Noticias

“Su cuenta ha sido restringida” Nueva campaña de phishing contra Banco Santander

Cristian Do Carmo Rodríguez
15 de sep. de 2022
3 min de lectura

Es un día normal y recibimos un SMS de nuestro banco donde se nos indica que “Su cuenta ha sido restringida” pero no debemos preocuparnos, hay un link que nos permitirá “Restablecer el acceso”. Pulsamos el enlace que nos aparece y, cumplimentando con nuestra información, en un instante nuestros datos bancarios se han visto comprometidos. Pues bien, esta campaña de phishing es real y está ocurriendo ahora. Si has recibido el SMS que aparece a continuación lo peor que puedes hacer será entrar en el enlace.

Campañas de phishing nos encontramos a diario. Phishing es un término informático que distingue a un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza. Normalmente este tipo de ataques es fácil de distinguir si cuentas con algo de experiencia o simplemente eres desconfiado. Faltas de ortografía, una mala redacción o una interfaz demasiado cutre como para proceder de nuestro banco delatan este tipo de engaños. Pues bien, parece que los delincuentes han avanzado y el equipo de AndroidTR ha podido vivir esta “experiencia” en primera persona. Comenzando con un SMS y suplantando la identidad de un banco conocido, en este caso Banco Santander.

Phishing a través de SMS recibido por el equipo de AndroidTR.

Una web clonada del banco original.

Pasando por alto la presencia de algún acento, el SMS que nos ha llegado parece legítimo a priori, aunque el uso de tinyurl.com para acortar el enlace ya nos puede hacer sospechar. Lo que encontrábamos al pulsarlo no era ni más ni menos que la web del Banco Santander, o más bien una copia casi perfecta de la original.

Con las mismas imágenes que la web original, los mismos colores y el mismo estilo, esta web nos solicitaba cada uno de nuestros datos bancarios paso a paso, comenzando por nuestro DNI y contraseña, llegando a intentar obtener nuestra clave de firma e incluso un SMS de verificación.

Capturas de la campaña de phishing en cada uno de sus pasos.

En caso de revelar toda la información que los delincuentes nos solicitan, estaríamos dando control pleno sobre nuestra cuenta bancaria.

Cómo distinguir un ataque de phishing.

A continuación tienes los puntos que deben hacerte sospechar de que estás siendo víctima de phishing.

  • Faltas de ortografía: Todos cometemos errores a la hora de escribir, no obstante, este tipo de mensajes se trata de textos genéricos redactados y corregidos en infinidad de ocasiones. En estas entidades trabaja demasiada gente como para que esté mal escrito.
  • Diseño cutre: La imagen es algo que empresas como Apple o Google llevan años cuidando y los bancos no son una excepción. Si parece una página web de los 90 desconfía.
  • URL: Es importante observar no solo el aspecto de la web donde estamos, también su dirección. En este caso concreto no existía similitud alguna con la URL real del Banco Santander.
  • Demasiada información: Si has utilizado tu clave de firma en alguna ocasión ya sabrás que el banco no la pide entera en ningún momento, en su lugar pide determinadas posiciones de ella (El banco real ya la conoce y solo trata de comprobar que eres tú) En el caso de estos delincuentes solicitaban la clave de firma completa, porque necesitan conocer todas las posiciones para conocer la clave al completo.

Cómo evitar caer en una campaña de phishing de este tipo.

Si has recibido un mensaje SMS o email de tu entidad bancaria y quieres asegurarte de que el problema no sea real la mejor forma de evitarlo es no usar el enlace que nos proporcionan. En su lugar abrimos el navegador de nuestro teléfono u ordenador y en el buscador buscamos el nombre de nuestro banco. Buscadores como Google se aseguran de que los primeros resultados que aparecen sean contenido legítimo. Si realmente tenemos una notificación de nuestro banco, independientemente de cómo entremos a él la notificación estará en él (Si es real).

Como consejo, si has caído en una de estas campañas de phishing, da aviso rápidamente a tu banco para que puedan cancelar las operaciones que se vayan a realizar a tu nombre así como a las autoridades.