caso enviará SMS que contengan enlaces. Técnicamente los SMS se pueden falsear y al recibirlos se pueden colocar en el mismo hilo y esto puede engañar fácilmente.

A finales de enero la entidad envió a sus usuarios un SMS indicando:

Ahora recibiras tus alertas en tu App CaixaBankNow y no por SMS. Recuerda que si desactivas tus notificaciones dejaras de recibir tus alertas.

¿Cómo funciona esta estafa?

Según explica el banco, en la primera fase de la estafa, el usuario recibe un SMS firmado supuestamente por CaixaBank animándolo a clicar en un enlace. Para que sea menos sospechoso, los ciberdelincuentes engañan al dispositivo del cliente para que coloque el mensaje falso a continuación de los mensajes legítimos recibidos previamente de CaixaBank, en el mismo hilo de SMS.

Si el usuario pincha en el enlace, le dirige a una web falsa, que imita la de CaixaBank, solicitando datos personales como el usuario, la contraseña y el número de teléfono. Al enviar los datos solicitados, el usuario recibe una llamada del ciberdelincuente haciéndose pasar por un gestor de CaixaBank. El número falso que aparece en la pantalla es muy similar o incluso igual que uno legítimo de la entidad.

En ese momento, el ciberdelincuente se presenta como empleado de CaixaBank e informa a la víctima de que existen movimientos sospechosos en su cuenta. Para solventarlos, le solicita las claves personales y le pide firmar la retrocesión de las operaciones a través de CaixaBank Sign. En algunos casos, para dar más credibilidad a la llamada, el estafador emite falsos mensajes de texto informando sobre las operaciones que está llevando a cabo.

Así, el delincuente conseguirá tener acceso a la banca online de la víctima y efectuará pagos y transferencias que la víctima firmará como parte del engaño.

¿Cómo evitar la estafa del smishing?

Se puede resumir con las 3 reglas de oro:

  1. Se recomienda no hacer clic en los enlaces contenidos en un SMS.
  2. No proporcionar datos personales, teléfono o claves secretas por medios que no sean la APP o web legítima.
  3. Acceder a la información a través de la propia APP o de la página web legítima del servicio.

A finales del pasado mes de enero también publicamos una buena práctica en el SOC de Infordisa: «Cómo evitar suplantaciones de identidad de entidades bancarias«. Os recomendamos tener en cuenta todos los consejos.

Comparte este contenido:

Deja un comentario

Calendario Ciberseguridad /24

LIVE WEBINAR | 1/2/2024

Cómo proteger tu Active Directory de ataques Ransomware con Tenable

Alertas de seguridad

Recibe las más importantes a tu email