A tenor de las amenazas que venimos analizando últimamente, podemos ver como los mensajes SMS están siendo empleados activamente como un importante vector de propagación. En las últimas semanas hemos visto numerosos casos de troyanos bancarios dirigidos a dispositivos Android que usan precisamente SMS para conseguir nuevas víctimas, aunque, como vamos a ver, no son las únicas amenazas que los utilizan.
Cuenta bancaria suspendida
El gancho utilizado por los delincuentes en esta ocasión es similar al empleado en otra amenaza similar que analizamos hace unos meses. En esa ocasión se trataba de una supuesta suspensión de una cuenta bancaria del Banco Santander. Sin embargo, para aquella campaña los delincuentes utilizaron el correo electrónico como medio de propagación, mientras que en la que se está propagando entre usuarios españoles en el momento de escribir este artículo se emplean los mensajes SMS como el que vemos a continuación.
A poco que nos detuviéramos a analizar el enlace ya podríamos detectar algo sospechoso en él, pero el aviso de suspensión de cuenta puede hacer que muchos usuarios no se fijen en ese detalle y lo pulsen sin pensárselo dos veces. En ese caso serán redirigidos a una web preparada por los delincuentes y que simula ser la de la entidad suplantada.
Tal y como viene siendo habitual desde hace tiempo, esta web fraudulenta cuenta con un certificado válido, algo que se muestra con su correspondiente candado al lado de la dirección de la web. Recordemos que esto solo indica que las comunicaciones entre el usuario y esa web se encuentran cifradas, no que la web sea segura.
Con respecto al certificado de seguridad, podemos comprobar como ha sido obtenido de la entidad certificadora Let’s Encrypt (algo habitual, puesto que se ofrecen de forma gratuita), que fue emitida el 14 de enero de 2021 y que tiene validez hasta el 14 de abril.
Es muy probable que esta web deje de estar activa dentro de poco, y de hecho nos hemos puesto con contacto con responsables de seguridad del BBVA para que puedan tomar las acciones pertinentes. No obstante, no debemos olvidar que los delincuentes suelen ser bastante persistentes y no descartamos la posibilidad de encontrarnos con nuevas webs fraudulentas suplantando a esta u otras entidades bancarias dentro de poco.
Robo de credenciales
En la web de phishing podemos ver como se solicitan los datos de acceso a la banca online en la forma de un usuario y una contraseña. No obstante, hace tiempo que la mayoría de entidades bancarias empezaron a implementar medidas adicionales de seguridad en forma de códigos adicionales de verificación que deben ser introducidos a la hora de realizar operaciones como la transferencia de dinero entre cuentas.
Los delincuentes son conscientes de estas medidas de seguridad, y en esta ocasión solicitan el número de teléfono de la víctima para que reciba el código de verificación cuando intenten realizar una transferencia bancaria desde su cuenta.
Lo más probable es que los delincuentes soliciten a la víctima este código de seguridad haciéndose pasar de nuevo por la entidad bancaria y poder realizar así la transferencia de dinero hacia una cuenta controlada por ellos. Una vez realizada esta verificación, el usuario verá una pantalla indicando que la información ha sido enviada, pensando que así habrá resuelto el inexistente problema de acceso a su cuenta bancaria.
Para terminar y no levantar demasiadas sospechas, los delincuentes terminan redirigiendo a sus víctimas a la web oficial del BBVA. De esta forma, muchos de los usuarios que han caído en la trampa no sospecharán nada hasta que vean cómo desaparece el dinero de su cuenta bancaria.
Conclusión
Estamos ante un caso de phishing más o menos tradicional pero que utiliza los mensajes SMS en lugar del correo electrónico. Este punto es importante, puesto que muchos usuarios siguen pensando que las comunicaciones realizadas mediante este medio solo pueden provenir de fuentes oficiales y le dan más credibilidad que a los enlaces recibidos por otras vías. Ante este tipo de mensajes alarmantes lo mejor sigue siendo ponerse en contacto con nuestra entidad y comprobar de primera mano si realmente existe un problema con el acceso a nuestra cuenta, en lugar de pulsar sobre un enlace que no sabemos a dónde nos puede dirigir.