Desde hace varias semanas este tipo de estafas han aumentado la presencia en nuestro país. Las principales entidades bancarias se ven afectadas por este tipo de prácticas y en esta ocasión es Bankia la que ha visto como su nombre ayuda a los ciberdelincuentes a distribuir una estafa vía SMS.
Generalmente este tipo de prácticas se lleva a cabo utilizando mensajes de correo electrónico, donde los ciberdelincuentes pueden utilizar tipografías y logos y utilizar la ingeniería social para convencer a los usuarios sobre la veracidad de la información. Sin embargo, en esta ocasión han recurrido a los mensajes de texto, por lo que la información es mucho más limitada pero propiciando que los usuarios solo tengan un aspecto sobre el cual desconfiar: el número de teléfono. Y es que en el caso del correo se juntan más factores que permiten al usuario decidir sobre la autenticidad del mensajes, como por ejemplo, la dirección de correo electrónico utilizada.
En el menaje se puede ver como se informa al usuario sobre un bloqueo que se ha establecido temporalmente sobre la cuenta que permite gestionar todos los servicios contratados con la entidad. Además, tal y como suele ser habitual, se ofrece al usuario un enlace para poner fin a este bloqueo. Se trata de la misma técnica que se lleva utilizando desde hace mucho tiempo, provocando que el usuario se vea obligado a acceder a una página web para realizar o confirmar algún tipo de operación.
Sin embargo, tal y como vamos a ver a continuación, la dirección URL redirige a una página web falsa.
Un sitio web falso de Bankia para introducir los datos y llevar a cabo el robo de información
Antes de acceder ya podemos observar que el enlace está acortado y que ese no corresponde con el real de la página, siendo en realidad http://8ankia.2fh.co/. Una vez nos encontramos en el sitio web observamos que la tipografía y estilos resultan muy similares a los utilizados por la entidad, pero que no es del todo exacto, por no decir que hay determinados objetos de la web que no están bien ubicados, como por ejemplo los botones de la parte superior derecha.
Hay que tener en cuenta que para acceder a nuestro espacio personal se nos pedirá el DNI y la clave de acceso, pero nunca el teléfono móvil o la firma con la que se autorizan las operaciones. Son dos datos que sobran y que nos indican que nos encontramos ante una estafa, algo que ya se sabía solo con observar la URL que hemos mencionado con anterioridad y que se encuentra fuera del dominio web de la entidad.
Es recomendable extremar las precauciones y más si tenemos en cuenta las fechas en las que pronto nos encontraremos. Podéis ver consejos para detectar Phishing por SMS.