Aprovechando que durante estos días se ha terminado la integración de clientes provocada por la fusión de las entidades CaixaBank y Bankia, los delincuentes no han querido desaprovechar esta oportunidad, con varias campañas de phishing activas desde hace días. Todas estas campañas tienen la misma finalidad, que no es otra que la de robar credenciales de acceso a la banca online y datos de las tarjetas de crédito.
Diferentes correos con el mismo propósito
A pesar de que durante este año hemos revisado varias campañas de phishing similares suplantando la identidad de CaixaBank, en esta ocasión hemos comprobado como los delincuentes se están esforzando especialmente. Debido a la integración del sistema informático de las dos entidades fusionadas durante el pasado fin de semana, algunos de los servicios no estuvieron disponibles durante algún tiempo y esto ha hecho que muchos usuarios sean más propensos a caer en las trampas preparadas por los delincuentes.
Son varios los correos que llevamos analizados desde hace unos días, con asuntos similares que impulsan al usuario a revisar el estado de su cuenta debido, por ejemplo, a un supuesto acceso no autorizado o a un bloqueo de la tarjeta de crédito. La finalidad de estos emails no es otra que la de conseguir que quien reciba este email pulse sobre el enlace proporcionado.
En caso de que el usuario caiga en la trampa, será redirigido a una web controlada por los delincuentes. En este punto hemos visto que los delincuentes han utilizado tanto sitios webs previamente comprometidos para alojar la web fraudulenta como nuevos dominios generados que emulan a la web legítima como, por ejemplo, caixaspain[.]selfverication[.]com.
Sin embargo, en todos los casos revisados hemos podido comprobar como los delincuentes se han preocupado de obtener un certificado de seguridad para conseguir el candado al lado de la URL. Recordemos que ese candado no indica que la web sea segura, sino que la comunicación entre nuestro dispositivo y la web se realiza de forma cifrada.
De esta forma, si el usuario introduje las credenciales de acceso en esta web fraudulenta, se las estará entregando directamente a los delincuentes, quienes podrán utilizarlas para entrar en su cuenta y, por ejemplo, consultar su saldo. Sin embargo, para poder robar el dinero de la cuenta les va a hacer falta algo más, tal y como veremos a continuación.
Confirmando operaciones y robando la tarjeta de crédito
Sabiendo que las credenciales obtenidas no son suficientes para proceder a vaciar la cuenta bancaria de la víctima, el siguiente paso es solicitar la confirmación de la operación a través de la aplicación CaixaBank Sign. Para no levantar sospechas, los delincuentes camuflan esta confirmación como una verificación de seguridad.
Además de esta confirmación mediante la app, también se solicita el código de verificación de un solo uso que la entidad envía por SMS cuando se trata de realizar operaciones como las transferencias bancarias de dinero. No obstante, el usuario que lee el siguiente mensaje puede estar pensando que el envío de este código se está realizando como una operación para confirmar su acceso a las operaciones de banca online.
Por si fuera poco, los delincuentes no se detienen en este punto, ya que, además de tratar de robar todo el dinero posible desde la cuenta bancaria de la víctima, en el siguiente paso también solicitan que introduzca datos relacionados con su tarjeta de crédito. A algunos puede que les sorprenda que solo se soliciten las últimas cuatro cifras de la tarjeta, pero es que, teniendo acceso a todos los datos de su cuenta, esta información ya la tienen, y lo único que necesitan para poder usarla de forma fraudulenta es la fecha de caducidad y el código CVV.
Una vez proporcionada toda esta información, se muestra una pantalla en la que se indica que la identidad ya ha sido verificada y que ya se puede acceder a los servicios de banca digital de CaixaBank, procediéndose a redireccionar al usuario a la web legítima de dicha entidad.
Por desgracia, para el usuario que haya seguido todos estos pasos es muy probable que todo haya sido un procedimiento normal y rutinario motivado por la integración de los sistemas informáticos de Bankia con los de CaixaBank producida durante el pasado fin de semana. Sin embargo, no pasará mucho tiempo hasta que se dé cuenta del error y vea cómo el dinero desaparece de su cuenta y su tarjeta de crédito empieza a ser utilizada en compras online sin su autorización.
Conclusión
Salvo algunos matices, esta campaña de phishing no es muy diferente de otras analizadas en meses anteriores. Sin embargo, el hecho de que se haya producido justo después de que terminase la fusión de las dos entidades que componen ahora CaixaBank puede que haya jugado a favor de los delincuentes y haya un número mayor de víctimas que en ocasiones anteriores.