• El aumento de las estafas coincide con la fusión de entidades bancarias.

•  SMISHING, se basa en el envío masivo de miles de SMS alertando de la necesidad de actualización de datos a través de una descarga, la cual, una vez aceptada, instalará el malware.

• PHISHING, se trata de la suplantación del enlace a una página web donde la víctima introduce sus credenciales bancarias pensando que se trata de un mensaje legítimo de su entidad.

Oviedo, a 09 de junio de 2022.- La Jefatura Superior de Asturias, dentro de su continuo ciberpatrullaje en la Red, ha detectado un aumento de correos electrónicos fraudulentos y SMS, conocidos como (phishing y smishing).

Una gran mayoría de las víctimas son clientes de entidades bancarias que se están fusionando y manifiestan haber recibido mensajes en sus ordenadores y teléfonos móviles que simulan proceder de esas entidades bancarias.

El  modus operandi de la modalidad SMISHING, se basa en el envío masivo de miles de SMS a ciudadanos, que los reciben en sus Smartphones, en el que se explica que por motivos de seguridad, mantenimiento o mejora en el servicio, deben actualizar los datos de su cuenta bancaria. Este mensaje imita perfectamente el diseño, apariencia, y logos utilizados por la entidad bancaria para comunicarse con sus clientes.

El mensaje puede incluir un formulario para enviar los datos requeridos o por el contrario incluir en el propio mensaje un enlace a una página donde actualizar la información personal. 

Una vez que la víctima acepta la descarga, además de la mencionada aplicación simulada se instalará un software de acceso remoto que, en primera instancia, solicitará los permisos para recibir, leer y modificar SMS.

Además, el malware instalado accederá a la agenda de la víctima y mandará a todos los contactos mensajes análogos con la finalidad de maximizar su propagación, además de poder otorgar a los atacantes un virtual control total sobre el dispositivo infectado.

Tras analizar el malware, los agentes han detectado que los SMS de origen provienen de numeraciones móviles españolas, y que el enlace para descargar la aplicación tiene una apariencia similar a la de entidad que tratan de suplantar, sin que se corresponda con su dominio oficial.

Originalmente, el mensaje se enviaba por SMS (de ahí la palabra Smishing), pero cada vez más los ciberatacantes aprovechan otras plataformas de comunicación más usadas, como Whatsapp o Telegram.

En el segundo de los casos PHISHING, se trata de la suplantación del enlace a una página web, donde el diseño de esta es idéntico a la legítima de la entidad suplantada y su dirección (URL) es parecida e incluso puede ser igual, por lo que no sospecha del fraude. 

Con toda confianza, la víctima  introduce sus credenciales bancarias o la numeración y código CVC de su tarjeta de crédito o débito, pensando que se trata de un mensaje legítimo de su entidad.

Una vez introducidas las claves de acceso por el usuario, estas son obtenidas por los delincuentes, siendo utlizadas para realizar compras a través de aplicaciones de pago instaladas en terminales telefónicos, tales como Apple Pay o Samsung Pay, a las cuales vinculan las tarjetas bancarias.

La Policía Nacional emite una serie de consejos para evitar ser víctimas de esos correos fraudulentos “ phising”, o SMS “ smishing” :

• No confíes ante los mensajes de entidades que no hayas solicitado, elimínalos de tu bandeja de entrada.
• No contestar en ningún caso a estos mensajes.
• Ten siempre actualizado el sistema operativo y el antivirus de tu dispositivo. En el caso del antivirus, además se debe comprobar que está activo.
• En caso de duda, consulta directamente con la empresa o servicio implicado o con terceras partes de confianza, como son las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y la Oficina de Seguridad del Internauta (OSI) de INCIBE.

• Escribe directamente la URL de la empresa en el navegador, en lugar de llegar a ella a través de enlaces disponibles desde páginas de terceros, en correos electrónicos o mensajes de texto.
• No facilites tus datos personales (número de teléfono, nombre, apellidos, dirección o correo electrónico) o bancarios en cualquier página. Infórmate previamente y lee los textos legales de la web para descartar un posible mal uso de tus datos.

No accedas a ningún servicio online que requiera intercambio de información privada o realizar trámites bancarios desde dispositivos públicos o que estén conectados a redes wifi públicas.