Categorías
Seguridad

Lo último en phishing por SMS

Siempre hay que estar alerta ante posibles estafas, intentos de phishing o nuevas técnicas y estratagemas para colarse en nuestros sistemas y robarnos nuestros datos o nuestro dinero.

Una de las últimas que nos ha llegado lo hace a través de SMS.

Observemos la siguiente captura de pantalla:

Afortunadamente, muchos dispositivos ya advierten de que podría tratarse de spam, lo cual (no siempre) nos ayuda y mucho a identificarlo. Pero podría pasar que nuestro sistema no avisara de que se trata de un posible spam. ¿Qué otras cosas podemos utilizar para identificarlo?

En primer lugar, los bancos ya llevan tiempo trabajando en evitar estas estafas. Siempre nos dicen que ellos no nos van a pedir nuestra contraseña por ningún medio, ni telefónico ni por mensaje. La excepción es la web oficial del banco, donde, como siempre, deberemos introducir nuestro usuario y contraseña. Así que salvo en la web oficial no deberíamos comunicarle la contraseña a nadie.

Si entramos en el enlace que aparece en el SMS, nos llevará a una página temporal (es posible que al intentar acceder más adelante ya no exista) que parece la web de Bankia, en la que se nos pedirá el usuario y la contraseña completos. Esto nos llevará a algún tipo de mensaje en pantalla del estilo de «usuario activado de nuevo correctamente» y lo que hemos hecho realmente es enviar nuestro usuario y contraseña del banco a un desconocido que procederá rápidamente a acceder a nuestra cuenta a realizar operaciones a su favor con nuestro dinero.

Este tipo de estafas tienen cierto componente estadístico. ¿Bankia? ¿Tengo cuenta en Bankia? Si la respuesta es que no, no hay duda posible: es un mensaje fraudulento porque no tenemos cuenta en Bankia. Si tenemos cuenta en Bankia, tendremos que estar más atentos y evitar picar el anzuelo. Puntos a revisar en estos casos son:

  • Los bancos nunca mandan ese tipo de SMS.
  • Si «nuestro banco» nos envía un mensaje como ese, llamemos al servicio de atención al cliente oficial o entremos a través de la web oficial y revisemos el apartado de comunicaciones o notificaciones para comprobarlo.
  • Si entramos en el enlace que nos envían por SMS, observemos todos los detalles y nos daremos cuenta de que no estamos en una web oficial del banco: no tendrá https con certificado de la entidad bancaria, la dirección URL será parecida pero con algo incorrecto (bannkia, bankiia) o bien simulando oficialidad pero utilizando subdominios (bankia.dominioraro.com) o directamente aprovechando algún tipo de abreviatura que no disimula en absoluto su procedencia (hfgte.to, qwert.ty, …)

En todo caso, lo mejor es ignorar completamente el SMS, borrarlo y no seguir ningún paso que nos lleve a introducir nuestro usuario y contraseña en una web pirata. Nuestro bolsillo nos lo agradecerá.

Deja una respuesta