El cibercrimen sigue suplantando a entidades bancarias para engañar al usuario y conseguir robarle sus datos bancarios. Si hace apenas unos días Policía Nacional alertaba sobre una campaña maliciosa en la que los atacantes se hacían pasar por el Banco Santander, ahora la Oficina de Seguridad del Internauta, dependiente del Instituto Nacional de Ciberseguridad, ha informado sobre un nuevo caso en el que se hacen pasar por Ibercaja.
Como en tantos otros casos, la estafa comienza con un correo en el que los cibercriminales, suplantando a la entidad, afirman que el usuario debe activar un nuevo sistema de seguridad y se le insta a hacer ‘clic’ en un enlace que acompaña al mensaje.
Además, el email lleva incorporado un asunto en el que se explica que, a partir de un día concreto, el internauta no podrá utilizar su cuenta de banca online. Algo habitual en las estafas de este tipo, que intentan convencer a la víctima para que siga las normas que dictan los delincuentes con rapidez, sin pensarlo dos veces.
En este caso, si se hace ‘clic’ encima del hipervínculo, la víctima será redirigida a una página en la que se suplanta a la oficial del banco, en este caso de Ibercaja. Ahí se le solicita que rellene unos campos en los que se le pide información personal, entre ella sus credenciales bancarias.
Tras esto, el sitio abre una página nueva en la que se le solicita al usuario que aporte su firma electrónica. Finalmente, le pedirá que aporte un código que debe llegarle a través de SMS. «Si se introduce un código, en los primeros intentos la página devuelve un error, pero al final acaba redirigiendo al usuario a la web legítima de Ibercaja», apuntan desde INCIBE.
La institución destaca que, si se aportan todos estos datos, «los ciberdelincuentes ya tendrán en su poder todos nuestros datos, pudiendo realizar acciones fraudulentas con ellos».
Todos los expertos en ciberseguridad recomiendan desconfiar por sistema de los correos electrónicos en los que invita al usuario a actuar con prisa, especialmente cuando proceden de cuentas desconocidas. Lo mejor que se puede hacer siempre es entrar en contacto por otra vía con la empresa, entidad o institución que, supuestamente, ha enviado el mensaje para salir de dudas.
CP