Nueva oleada de falsos emails de bancos que contienen virus

Aumentan los intentos de fraude a través correos que informan de transferencias bancarias, cuando en realidad incorporan un virus para atacar el ordenador de quien lo recibe.   

Mostramos un ejemplo real y recomendaciones para evitar riesgos.


Un ejemplo real de intento de fraude (phising)

Actualizado: 10/12/2021

Cada vez resulta más difícil distinguir qué emails proceden realmente de los bancos  y cuáles son intentos de fraude.  Los estafadores están depurando su técnica y sus falsificaciones son casi perfectas. Cada día se producen en todo el mundo más de 100.000 intentos de fraudes por suplantación de identidad (phising).

Ayer recibimos en el email de nuestra empresa un correo informándonos de una transferencia recibida en nuestra cuenta bancaria, con el asunto “Transferencia realizada desde Banco Santander” y datos de una persona que es un empresario que existe realmente.

El remitente, aparentemente era Banco Santander y el email se enviaba desde la dirección bancaonline@bancosantander.es . No era posible, con los medios técnicos de que dispone un usuario normal, averiguar el verdadero origen de esta comunicación.

El falso email del Banco Santander recibido es este:

Ejemplo fraude falso email banco santander

En esta ocasión, el riesgo grave de este tipo de correos es abrir los archivos adjuntos que incluyen.  En el ejemplo, el archivo señalado que tiene el nombre de “transferencia realizada desde Banco Santander.rar”.

Nunca se debe hacer clic ni intentar descargar un archivo con extensiones poco habituales (.exe, .rar, .zip, etc), ya que estos archivos son autoejecutables y al hacerlo, se activan y atacan el ordenador con un programa de software malicioso (malware).

En nuestro caso, afortunadamente el antivirus (McAfee) detuvo el ataque antes de que se produjera:

Informe del Antivirus

Recomendaciones para evitar fraudes por suplantación de identidad (Phising)

Todos los bancos están difundiendo información para que los usuarios evitemos caer en este tipo de fraudes.

Estos son los consejos que el Banco de Santander (la entidad suplantada en el caso real), publica en su página webhttps://www.bancosantander.es/particulares/banca-digital/seguridad-online/aprende-ciberseguridad/que-es-phishing-y-como-evitarlo

Video: cómo evitar estafas por Internet mediante el Phising



¿Qué es el Phishing?

“Cada año se multiplica el número de ataques diarios de phishing, con lo que se ha convertido en una de las estafas más comunes de internet. Quienes llevan a cabo esta estafa obtienen información confidencial como contraseñas bancarias o información de tarjetas de crédito, pero ¿cómo lo hacen?

El phishing es un intento de suplantación de identidad: los ciberdelincuentes se hacen pasar por una empresa, institución o servicio conocido y con buena reputación para engañarte y conseguir robar tus datos privados, credenciales de acceso o datos bancarios. Esta práctica fraudulenta se apoya en la ingeniería social, es decir, su éxito se basa en la confianza que tienes en la empresa o institución que está siendo suplantado. Por ello, muchas de estas comunicaciones utilizan la identidad de los servicios financieros o bancarios.

Adicionalmente, en ocasiones, el phishing también se usa para infectar los dispositivos con algún tipo de malware (programa malicioso).

Muchos son los servicios que se han visto afectados por el phishing, desde instituciones públicas como la Agencia Tributaria y Servicio de Correos y Telégrafos, pasando por Fuerzas y Cuerpos de Seguridad del Estado como la Policía o la Guardia Civil hasta empresas privadas como Dropbox, Microsoft, Apple, Iberia… y por supuesto entidades bancarias”. “En más de una ocasión”, señala el Banco Santander, “hemos detectado que nuestra marca ha sido utilizada por ciberdelincuentes para intentar robar las claves de acceso al servicio de banca online, así como otros datos bancarios (número de tarjeta de crédito, CVV, tarjeta de coordenadas, PIN, etc.) de clientes. Ser víctima de cualquier tipo de phishing puede ocasionarte graves problemas, principalmente de privacidad, pero caer en la trampa de un phishing bancario puede ser aún más doloroso, ya que te podría llegar a suponer una pérdida económica importante.

Consejos para evitar el Phising

Según destaca el Banco Santander, “el correo electrónico es el medio más utilizado por los ciberdelicuentes para atacarte con las técnicas del phishing. Éstas son algunas de las medidas que puedes tomar para evitar el phishing y las estafas por internet:

