Así roban las contraseñas de banca en línea en México
|- La campaña está diseñada para solicitar claves de acceso, NIP y código de seguridad.
Ahora que los usuarios en México han adoptado más los servicios digitales para no tener que salir de casa y exponerse a un contagio de Covid-19, los ciberdelincuentes están aprovechando para tratar de sacar ventaja y robar dinero. En ese sentido, se ha descubierto una nueva campaña maliciosa que intenta obtener las contraseñas de banca en línea.
A través de un correo electrónico, los estafadores buscan hacerse pasar por una institución bancaria del norte de México y hacerle creer al cliente que le escriben por una alerta sobre un inicio de sesión en su cuenta con la intención de que proporcione sus datos, alertó la compañía de ciberseguridad ESET.
Esta nueva campaña de phishing, señalaron los investigadores de la empresa, presenta a las víctimas un enlace para que puedan comprobar el estado de su perfil en la banca electrónica. Sin embargo, al dar clic al link, los usuarios son redireccionadas a un sitio falso con dominio localizado en Perú.
Una vez que se ingresa, se muestra una página de inicio de sesión que solicita datos como usuario y contraseña para acceder a la cuenta de banca en línea.
Si bien la página apócrifa cuenta con certificado de seguridad y usa HTTPS (como la mayoría de los sitios de phishing), el error se hace notar al ver que la URL no corresponde con la oficial del banco, ni tampoco la información del certificado.
En caso de que la persona proporcione sus claves de acceso es nuevamente redireccionado a una página que simula un bloqueo de la cuenta, donde solicita un token que permita verificar la identidad del cuentahabiente. Es en este proceso falso de autentificación, donde los usuarios caen en el engaño.
El siguiente paso, es solicitar más datos del usuario con el pretexto de la reactivación del servicio en línea. Se piden datos como el número de tarjeta, NIP, fecha de expiración y código de seguridad. Una vez que el sitio falso ha recopilado la información sensible, el cuentahabiente es dirigido al sitio oficial del banco.
“Este tipo de campañas siguen teniendo efectividad y son muy comunes para el robo de datos bancarios y su posterior venta en el mercado negro, en parte, porque muchas personas aún desconocen qué es el phishing. La educación y la concientización son herramientas claves, sumado a mantener los sistemas actualizados y contar con una solución de seguridad instalada en los dispositivos permite disfrutar de la tecnología de manera segura”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Consejos de seguridad
Para que no caigas en este tipo de estafas ESET comparte algunos consejos:
No abras correos electrónicos que lleguen a tu bandeja de entrada sin ser solicitados.
Aunque una página cuente con certificado de seguridad, muestre un candado y uso de protocolos seguros, siempre verifica a quién pertenece el portal y revisa bien la dirección electrónica.
En caso de tener sospechas sobre la legitimidad de un sitio escribe manualmente la URL en la barra de dirección del navegador.
Si por error llegas a ser víctima de un engaño es importante cambiar lo antes posible las credenciales de acceso para ingresar al banco e implementar de ser posible el doble factor de autenticación. También reporta el incidente ante la institución bancaria.
Recuerda que los bancos nunca solicitan datos como el usuario, contraseña o token, información personal o confidencial, a través de correo electrónico. Si tienes alguna duda sobre esto comunícate directamente.
No te olvides de instalar tecnología de seguridad digital en todos los dispositivos en los que te conectas a internet y tienes acceso a tu banca electrónica, ello incluye tu smartphone.