Phishing de CaixaBank para robar credenciales de acceso y datos de tarjetas de crédito

A pesar de que los troyanos bancarios han experimentado un importante incremento desde hace más de un año, el phishing destinado a robar credenciales de acceso a servicios de banca online sigue estando muy presente. Buena prueba de ello son los casos analizados durante los últimos meses en este blog, algunos de los cuales han estado centrados en usuarios de CaixaBank, lo cual tiene sentido debido a los cambios producidos recientemente por la fusión de las dos entidades que ahora conforman este banco.

Actualización de CaixaBank Sign

En esta ocasión nos encontramos con un correo electrónico que tiene como asunto una supuesta actualización. Sin embargo, en el cuerpo del mensaje se hace referencia a una suspensión de una “cuenta Sign” y se adjunta un enlace sobre el que pulsar, además de añadir el logotipo de la entidad para tratar de resultar más convincente de cara al usuario que reciba este correo.

Además, si nos fijamos en la dirección desde la cual se envía este email, observamos como por mucho que los delincuentes quieran hacerla pasar por el servicio CaixaBank Sign, el remitente no tiene nada que ver con la entidad suplantada y el correo proviene nada menos que de Nueva Zelanda.

Si bien estos casos de phishing son relativamente fáciles de detectar, no debemos olvidar que cualquiera puede estar con la guardia baja por cualquier motivo y pulsar sobre el enlace proporcionado o descargar un archivo adjunto y abrirlo. Por ese motivo es importante aprender a desconfiar de este tipo de comunicaciones y contactar directamente con la entidad bancaria en caso de dudas.

Robo de credenciales y de la tarjeta de crédito

En los últimos meses hemos visto otras campañas de phishing dirigidas a usuarios de CaixaBank y que han usado diferentes vectores de ataque como el SMS o el correo electrónico. En estos casos se pretende obtener datos relacionados con el acceso a los servicios de banca online, aunque las formas de obtenerlos pueden variar e incluso, como en este caso, tratar de obtener otros datos relacionados con las tarjetas de crédito de la víctima.

Al pulsar sobre el enlace proporcionado en el email se nos redirige a una web que está siendo utilizada por los delincuentes para mostrar un panel de acceso fraudulento a los servicios de banca online de CaixaBank. En este primer paso, los delincuentes tratan de obtener las credenciales de acceso utilizadas por la víctima y, por ese motivo, solicitan su identificador y la contraseña.

Sin embargo, con el robo de estas credenciales los delincuentes tan solo pueden acceder a la cuenta de la víctima y consultar información, pero no realizar transferencias suplantando su identidad. Esto es debido a que, durante los últimos años, la gran mayoría de bancos han ido incorporando medidas de seguridad adicionales para evitar que robar dinero de las cuentas sea tan fácil como lo era anteriormente.

Por ese motivo, los delincuentes se las tienen que ingeniar y tratar de convencer a sus víctimas de que autoricen las transferencias para así poder robarles el dinero de sus cuentas. Para ello deben conocer el funcionamiento de la banca online de la entidad suplantada para, seguidamente, intentar que el engaño sea lo más convincente posible.

En este caso, tras el paso donde la víctima introduce sus credenciales, los delincuentes muestran una pantalla donde se le solicita que confirme la operación en la aplicación CaixaBank Sign. Esta es la app que confirma la realización de transferencias, pero para evitar que la víctima se dé cuenta, los delincuentes lo presentan como una confirmación para indicar que se está conectado y que somos los usuarios legítimos.

No obstante, este no es el único método de autentificación necesario para realizar transferencias de dinero, ya que también son muchas las entidades que solicitan un código de verificación que suele enviarse por SMS o mediante una app generadora de códigos. Por ese motivo, el siguiente paso de los delincuentes pasa por pedir este código a la víctima.

Con toda esta información los delincuentes ya pueden proceder a realizar transferencias desde la cuenta de la víctima hacia otras cuentas bancarias. En este punto, es importante destacar que las transferencias no se suelen realizar a cuentas controladas directamente por los delincuentes y que el desvío de dinero suele realizarse a muleros, que pueden ser profesionales que se dedican a esta actividad delictiva o a personas que han sido engañadas con la promesa de un trabajo fácil y bien remunerado (aunque en los últimos años su número ha ido decreciendo).

Por último, y no contentos con robar el dinero de la cuenta bancaria de la víctima, los delincuentes han incluido un último apartado donde se solicita al usuario que introduzca los datos de su tarjeta de crédito. Con esta información pueden realizar pagos en su nombre, causándole aun un mayor prejuicio económico.

Como vemos, no se han utilizado técnicas complejas para obtener toda esta información y los delincuentes se han limitado a solicitar la información necesaria para poder realizar transferencias de dinero en nombre de la víctima y a cargo de su cuenta. Esto demuestra que este tipo de phishing sigue activo y que es necesario concienciar a los usuarios de su existencia, además de adoptar nuevas medidas de seguridad por parte de los bancos y jubilar otras que se ha demostrado que son ineficaces, como el envío de códigos de verificación por SMS.

Conclusión

Tal y como acabamos de comprobar, estos casos de phishing pueden resultar especialmente peligrosos si no son identificados a tiempo y los usuarios proporcionan la información solicitada por los delincuentes. Por ese motivo es importante aprender a reconocerlos y contar con una solución de seguridad que nos ayude a indentificarlos en el caso de que tengamos dudas.

Josep Albors

Resumen de noticias de ciberseguridad del mes de junio