El pasado domingo 20 de octubre, el director de las oficinas de Google en Málaga y fundador de VirusTotal, Bernardo Quintero, compartió en Twitter un aviso sobre un intento de estafa que al parecer recibió él mismo.
El experto en ciberseguridad recibió recientemente un mensaje SMS en el que se suplantaba al banco ING y se avisaba de un inicio de sesión desde un dispositivo, acompañado de un enlace que, al igual que incluyen otras muchas compañías, sirve para notificar de un inicio de sesión que no reconocemos.
El objetivo está claro: se pone en alerta a la víctima haciéndole pensar que alguien ha iniciado sesión en su cuenta, y para evitar que alguien haga alguna operación desde su cuenta, la víctima pulsa en el enlace que se proporciona («Si no has sido tú, accede desde…»), y a partir de ahí una web falsa capturará las credenciales que les otorguemos al pensar que estamos iniciando sesión en la página real de la entidad bancaria.
De hecho, la página falsa de ING está bastante bien construida a nivel de diseño, tal y como se puede ver en la captura que proporciona Quintero en otro post del mismo hilo. No obstante, el experto informático se da cuenta de un fallo: «acepta cualquier cosa que le pongas, deberían al menos haber chequeado que es un número válido con la letra del NIF». También se percata de otra mala señal; el hecho de que soliciten la firma digital completa en lugar de solo determinadas posiciones, como suelen hacer los bancos: «pide la clave completa, si lo hubieran hecho en dos pasos como lo hace ING sería más creíble, en plan introduce las posiciones 1, 3 y 5…oh, parece que hubo un error, introduzca ahora las posiciones 2, 4 y 6».
Son signos que hacen ver fácilmente que se trata de una página web phishing, aunque probablemente solo los que estén alerta ante este tipo de situaciones se darán cuenta de ello.
No obstante, la plataforma falsa incluye un paso bastante ingenioso, y un movimiento muy inteligente por parte de los cibercriminales: pregunta a la víctima cuánto dinero tiene en su cuenta bancaria, en forma de horquillas (entre 1000 y 1500€/entre 4890 y 7020€, etc.).
Tal y como apunta el profesional de Google, este detalle «está bien», ya que si tienen mucho volumen de potenciales víctimas que rellenen el formulario, «les ayuda a priorizar a quien intentar estafar primero».
Una campaña prolongada
Posteriormente, el lunes 21, Quintero comenta, tras analizar más datos: «No fue un caso aislado, al menos 20 dominios este mes en una campaña de smishing a clientes de ING». Otras personas responden al post señalando que ellas también han recibido el mismo SMS. Según aporta otro experto en ciberseguridad, los autores de esta campaña parecen estar involucrados en otras afectando a clientes de otras entidades, como BBVA.
Por tanto, quedan avisados los clientes de ING en España, de que se está produciendo una campaña de phishing que busca robar las credenciales de las víctimas mediante este método. En primer lugar, hay que desconfiar de los SMS de este tipo que recibamos y, en segundo lugar, no pulsar nunca en ellos. Siempre hay que utilizar las aplicaciones móviles y web oficial para entrar en nuestra cuenta del banco.
The post Cuidado si eres cliente de ING: lanzan una campaña de estafas que pueden llegar a tu teléfono appeared first on ADSLZone.
0 Commentaires