La Policía ha alertado a través de redes sociales de un nuevo intento de smishing que puede llegar a nuestro teléfono. En este caso, se trata de un SMS fraudulento que suplanta la identidad del Banco Santander y del que la propia entidad bancaria también ha advertido a través de sus canales en rrss.
Pero esta oleada de SMS fraudulentos no solo afectan al banco Santander. La la compañía de protección antivirus y experta en ciberseguridad Eset también ha alertado de estos mensajes que suplantan la identidad de las entidades bancarias con el objetivo de conseguir las credenciales de acceso a la banca online de los usuarios.
En concreto, Eset indica que los ciberdelincuentes han conseguido suplantar la identidad de los bancos a través de SMS, aunque recuerda que existen filtros ‘antispam’, como el incorporado dentro del sistema operativo Android, que detecta «bastantes de estos mensajes como potencialmente peligrosos».
Intentan transmitir sensación de urgencia al usuario
Entre las características de estos mensajes, Eset destaca la redacción de los mismos, ya que están escritos para «crear una sensación de urgencia y tratar de conseguir así que los usuarios que los reciban no se detengan a revisarlos en busca de incongruencias o posibles errores que delaten su origen malicioso».
Además, indica que en estos mensajes «casi siempre» se utiliza un enlace acortado que impide ver cuál es el sitio web enlazado, «por lo que esta es una pista muy importante a la hora de identificar casos de smishing».
No debemos pulsar el enlace del SMS
Sin embargo, recuerda que en otras ocasiones, este tipo de delincuentes han proporcionado la dirección de las webs que han usado para suplantar al banco, por lo que aconseja «no pulsar sobre ninguno de los enlaces» y acudir directamente a la web de la entidad. Eset señala que, una vez el usuario accede al enlace proporcionado por los delincuentes, la web simula a la del banco. «Con el tiempo, estas plantillas se han ido perfeccionando y ahora son muchos los que no sabrían distinguir a simple vista la web fraudulenta de la copia», afirma al respecto la compañía.
Estas webs tienen formularios para solicitar las credenciales del usuario que permiten acceder a la cuenta de banca ‘online’, como el DNI que suele usarse como identificador y la clave de acceso, si bien únicamente con estos datos, los delincuentes no pueden realizar movimientos como transferencias de dinero, al no contar con el código de un solo uso implantando por las entidades bancarias a modo de doble autenticación.
«Les sigue haciendo falta el código que el banco envía para autorizar la operación y por eso lo suelen pedir en los pasos posteriores. Si el usuario cae en la trampa y lo introduce, es muy probable que vea como desaparece dinero de su cuenta», advierte Eset.
