La banca en alerta: oleada de falsos correos que suplantan a BBVA, ING Direct y Bankia

La banca española es uno de los sectores económicos más amenazados por las campañas fraudulentas de correos electrónicos que intentan suplantar su identidad. Una práctica conocida como “phishing” y con la que los ciberdelincuentes pretender robar datos personales de los clientes, con técnicas cada vez más sofisticadas.

El último ejemplo es la nueva campaña de “phishing” que suplanta la identidad que tiene como objetivo, en esta ocasión, a los clientes de BBVA, y que es la misma que ya detectó a comienzos de este año.

Oleada de correos falsos contra tres bancos

Pero con la particularidad esta vez, según alertan a Confidencial Digital expertos en ciberseguridad, de que esta oleada de falsos correos electrónicos contra los usuarios de BBVA se produce, casi de forma simultánea, también contra los clientes de otras dos importantes entidades financieras del país: Bankia y ING Direct.

La voz de alarma la ha dado también la Oficina de Seguridad del Internauta (OSI), dependiente del Ministerio del Interior, que ha alertado de una campaña de correos electrónicos que suplantan a BBVA, Bankia y ING Direct, que tiene por objetivo dirigir a la víctima a una página falsa (phishing) que simula ser la web legítima del banco para robar sus credenciales de acceso y los datos de su tarjeta.

Desde el Instituto Nacional de Ciberseguridad (Incibe) consideran que las entidades deben lanzar acciones de concienciación en ciberseguridad para sus empleados, con el objetivo de reducir el impacto de este fraude, puesto que las técnicas para robar datos personales a los clientes son cada vez más sofisticadas.

Entre otras recomendaciones, el Incibe destaca a los bancos el uso de filtros antispam, la verificación de que se navega a través de conexiones cifradas, además de no abrir enlaces ni descargar archivos de remitentes desconocidos.

Aunque no hay un período de mayor detección de este tipo de prácticas, advierte de que se registran más casos durante los períodos de mayor consumo, como Navidad y verano.

En las entidades financieras insisten en que nunca solicitan datos ni claves personales del cliente por teléfono, mensaje o emails, ni siquiera para renovar ni activar la tarjeta de crédito, ya que se tratan de gestiones que se realizan en las sucursales.

Robo de contraseñas a clientes de BBVA

Según la alerta de la Oficina de Seguridad del Internauta (OSI), organismo dependiente del Ministerio del Interior, los correos detectados en esta nueva campaña que suplanta la identidad de BBVA se identifican porque vienen encabezados con el siguiente asunto: “Importante : Tenemos que actualizar tus documentos”.

El contenido del email informa al usuario de que tiene que actualizar sus documentos para cumplir con una ley de prevención de blanqueo de capitales.

Por eso, se le requiere que realice ese trámite en un plazo de 8 días o, de lo contrario, suspenderán sus cuentas de acceso, tanto desde la app como desde la web, y no podrá realizar ingresos hasta que no realice la actualización.

Si se accede al enlace, el usuario será redirigido a una página perteneciente a los servicios Tumblr para enmascarar el phishing y hacer que sea más difícil de detectar por los navegadores. Si se acepta esta información, el cliente accederá al sitio web que suplanta la identidad de BBVA, donde le solicitan las credenciales de acceso.

Una vez introducidos los datos, solicitan rellenar un formulario para facilitarles los datos de la tarjeta, incluido el código PIN. Finalmente, redirigirán al usuario a la web legítima del BBVA pero los ciberdelincuentes ya contarán con todos los datos bancarios.

Bankia: “Has recibido un nuevo mensaje”

Los emails detectados en la campaña que suplantan la identidad de Bankia se caracterizan porque incluyen el siguiente asunto: “has recibido un nuevo mensaje” desde el remitente: “Servicio@Particulares-Bankia.es”.

El contenido del correo informa al usuario de que se ha desarrollado un nuevo sistema de seguridad a través del departamento antifraude y le invitan a finalizar su solicitud a través de un enlace que redirecciona a una página falsa. Si se accede al enlace, el cliente será redirigido a una página perteneciente a los servicios Tumblr para enmascarar el phishing y hacer que sea más difícil de detectar por los navegadores.

Si se acepta esta información, el usuario accederá al sitio web que suplanta la identidad de Bankia, donde le solicitan las credenciales de acceso. Una vez introducidos los datos, solicitan rellenar un formulario con el número de teléfono y la firma digital. Finalmente, redirigirán al usuario a la web legítima de Bankia pero los ciberdelincuentes ya contarán con todos los datos incluidos en los anteriores formularios.

ING: “Verificación de datos personales”

Los correos electrónicos detectados que suplantan a ING se identifican porque se presentan con el asunto: “Verificación de datos personales”.

El contenido del correo informa al usuario de que es necesario que actualice los datos personales asociados a su cuenta. Para ello, debe hacer clic en “Área de clientes” que le redirigirá a una página web. Si accede al enlace, el usuario será redirigido a una página que suplanta a la web legítima. En dicha página se le pedirá introducir su documento de identificación y su fecha de nacimiento.

A continuación, se le solicita que introduzca su clave de seguridad y su número de teléfono móvil. Más tarde, deberá introducir la posición número 48 de su tarjeta de coordenadas.

En el siguiente paso, se pide al usuario que realice una foto de su tarjeta de coordenadas, y que la envíe para poder utilizar su cuenta. Realizados todos los pasos anteriores, al usuario se le redirige a la página web legítima del banco.