Las entidades bancarias son uno de los ganchos favoritos de los ciberdelincuentes para cometer estafas a través de campañas fraudulentas que difunden mediante correos electrónicos (ataques de phishing), SMS (smishing) o llamadas telefónicas (vishing). La semana pasada advertimos que el Banco Santander y el BBVA estaban volviendo a ser suplantadas en unos fraudes que habían elevado su grado de sofisticación recurriendo también a la técnica del "spoofing" y ahora se ha detectado un nuevo ataque de smishing que roba la identidad de CaixaBank.
En esta ocasión, los SMS indican a los usuarios que su cuenta ha sido desactivada (o lo va a ser próximamente) y que, por su seguridad, les piden que completen un proceso de verificación o que activen el nuevo sistema de seguridad en el enlace que proporcionan.
Ojo con esto! No tengo @caixabank @policia estafa a la vista. Como se denuncia esto? pic.twitter.com/2d1ZqQRrJL
— garalvta (@garalvta) January 19, 2022
@caixabank @CABK_Responde @policia nuevo intento de robo, suplantación...arriba se ve el remitente para seguimiento. pic.twitter.com/GmXw3ssDr3
— Manu OM (@Lemanumonde) January 11, 2022
Estos SMS no están tan logrados como en otras campañas de smishing anteriores e incluso pueden contener faltas de ortografía, como se ve en la segunda captura. No obstante, el objetivo es el mismo que suelen perseguir este tipo de ataques: robar los datos de acceso y las credenciales de los usuarios para acceder a su cuenta de CaixaBank para así poder robar su información bancaria y hacerse con su dinero.
Según informa Genbeta, en uno de sus SMS incluyen un enlace acortado que redirige a los usuarios a https://wannatalkgroup.com/caixa-vbve_final/caixa-vbv/caixa-vbv/caixa-vbvfinal/481da13188970c5bb58222ed282da304/index.html, una interfaz que supuestamente es para acceder a CaixaBank y les solicita su número de identificador y contraseña.
CaixaBank ya está al tanto del ataque y pide ayuda a los usuarios
Los dos tuits anteriores no son casos aislados ya que han sido muchos los usuarios que han denunciado en las redes sociales haber recibido un SMS con estas características y que han etiquetado a CaixaBank para que esté al tanto del problema.
La entidad está saliendo al paso de sus denuncias y les está pidiendo a los usuarios que les envíen el texto del SMS a posible.phishing@caixabank.com para poder comprobar el enlace e intentar poner fin a esta campaña.
Hola, Ander. Gracias por el aviso. Por favor, ¿nos podrías enviar el texto del SMS a posible.phishing@caixabank.com? Así podremos comprobar el enlace. Muchas gracias.
— CaixaBank (@caixabank) January 19, 2022
Esta no es ni mucho menos la primera vez que los ciberdelincuentes suplantan la identidad de CaixaBank para llevar a cabo este tipo de estafas y, solo el pasado año, lo hicieron al menos en otras tres ocasiones: en mayo, en noviembre (coincidiendo con su fusión con Bankia) y en diciembre.