La Oficina de Seguridad del Internauta ha detectado una campaña de correos electrónicos fraudulentos que suplantan al BBVA, su objetivo es dirigir a la víctima a una página falsa (phishing) que simula ser la web legítima del banco para robar sus credenciales de acceso.
Los correos detectados en esta nueva campaña de phishing tienen normalmente como asunto: Banca Online de BBVA aunque pueden utilizar otros simulares.
El contenido del correo informa al usuario de que su información de seguridad no se ha actualizado correctamente y que es necesario que actualice sus datos lo antes posible, si no quiere que su cuenta quede suspendida, tal y como muestra la imagen:
Si se sigue el enlace, se accede a una página fraudulenta similar a la legítima, pero que carece de certificado de seguridad, un aspecto que debería hacer sonar todas nuestras alertas. En dicha página se nos insta a introducir la credenciales de acceso al servicio de banca online.
En el caso de dispositivos móviles, esta web parece aún más legítima:
A continuación, si el usuario introduce las credenciales de acceso, será redirigido a otra página en la que le solicita que introduzca la clave recibida por SMS para confirmar la simulación.
En el caso de dispositivos móviles:
Llegados a este punto, al haber introducido las credenciales de acceso y el código de verificación, los ciberdelincuentes ya contarán con estos datos. En el caso de los navegadores web, parece que el proceso finaliza en este punto, pero en dispositivos móviles, redirige al usuario a la web legítima del BBVA.
Recordamos que los ataques de phishing son independientes de la organización atacada. De hecho el BBVA avisa en su web: »Nunca se solicitará ni por correo electrónico, ni por teléfono ni por SMS que se informe de las claves del área privada de clientes de BBVA.es. Las claves obtenidas en el área de registro de clientes de BBVA.es son secretas y únicamente el cliente debe conocerlas para su utilización exclusiva. Asimismo, comunicamos que desde nuestro departamento de seguridad se han tomado las medidas necesarias para contrarrestar y eliminar los posibles daños causados por estos intentos de estafa. Desde BBVA queremos agradecer la colaboración de nuestros clientes en la lucha contra esta modalidad de estafa, para cualquier consulta o información no duden en contactar con nosotros en cualquiera de nuestras oficinas o en el 902 18 18 18».
Consejos contra el phishing
Nuestros consejos para defenderse contra el phishing son:
- No introduzcas credenciales de autenticación en enlaces que recibes por correo electrónico. Introduce directamente el URL o marca como favoritas las páginas a las que normalmente accedes. Si tienes dudas, usa el buscador, escribiendo el nombre de la tienda online, banco, etc… y revisa los resultados. En los primeros puestos suele venir bien su publicidad o el enlace a su web. Siempre debemos ser nosotros quienes accedamos al servicio, nunca clicando lo que el correo indica.
- Crea una dirección de correo electrónico dentro de tu empresa como por ejemplo [email protected] a la que los empleados puedan reenviar los correos electrónicos en caso de duda y esté gestionado por expertos en ciberseguridad para que ellos puedan validad los adjuntos (abriéndolos de forma segura y analizándolos). Por otro lado, si tu departamento de seguridad es informado, podrá evitar que otros compañeros caigan en el phishing, pues muy posiblemente, les haya llegado a varios a la vez.
- En caso de duda, no lo hagas. Tus datos personales valen más que una mínima posibilidad de conseguir un iPad.