Los ciberdelincuentes están creando nuevos métodos para captar víctimas y conseguir su objetivo. En este caso afecta a Bankia, y sus clientes, a través de un email que anuncia un nuevo sistema de seguridad.
Por si no lo sabías, el objetivo de esta suplantación que afecta a Bankia, y que en otras ocasiones ha afectado a otros bancos como Caja Rural, Santander, BBVA, ING y algunos más, es conseguir las credenciales y tener acceso a las cuentas bancarias.
Ahora, y desde la Oficina de Seguridad del Internauta (OSI), se avisa de un nuevo y peligroso caso de phishing. Vamos a desmigajar este caso de suplantación para mostrarte todo lo que consiguen los ciberdelincuentes con solo enviar un email.
Para quien no lo sepa, el phishing es una desafortunada práctica que está muy extendida y que consiste en suplantar a otra empresa, pero con fines malintencionados. Un ejemplo de esto es lo que vas a leer a continuación.
Antes de nada, conviene avisar de esta campaña de phishing a los familiares o amigos que sean de Bankia, por si recibieran el email y pudieran verse dentro de la estafa. Así, como eliminar de inmediato el email que suplanta a la entidad bancaria, en caso de haberlo recibido.
Lo primero que vemos es un email sin logo corporativo, algo extraño, ya que este tipo de estafas suelen estar muy bien montanas para confundirse con la empresa real. Lo siguiente que se observa es un texto simple, con alguna que otra falta de ortografía y algunas partes mal traducidas.
Pero dejando a un lado esto, lo importante y peligroso, a la vez, de estas campañas de phishing, son los enlaces. Ahí es donde se cuece todo el plan creado por los ciberdelincuentes. En el email que suplanta a Bankia nos incitan a pinchar en "Finalizar su solicitud", tras explicarnos brevemente que han creado un nuevo sistema de seguridad y que debemos descargar la app de Bankia.
Ahora es cuando entra en juego la trama, y es que para que la web maliciosa no sea detectada por los navegadores y bloqueen el acceso, una vez que pinchamos en el enlace nos redirigen a una web que se encuentra dentro de los servicios de Tumblr.
Lo que se ve a continuación es una web en la que informan que Tumblr ahora forma parte de la familia de Oath, y nos animan a leer las condiciones del servicio, la política de privacidad y demás cuestiones.
Abajo del todo hay un botón de "Aceptar". Si se pulsa, nos envían a la web que suplanta a Bankia. Salvo por la url, el resto es prácticamente igual a la web oficial de Bankia.
Aquí solo hay dos posibles decisiones, o cerrar todo y no continuar, o ingresar las credenciales de tu cuenta de Bankia.
A estas alturas, igual no recuerdas que hemos llegado hasta aquí por un "simple" email donde nos avisaban de un nuevo sistema de seguridad y nos animaban a descargar la app. En lugar de llevarnos a Google Play o App Store, nos han llevado a una web falsa que suplanta la identidad de Bankia.
Bien, pues en este punto, y si te decides a ingresar las credenciales de tu cuenta bancaria, te invitan a rellenar un formulario en el que solo piden la firma digital y el número de teléfono.
Una vez finalizado todo, somos enviados a la web oficial de la entidad bancaria, pero para entonces, los ciberdelincuentes ya contaran con nuestros datos privados y el acceso casi garantizado a nuestra cuenta bancaria.
Si has recibido este email, y has creído lo que te pedían, acércate de inmediato a la oficina Bankia más cercana que tengas y explica lo sucedido. Ellos podrán ayudarte y es posible que aún estés a tiempo de salvar la situación.
¿Cómo sé que es un correo estafa?
Detectar un email de phishing, como este de Bankia, no es fácil, y aquí vamos a darte 3 aspectos claves para detectarlos:
- Texto: hay que echar cuenta a cómo está escrito, si hay faltar de ortografía, si parece una mala traducción, si no concuerda género y número, etc. También hay que fijarse en las partes de saludo y despedida, ya que si una empresa como Bankia, por ejemplo, te escribe, debe hacerlo dirigiéndose a ti con tu nombre.
- Imágenes: es algo clave en los emails de estafa como este de Bankia, y es que si las imágenes y los logos están borrosos, queda claro que no es algo oficial.
- Enlaces: si con lo anterior no te queda claro si es un email falso, entra al enlace y echa un ojo a la dirección. Debe ser la oficial de la empresa, nada de trucos sucios como, por ejemplo, usar la "i" mayúscula en lugar de la "l" minúscula, poner guiones, agregar letras extras como "Spain", "Oficial", "Store", etc.
Y así es como con un simple email que suplanta a Bankia, y donde nos informan de un cambio en el sistema de seguridad, podemos dar acceso casi ilimitado a los ciberdelincuentes. Usa estos consejos, y a la mínima sospecha consulta con la marca oficial en sus redes sociales oficiales.
¿Qué opinas este email? ¿Crees que debería de haber medidas más fuertes contra los phishing? ¿Conocías este email de Bankia?
- Ver Comentarios