El nuevo ciberfraude que combina SMS y llamadas telefónicas para robar datos bancarios

El uso de técnicas de engaño para conseguir credenciales bancarias y datos personales ha sido históricamente uno de los principales objetivos de los ciberdelincuentes. Una de las vías más utilizadas hasta el momento ha sido el phishing, un fraude que utiliza el correo electrónico como medio para conseguir información confidencial de los clientes y usarla posteriormente de manera ilícita.

Pero estos métodos evolucionan y se transforman en otro tipo de ataques mucho más sofisticados y avanzados, como el que une el fraude a través del SMS con una posterior llamada telefónica que, supuestamente, parte del propio banco.

Así funciona esta técnica que une smishing y vishing:

1. La víctima recibe un mensaje de texto (SMS), supuestamente de CaixaBank, en el que se alerta de que “hemos detectado intentos de acceso sospechosos a su cuenta”, “debe activar su sistema de seguridad web” o bien “su cuenta quedará bloqueada”. Siempre incorpora un enlace al que insta a clicar. Este mensaje de texto puede aparecer junto con otros mensajes que ha emitido CaixaBank con anterioridad.

2. Al clicar en el enlace, se redirige al cliente a una página web falsa, donde se le solicitan datos bancarios y personales, como el identificador y el PIN de acceso a la banca online, el teléfono de contacto y, en algunos casos, numeración de tarjetas bancarias.

3. Una vez que el cliente introduce los datos, le llegan al ciberdelincuente, que procede a realizar una llamada telefónica a la potencial víctima haciéndose pasar por CaixaBank. En algunos casos, la llamada puede mostrar un número de teléfono legítimo del banco, aunque realmente se trata de una “máscara” que oculta el número de teléfono desde el que se emite la llamada.

4. El ciberdelincuente se presenta como empleado de CaixaBank e informa a la víctima de que existen movimientos sospechosos en su cuenta. Para resolverlos, le solicita las claves personales y le pide firmar la retrocesión de las operaciones a través de CaixaBank Sign. Es posible que, para dar más credibilidad a la llamada, el ciberdelincuente emita falsos mensajes de texto informando sobre las gestiones que está llevando a cabo.

5. Con toda la información que ha recabado, el ciberdelincuente conseguirá tener acceso a la banca online de la víctima y efectuará pagos y transferencias que la víctima firmará como parte del engaño.

Recuerda que nunca debes facilitar tus claves secretas ni datos personales a través de ningún canal.

CaixaBank puede comunicarse con sus clientes en caso de ser necesaria alguna verificación, pero en ningún caso va a solicitar claves secretas ni datos bancarios ni pedirá firmar retrocesiones de operaciones.

Si detectas operaciones sospechosas en tu cuenta o has facilitado tus datos en lo que crees que es una campaña de fraude, contacta inmediatamente con tu gestor de oficina o llama al 900 40 40 90.