“Su cuenta ha sido bloqueada temporalmente”: así son las nuevas estafas SMS phishing que se hacen pasar por Santander y Caixabank

En las últimas horas se ha detectado una nueva campaña de phishing vía SMS que suplanta a entidades bancarias, en este caso Banco Santander y Caixabank, informando a potenciales clientes de un problema con sus cuentas bancarias. Algo rotundamente falso.

El mensaje que suplanta al Santander dice: "Su cuenta ha sido bloqueada temporalmente por motivos de seguridad para activarla puede acceder de forma segura desde: [URL]". El que suplanta al banco catalán es similar, aunque presenta más errores: "Caixabank:Lamentamos informarle que su cuenta ha sido desativada.por su seguridad le rogamos que complete la siguiente verificacion: [URL]".

Esta campaña de 'phishing' busca conseguir el acceso a nuestras cuentas bancarias haciéndose pasar por Caixabank y Banco Santander

Clicar en las direcciones que aparecen, algo que no deberíamos hacer, nos llevará a páginas web fraudulentas que pretenden hacerse pasar por las legítimas de las entidades bancarias y nos invitan a introducir diversos datos sensibles con el fin de obtener acceso a nuestras cuentas. Nada nuevo desgraciadamente, aunque no es una estafa tan sofisticada como al de Flubot.

El objetivo son las credenciales de acceso y los códigos de verificación
Phishing
Presentándose de forma similar a las webs de Caixabank y Banco Santander, estas páginas fraudulentas solicitan a las potenciales víctimas tanto las credenciales de acceso, usuario y contraseña, como el código de verificación que recibimos por SMS por parte de nuestro banco para confirmar que efectivamente somos nosotros los que tratamos de acceder a la banca online.

La recepción del SMS con el código de verificación tras haber introducido los datos de acceso podría hacer creer a algunas personas que se encuentran frente a las páginas verdaderas de sus entidades bancarias, pero esto no es así y no debemos facilitar ningún tipo de dato. Si recibimos un SMS, esta vez sí de nuestro banco, es porque con la información facilitada a la página phishing los atacantes están intentando iniciar sesión.

Ante la mínima duda, es una fantástica idea tratar de confirmar con el emisor del mensaje, mediante otras vías, si lo recibido es legítimo.
Como explican desde Banco Santander, que dispone de una web específica para informar a sus clientes sobre los peligros de las campañas de phishing, debemos desconfiar de asuntos alarmistas como por ejemplo los de estos mensajes de texto y la solicitud de datos personas o bancarios. También debemos fijarnos en la redacción y ortografía, además de en los enlaces antes de hacer clic.

Y, en cualquier caso, como siempre y ante la mínima duda, tratar de confirmar mediante otras vías si dicho SMS (o llamada, correo electrónico...) es legítimo, por ejemplo, llamando a nuestra entidad bancaria.
Toni Castillo - genbeta