Los ciberataques de phishing que utilizan a entidades financieras están a la orden del día y últimamente el Banco Santander está siendo uno de los ganchos favoritos de los ciberdelincuentes. De hecho, en el último mes se ha visto envuelta en tres campañas diferentes y cada una de ellas ha utilizado un vector de ataque distinto: el primero fue las llamadas telefónicas, lo que se conoce como la técnica del vishing, el segundo fue un phishing difundido por correo electrónico y ahora un phishing que se propaga mediante SMS.
La Policía Nacional ha alertado en Twitter sobre esta campaña de mensajes de texto fraudulentos que se dirigen a los usuarios del Banco Santander suplantando la identidad de esta entidad y con un pretexto muy atractivo, ya que les indica que han recibido dinero. El SMS arranca con el clásico slogan de "Santander informa" y continúa con estas palabras: "Le informamos que ha recibido un reembolso. Por favor, acceda a la cuenta online y consulte su situación en nuestro sitio www.santandern.es".
El objetivo de los ciberdelincuentes con este mensaje es robar las credenciales de acceso e información bancaria de los usuarios redirigiéndoles a la web que incluye al final, una página que no es la oficial y que al intentar acceder, Google identifica como un sitio web "engañoso". Estas señales deberían ser identificadas por los usuarios como un claro ataque de phishing, pero a muchos se les pueden pasar desapercibidas y por ello la Policía Nacional ha lanzado esta advertencia:
"Recibes un #sms ✉ supuestamente de tu banco diciendo que te han hecho un reembolso y que pinchando un enlace lo verás. Te dejas llevar por la emoción... ¡et voilà! has picado. Solo quieren tus datos, no pinches en enlaces de procedencia desconocida #Phishing #NOPIQUES".
La web fraudulenta detrás de este SMS de phishing
Tal y como explica Maldito Bulo, dedicada a informar de cualquier "fake news", al entrar en la URL que incluye el SMS se ve que se trata de un caso de phishing.
"En la página piden a los usuarios que introduzcan su número de documento y la contraseña, sin embargo, el resto de elementos que aparecen (como el logo, la pestaña de 'volver' o el apartado de atención al cliente) no redirigen a ningún sitio. Esta es una de las claves que nos debe hacer sospechar de que estamos ante un intento de estafa online. En todo caso, no proporciones tus datos ni introduzcas ninguna clave en esta URL", advierte.
Cómo protegerse del phishing
Para evitar ser víctima de este tipo de estafas es clave recordar que ni el Santander ni ninguna otra entidad bancaria o compañía de cualquier tipo te van a pedir jamás por correo electrónico o mensajes de SMS que facilites contraseñas, números PIN o cualquier dato privado. Además, también se pueden seguir otras recomendaciones, como las que ofreció Bitdenfender el pasado mes de febrero o como las que proporciona el Banco Santander en su página web.