¿Por qué no debo de fiarme de los sms de mi banco? Te lo contamos.
«Estimado cliente,su tarjeta a sido bloqueada por actividades sospechosas. Para reactivarla, verifica tu identidad: https://www.configuracion-movil.online«. Este ha sido el sms recibido por una cliente del banco BBVA.
Aunque con esa falta de ortografía el mensaje se vea bastante sospechoso, debido a la “importancia” del mensaje, la usuaria no pudo evitar en cuestión de segundos de hacer clic en el enlace por, aparentemente, una buena razón. Así lo ha expuesto en Twitter.
Sin duda lo que le hizo confiar en el mensaje fue sin duda la fuente: BBVA. El mensaje se le mostraba en el mismo ‘hilo’ de mensajes que los anteriores SMS enviados por su banco, con los códigos necesarios para realizar operaciones de banca a distancia.
BBVA se ha pronunciado. Nadie le ha hackeado, es un simple caso de ‘spoofing
Seguro que el término SMS Spoofing no te suene de nada. Pero seguro que tú o alguien cercano a tu entorno ha recibido un mensaje de texto fraudulento y se ha colado en la cadena de SMS en la que recibes cualquier otra comunicación de una entidad bancaria o empresa de mensajería.
¿Cómo consiguen que esos mensajes lleguen al mismo hilo que los oficiales? La técnica utilizada se conoce como SMS Spoofing y consiste en enviar un mensaje desde una fuente desconocida haciéndose pasar por una fuente conocida, con el mismo ID del usuario original.
Cómo consiguen hacerse pasar por el remitente original
El mensaje llega al mismo hilo que el resto y apunta a un enlace, con aspecto de la web oficial pero que en realidad es una web fraudulenta. Si acabamos colocando los datos personales, estos llegarán a manos de los atacantes.
¿Cómo llevan a cabo el Spoofing? Los hilos de los SMS se basan en una selección de caracteres y hay servicios como SMSGang o Spoofbox que permiten seleccionar el campo «from» para elegir cuál será el remitente.
Para hacerse pasar (en este caso) por el BBVA lo que tienen que hacer los atacantes es repetir el identificador utilizado por el banco, que en este caso es simplemente el nombre de la propia entidad.
Una técnica «sencilla» para los atacantes y por la que conviene estar alerta.
Ante la duda, haz las operaciones desde la aplicación o página oficial de una entidad y no desde el link que recibes con el SMS
Los bancos nunca te envían enlaces, estos envían avisos para que entres en tu cuenta, pero sin darte un enlace precisamente de manera preventiva para ayudar a identificar mensajes fraudulentos. De hecho, entidades como el BBVA o CaixaBank indican en sus respectivas páginas web que “nunca” te solicitarán “tu información bancaria por correo electrónico o SMS”.
Por tanto, y para evitar caer en uno de estos mensajes fraudulentos, lo que recomienda el INCIBE es que nunca accedas a tu cuenta desde estos enlaces, aunque te lo envíen desde el número del banco o desde otra entidad de confianza, “ya que puede llevar a webs suplantadas”.
Como alternativa, hazlo a través de la página o aplicación oficial de estas empresas y, ante la duda, ponte en contacto con ellas.