En los últimos días se ha detectado una serie de mensajes SMS maliciosos o lo que se conocer como smishing. A través de estos mensajes, suplantan la identidad de BBVA y comunican a los destinatarios que se ha producido una incidencia relacionada con sus cuentas, tarjetas u otros productos bancarios, por lo que deben “verificar” sus datos a través de un enlace que aparece en el mensaje, informó el banco.
El enlace dirige a un sitio web fraudulento que solicita información confidencial, como el RFC, INE, pasaporte, tarjetas, clave de acceso, número de celular, entre otros.
Posteriormente, los datos confidenciales son utilizados por los ciberdelincuentes para realizar el segundo ataque:
-A través de una llamada telefónica se hacen pasar por BBVA, contactan a las personas que previamente facilitaron su información y les indican que se detectaron movimientos bancarios fraudulentos.
-Se indica que para recuperar su dinero, recibirá un código a través de SMS y, en caso de que este no llegue, se solicitará al cliente que lo genere y lo proporcione durante la llamada.
-Con las claves de acceso obtenidas en la página web fraudulenta y los códigos enviados por SMS, los ciberdelincuentes consiguen todos los datos necesarios para realizar los movimientos fraudulentos en nombre de las víctimas.
¿Qué es el smishing?
Es el uso de métodos de engaño a través de SMS o mensajes de texto del móvil para conseguir información personal del usuario y hacer un uso fraudulento de ella. La diferencia con el phishing es el medio por el que se hace la estafa; en el phishing es principalmente a través de correo electrónico y en el smishing se hace con SMS. No es un fenómeno nuevo, porque apareció por primera vez en 2008, pero ahora se ha incrementado gracias al uso de aplicaciones de mensajería como Whatsapp.
¿Cuáles son las formas más habituales del smishing?
Generalmente, el objetivo de estos mensajes es obtener información confidencial, como claves o datos bancarios, pero a veces también para vender productos inexistentes o “infectar” el móvil. Para lograrlo, envían un SMS al usuario con una promoción irresistible, la posibilidad de conseguir un premio o, simplemente, un aviso de una empresa de mensajería o de una entidad bancaria.
Si se pincha en el mensaje, el usuario es dirigido a una página web fraudulenta que, bien imita a la original para robar sus datos bancarios o sus contraseñas, bien contiene código malicioso para instalar algún malware, bien engaña al usuario para que se instale una aplicación que recopilará y enviará información confidencial a terceros.
También es habitual el envío de mensajes que piden que se llame a un número de teléfono de tarificación especial o suscribirse a un servicio SMS premium que supone un gasto adicional.
cj