Desde 2020 estamos sufriendo en el móvil campañas de phishing mediante estafas SMS como no se recuerda. A estas alturas de 2022, ya los hay de todos colores. En los últimos meses hemos contado cómo eran los bancarios, afectando a BBVA, Santander o CaixaBank. Este fin de semana hemos vuelto a recibir varias versiones de un mensaje fraudulento de este último banco. Así, rezaba lo que recibimos en nuestra app de SMS:
CaixaBank: Su cuenta ha sido suspendida, La cuenta permanecera limitada hasta que apruebe su informacion y se reactivara desde: [URL]
Como siempre, además de por las faltas de ortografía (la coma en vez de punto, la mayúscula tras coma, la carencia de tildes, etc) se detecta fácilmente que se trata de un mensaje con intenciones malignas por varios motivos. En primer lugar, el teléfono desde el que lo abrimos, un Google Pixel 4a, nos indicó que estábamos ante "posible spam". En segundo lugar, el enlace era sospechoso, y al abrirlo en el navegador, se confirmaba la sospecha con esta imagen:
Aun así, quise ver qué había detrás esta vez, y después de ver que el dominio era "rankuke", entré para ver qué sorpresa me mostraba esta vez el móvil. Veamos cómo fue.
Si te descuidas, te pide hasta las llaves de casa
Al entrar en el enlace haciendo caso omiso a las recomendaciones de Google Chrome, lo primero con lo que nos topamos fue con una web de "Acceso seguro a CaixaBankNow". En este sentido, es muy creíble, pues no hay logos pixelados, ni faltas de ortografía, aunque sí una URL que debería hacer sospechar a cualquiera.
En nuestro caso, quisimos saber qué había detrás de esto, qué hacía la web tras hacerse con nuestros datos. Y sorpresa, no se trataba de conseguir solamente nuestro usuario (DNI) y contraseña de CaixaBank. Una vez introdujimos nuestras credenciales falsas, la web no nos advirtió de que ese DNI no existiera o de que esa contraseña fuera errónea, porque no tiene con qué comparar, y porque lo que quiere es que lleguemos hasta el final.
Así, llegamos a la segunda pantalla, la de la captura del centro. Increíblemente, han emulado la web de confirmación de identidad de CaixaBank, lo que le da mucha más credibilidad para personas que no estén muy al día de estas estafas. Aun así, al no estar haciendo ninguna compra online o con tarjeta, no tiene sentido que nos pida "Confirmar la operación a través de la aplicación CaixaBank Sign", pues más allá de la autenticación del primer paso, no hay más que confirmar, de momento.
Y llegamos al punto clave y al fin del experimento. Tras no hacer nada, la web se recargó, y mágicamente, CaixaBank me verificó y para continuar me pidió los datos de mi tarjeta de débito, con la fecha de caducidad y el código CVV. Es probable que si llego a introducir cuatro cifras falsas, me hubiera acabado pidiendo la tarjeta al completo. Al final, es lo que buscan para vaciar nuestra cuenta. Tener posibilidad de comprobar qué tenemos, y contar con todos los datos necesarios para cobrarnos la cantidad que quieran.
Ver todos los comentarios en https://www.genbeta.com
VER 5 Comentarios