El phishing bancario es un clásico en el mundo de la ciberseguridad y los ciberdelincuentes no dejan de adaptarlo para que siga resultando eficaz, tomando como gancho a prácticamente cualquier entidad financiera. En lo que va de año ya se han hecho pasar por el Banco Santander, CaixaBank, ING, BBVA, Liberbank o Abanca, y ahora están suplantando la identidad de Deutsche Bank España.
La compañía de ciberseguridad ESET ha desvelado este nuevo caso de phishing bancario que, según explica en un comunicado, se está difundiendo mediante un tradicional correo electrónico en el que se informa de la necesidad de activar un presunto servicio de seguridad para, paradójicamente, evitar este tipo de incidentes.
"Una de las claves para evitar este intento de suplantación es tener en cuenta si el usuario que ha recibido este correo es cliente o no de Deutsche Bank, para descartar de forma inmediata su contenido. En caso de ser cliente, el usuario debe desconfiar, ya que este tipo de comunicaciones no suelen realizarse por correo electrónico", advierte la empresa.
En cuanto a la redacción del mensaje, ESET señala que los ciberdelincuentes están consiguiendo mejorarla hasta el punto de que ya no es tan fácil distinguir entre un correo legítimo y uno falso. No obstante, apunta que una pista para detectar un ataque de phishing es que muchas veces el enlace que se proporciona no tiene ninguna relación con la entidad bancaria, algo que se puede comprobar al deslizar el puntero del ratón por encima de la URL, sin pulsarla, para revisar a dónde se nos quiere redirigir.
Qué ocurre si el usuario pulsa en el enlace proporcionado por los ciberdelincuentes
En el caso de que el usuario caiga en la trampa y termine pulsando en el enlace proporcionado por los ciberdelincuentes, ESET explica que será redirigido a una web que simula ser la del banco suplantado y en la que se le solicitará que introduzca sus datos personales y su contraseña para poder acceder a su cuenta de banca online.
Una vez que rellene esos campos, indica que es redirigido a la web legítima de acceso a su cuenta de banca online, donde se pueden observar varias alertas donde la entidad bancaria avisa de posibles fraudes y estafas. En este punto, subraya que es preciso recordar que los certificados que otorga el conocido como "candado de seguridad" no certifican que una web sea segura, sino que la conexión entre nuestro dispositivo y dicha web se realiza de forma cifrada.
"Es importante recordar esta cuestión, porque las webs fraudulentas usadas por los ciberdelincuentes actualmente cuentan con estos certificados de seguridad", apunta la firma de ciberseguridad.
En palabras de Josep Albors, director de investigación y concienciación de ESET España: "Casos de phishing como el que acabamos de analizar deben hacernos recordar que los delincuentes no cesan en su empeño de hacerse ricos a nuestra costa, ya sea usando técnicas clásicas como el phishing bancario u otras más avanzadas. Por este motivo, debemos estar atentos a la evolución de estas amenazas y protegernos con soluciones de seguridad que permitan detectarlas".