  1. Averigua siempre quién te envía los correos electrónicos Si no conoces al remitente o el dominio no coincide con la empresa o servicio que dice ser puedes estar ante un caso de phishing. Por ejemplo, si recibes un correo en nombre del Santander, y el domino del email no incluye el nombre del banco, es sospechoso. De la misma forma que también lo es si el correo que te llega está utilizando un servicio de correo gratuito como Gmail, Outlook, Yahoo!, etc.
  2. Desconfía de asuntos alarmistas. El asunto suele ser muy llamativo o solicitar alguna acción de manera urgente. Algunos ejemplos que pueden ayudarte: “Tiene un mensaje nuevo de seguridad”, “Detectados movimientos sospechosos”, “Eliminación de cuentas inactivas”, “Ha recibido una notificación”, “Tienes un paquete esperando”, etc.
  3. Fíjate en la redacción y ortografía. Los correos de phising suelen tener frases mal construidas o sin sentido, palabras con símbolos o caracteres extraños, faltas de ortografía, etc. Un servicio con buena reputación se asegurará de que tanto la estructura y diseño del correo como su contenido sea correcto, ya que la imagen que se trasmite a los usuarios es un aspecto muy importante para cualquier servicio que se precie. Pero ojo, que también los ciberdelincuentes van mejorando sus prácticas, así que si te encuentras un mensaje sospechoso con una perfecta redacción, asegúrate de haber verificado el resto de pistas antes de darlo por bueno.
  4. Busca signos de personalización. Un mensaje de phishing está poco o nada personalizado. Comunicaciones anónimas del tipo “Estimado cliente”, “Notificación a usuario” o “Querido amigo”, son indicios que te deben poner alerta. Si un delincuente quiere estafar a cientos de miles de personas, es muy complicado que pueda saber el nombre de todas ellas. Por eso utilizan fórmulas genéricas como las mencionadas.
  5. Desconfía cuando soliciten tus datos personales o bancarios. Ya sean llamadas o correos electrónicos que soliciten tu firma electrónica completa, no es común solicitar datos a través de estas vías por el riesgo que implican los fraudes y estafas.
  6. En nuestro caso, con la aplicación de la normativa de SCA para e-commerce, en algunas oportunidades te enviaremos a tu teléfono móvil un mensaje/notificación con un link que te redirigirá a la página de identificación del Banco. Allí te solicitaremos la clave de acceso que usas para acceder a tu Banca Online o el PIN de la tarjeta, si no tienes contrato de Banca Digital.
  7. Antes de hacer clic, fíjate en la dirección del enlace. La intención de los delincuentes es que pinches en un enlace para llevarte a un sitio web fraudulento en lugar de a la página legítima. Por tanto, es importante comprobar que el enlace es fiable. Para ello, puedes situar el puntero del ratón encima del botón o del enlace y observar la dirección que se muestra en la parte inferior izquierda del navegador o de tu cliente de correo. Si lo que ves es sospechoso, ¡no hagas clic!
  8. No descargues ficheros sin fijarte en la extensión. Si el mensaje que recibes te invita a descargar un fichero que, curiosamente, tiene más de una extensión, algo en esta línea “nombredelfichero.doc.zip”, o se trata de un fichero comprimido (.zip) o un ejecutable (.exe), no se te ocurra descargarlo o es más que probable que tus dispositivos acaben infectados. En cualquier caso, si confías en la fuente y optas por la descarga del fichero, analízalo siempre con un antivirus antes de abrirlo y ejecutarlo.

¿Qué hacer si ya es demasiado tarde y has caído en la trampa?

Puede ocurrir. No serías ni el primero ni el último: en esta ocasión no te has dado cuenta de que estabas ante un intento de fraude has hecho lo que te pedía el mensaje. Si estás en esta situación lo más importante es tomar conciencia de ello, actuar con serenidad y sentido común, analizando lo que acabas de hacer y actuando en consecuencia.

Si has facilitado datos bancarios (número de tarjeta, PIN, CVV, tarjeta de coordenadas, etc.) lo primero que tienes que hacer es contactar con tu banco y explicar lo sucedido para que tomen las medidas reactivas que correspondan y mitiguen al máximo las posibles consecuencias del phishing.

Del mismo modo debes actuar si, en lugar de datos bancarios, lo que te han solicitado es otro tipo de información privada: contacta con el servicio que corresponda y notifica la situación para que en caso de problemas, puedas demostrar que fue por este motivo.

Como medida complementaria, debes monitorizar con cierta periodicidad, lo que internet sabe de ti, para ver si los delincuentes están haciendo uso de esos datos sin tu consentimiento. Y en el caso de las cuentas bancarias nunca está de más que consultes tus movimientos con frecuencia. Así podrás detectar a tiempo cualquier movimiento sospechoso.

Por otro lado, si se ha infectado tu dispositivo, tendrás que proceder a su desinfección. Si tienes problemas en esto, puedes acudir a la web de la OSI donde encontrarás muy bien explicados los pasos que debes seguir y que, además, te pueden ayudar en esta tarea a través de su teléfono de Atención 017.

Finalmente, te recomendamos denunciar los hechos ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE), para que con todas las pruebas del delito tomen las medidas que correspondan para dar caza a los ciberdelincuentes.



Más información:

Evita estafas en Internet (Banco Santander).

Cómo evitar el Phising. Instituto Nacional de Ciberseguridad (INCIBE)


Compártelo

Loentiendo es un portal de colaboradores independientes. Toda la información tiene un carácter meramente orientativo. Confírmela siempre en los Boletines Oficiales (legislación española), Servicios de información de las Administraciones Públicas o con su asesor legal.