“Su cuenta ha sido desactivada”: phishing a clientes de Caixabank recibido por SMS

Cuando analizamos las amenazas más predominantes en teléfonos móviles durante los últimos meses vemos como los troyanos bancarios representan un porcentaje importante de ellas. No solo eso, sino que el SMS como vector de ataque ha cobrado un especial protagonismo a la hora de propagar estas amenazas en este entorno, algo que no ha pasado desapercibido para muchos delincuentes que ahora rescatan este vector clásico de propagación también para otro tipo de amenazas que pueden afectar a muchos usuarios, independientemente del móvil que usen.

SMS suplantando a Caixabank

El mensaje de texto recibido recientemente por algunos usuarios españoles es bastante escueto y directo. En él se indica que nuestra cuenta de Caixabank había sido desactivada y se nos solicita acceder a un enlace para realizar una verificación. Sin embargo, en lugar de proporcionar un enlace relacionado con esta entidad bancaria, se nos indica un enlace acortado que no permite ver cual es la dirección final.

Este detalle del enlace acortado debería hacer sospechar a más de uno, pero como el mensaje es bastante alarmista y, supuestamente, se trata de algo relacionado con nuestra cuenta bancaria, es muy probable que más de un usuario ignore esta señal de alerta si recibe este SMS y es cliente de Caixabank.

Un caso de phishing tradicional

Al contrario de los troyanos bancarios, donde los delincuentes intentan convencer a sus víctimas para instalar una aplicación maliciosa haciéndola pasar por otra legítima, en esta ocasión se nos redirige a una web que trata de suplantar el acceso a la cuenta de Caixabank. En esta web, los delincuentes han usado el logo de dicha entidad bancaria y los colores corporativos para tratar de hacerla más creíble y convencer a aquellos que accedan a ella de introducir sus credenciales.

Sin embargo, si revisamos la URL donde son redirigidos los usuarios comprobaremos que realmente pertenece a una empresa de construcción italiana cuya web ha sido comprometida para alojar esta web fraudulenta. Además, los delincuentes han obtenido un certificado de seguridad gratuito para que aparezca el candado de seguridad en la barra del navegador (algo que ya se ha convertido en habitual) y tratar de convencer a las victimas de que se encuentran en un sitio seguro cuando no lo es.

Si la víctima introduce sus credenciales de acceso a la banca online, el siguiente paso de los delincuentes es tratar de obtener el código de verificación enviado por la entidad a la hora de realizar una transferencia. De esta forma podrán transferir dinero desde la cuenta de la víctima hasta otra controlada por ellos o por un mulero, suplantando la identidad de la víctima y robándole el dinero que tenga guardado en la cuenta.

Esta técnica sigue siendo sencilla de realizar para los delincuentes pero, a su vez, sigue permitiéndoles obtener buenos resultados. Por ese motivo, las entidades están implementando cada vez más medidas de seguridad e incluso proporcionando información sobre seguridad para sus clientes, incluyendo también detalles sobre cómo funcionan y como protegerse de los ataques de phishing.

Cabe recordar que este tipo de campañas de phishing usando mensajes SMS en lugar del habitual correo electrónico es algo ya visto anteriormente como, por ejemplo, en este caso de hace unos años suplantando al Banco Santander. Sin embargo, el éxito obtenido por  campañas de todo tipo que han usado SMS durante los últimos meses ha hecho que volvamos a ver como vuelven a utilizarse estos mensajes de texto por los delincuentes.

Conclusión

Revisando las tendencias de las amenazas dirigidas a dispositivos móviles vemos como los delincuentes están especialmente interesados en el robo de credenciales de acceso a servicios de banca online y de datos relacionados con las tarjetas de crédito. Con una transformación digital acelerada como consecuencia de la pandemia, millones de usuarios sin experiencia han empezado a usar este tipo de servicios en los últimos meses y esto ha provocado un caldo de cultivo ideal para los delincuentes.

Por ese motivo conviene estar informado de estas amenazas y sus cambios de tendencia, aplicar todas las medidas de seguridad que proporcione nuestra entidad bancaria o emisora de tarjeta de crédito y contar con una solución de seguridad en nuestro móvil que sea capaz de alertarnos y bloquear estas amenazas.

Josep Albors

Nueva campaña de FluBot suplanta empresas de logística usando SMS