ESET, compañía líder en detección proactiva de amenazas, alerta a los usuarios de Argentina sobre una nueva campaña de phishing que apunta a clientes del banco BBVA. Los delincuentes están enviando correos con el asunto “Aviso de protección” y un mensaje que hace referencia a la necesidad de verificar algunos datos de los clientes debido a supuestos cambios de seguridad. Como explican desde la cuenta oficial de Twitter de BBVA Argentina a un usuario que recibió un correo similar, los bancos nunca solicitan datos confidenciales como nombre de usuario o claves.
La primera señal que debería hacer dudar a quien recibe este phishing es la dirección de correo del remitente. La misma es una cuenta de Hotmail, con lo cual ya debería confirmar al usuario que se trata de un correo falso.
Imagen 1. Correo de phishing que recibe la víctima.
El cuerpo del correo incluye un botón que dice “verificar ahora”, que contiene un enlace que redirige a una página falsa cuyo nombre de dominio no tiene ninguna relación con el sitio oficial. Según parece, el sitio falso fue creado con una plataforma para crear sitios web llamada Pantheon.
Imagen 2. Página que se abre al hacer clic en el enlace que solicita los datos personales para acceder a la banca línea.
El diseño del sitio falso para acceder al homebanking de BBVA es similar a la web oficial, lo que puede hacer confundir a usuarios desprevenidos que no hayan prestado atención a las señales de engaño. Sin embargo, el enlace no tiene ninguna relación con el sitio oficial y debería funcionar como señal de alerta. El objetivo de la campaña es captar el número de documento, el nombre de usuario y la clave digital de los clientes.
Son muy recurrentes las campañas de phishing, smishing y de suplantación de identidad a través de redes sociales en busca de obtener las claves de acceso de las cuentas bancarias online. Desde ESET comentan que en los casos que apuntan a clientes de bancos los mensajes suelen hacer referencia a movimientos sospechosos y el bloqueo de la cuenta por prevención y generalmente incluyen un enlace para que el usuario reestablezca la cuenta y verifique sus datos por seguridad.
Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, comenta: “Otro modelo de fraude recurrente son los perfiles falsos de bancos en redes sociales. Los delincuentes monitorean la actividad de cuentas oficiales y contactan por mensaje directo a usuarios que comienzan a seguir la cuenta oficial de un banco o que dejan un comentario haciendo referencia a un reclamo. De esta manera, se contactan telefónicamente haciéndose pasar por representantes de atención al cliente y terminan robando sus credenciales. Como siempre, recomendamos a los usuarios no hacer clic en enlaces que vienen en correos o mensajes inesperados o que generan dudas, incluso comunicaciones telefónicas, y tampoco compartir datos personales. Ante cualquier duda comunicarse con su banco telefónicamente o a través de los canales oficiales. Por último, recomendamos utilizar una solución de seguridad confiable que prevenga cualquier acción maliciosa en su dispositivo”.
Desde ESET Latinoamérica comparten los siguientes consejos evitar caer en engaños de phishing:
1. Ser cuidadosos con los enlaces: Prestar atención para reconocer mensajes fraudulentos antes dar click o compartir. Observar con detalle la URL a la cual se invita a acceder y a las características del mensaje. Se recomienda realizar una búsqueda en Internet, ya sea para confirmar que la campaña es legítima o para buscar publicaciones que confirmen que se trata de una acción falsa.
2. Desconfiar de las ofertas demasiado buenas para ser reales y que llegan por medios no oficiales. Tener presente que las empresas suelen divulgar ofertas y promociones a través de sus canales oficiales, ya sea el sitio web o las redes sociales. Por lo tanto, de ser una acción legítima lo más probable es que encuentre información por alguna de esas vías.
3. Evitar ingresar a enlaces sospechosos, aunque provengan de un contacto conocido, ya que pudo ser alguien que haya sido previamente víctima de un engaño.
4. Cuidar la información personal, analizar antes de compartir datos en Internet. Mientras menos datos personales se publique en Internet, son menos las probabilidades de recibir este tipo de engaños. A través de la técnica de “scraping”, que recolecta datos contenidos en un sitio web o aplicación de forma automatizada, los cibercriminales muchas veces pueden juntar información de potenciales víctimas, lo que hace más sencillo crear campañas de suplantación de identidad.
5. Contar con tecnología de protección adecuada. Instalar una solución de seguridad en todos los dispositivos conectados a Internet, mantenerlos actualizados y evitar compartir información, enlaces o archivos sin estar seguros de su procedencia.
Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2022/03/30/phishing-roba-claves-homebanking-clientes-bbva/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw