Los intentos de fraude mediante las nuevas tecnologías cada día están más presentes en nuestro día a día, pudiendo afectarnos a nosotros mismos o a los clientes de nuestra organización. En este caso, queremos informarte de uno que ha sucedido hace unas horas y cuyo objetivo era nuestra entidad, aunque ha sucedido con otras.
Se trata del envío de un mensaje fraudulento vía SMS que simulaba provenir de Andbank, cuando en realidad había sido enviado por un actor externo malicioso. En el texto se incluía un enlace a una página web maliciosa con el objetivo de que el receptor del SMS accediera pulsando sobre el mismo:
El enlace incluido en el SMS conduce a una web fraudulenta que suplanta el acceso a la banca online del banco. Esta web solicita información de interés para los ciberdelincuentes, como son sus credenciales o número de teléfono:
A continuación, contactan por teléfono con las personas que han proporcionado esta información para pedirles datos adicionales como la firma, lo que permite a los ciberdelincuentes suplantar a la víctima y operar dentro de la banca online en su nombre.
Para hacer más creíble la llamada anterior, los cibercriminales emplean lo que se denomina suplantación de los números de teléfono en llamadas entrantes. Esta técnica les permite enmascarar su número de teléfono detrás del legítimo de Andbank, de manera que cuando la víctima recibe la llamada fraudulenta el número que le aparece en su terminal es el de Andbank. De esta manera, consiguen un mayor anonimato y una enorme capacidad de engaño.
Otra forma de realizar el fraude es realizar la llamada de teléfono sin que haya existido ningún mensaje previo. En este caso, el ciberdelincuente intenta generar un clima de confianza para que el cliente les diga por teléfono su usuario y claves de acceso y con ellas accede de forma simultánea banca online en su nombre. Esto provoca que el cliente reciba un SMS con un código que el ciberdelincuente le solicita para introducirlo y poder operar.
Este tipo de ataque se le conoce como smishing, el cual es una variante del tradicional phishing, solo que en lugar de intentar engañar a la víctima a través de correos electrónicos, se utilizan mensajes de texto a través del móvil.
Por ello, queremos recordarte que NUNCA DEBES hacer clic en ningún enlace que pueda ser sospechoso. Adicionalmente, ten en consideración los siguientes puntos que te pueden ayudar a evitar ser víctima de estos ataques:
- Desconfía de remitentes desconocidos.
- Nunca facilites información personal o confidencial a través de un mensaje.
- Nunca hagas clic ni en un enlace ni en un número de teléfono que aparezca en un SMS y que parezca sospechoso o que no esperas.
- Si recibes un SMS que te parece sospechoso, nunca debes responder al mismo; en su lugar, notifica inmediatamente al área de Seguridad de la Información.
- Te recomendamos que visualices este recurso para ampliar información sobre este tema.
Y RECUERDA:
Ante cualquier duda, o si te encuentras ante alguna situación como las descritas en este comunicado, ponte en contacto con nosotros.
Además, en caso de cualquier indicio o sospecha de ataque, desconéctate inmediatamente de la red.