Banca electrónica

El día que Berto estuvo a punto de morder el anzuelo

Aquel sábado, Carlos había quedado con sus amigos. Bajó hasta el comedor donde estaba su padre Berto para pedirle un poco de dinero, pero lo que vio le dejó de piedra: ¡su padre estaba siendo engañado por un correo falso!

Empecemos por el inicio de la tarde. Berto estaba mirando su correo electrónico cuando le llegó uno como este:

 

Correo de phishing al Banco Martin

 

El correo electrónico, que parecía venir de Banco Martín, la entidad donde Berto tiene su cuenta, le decía que habían “añadido un sistema antifraude que eliminaba la posibilidad de accesos fraudulentos a su cuenta”. También le decían que tenía que activar ese servicio antes de 48 horas o su cuenta quedaría bloqueada.

A primera vista, le pareció perfecto, ya que todo sistema que aumentara la seguridad de su cuenta era bienvenido. Además, habían sido considerados y habían añadido un enlace para que de forma sencilla activara dicha funcionalidad. Pero al pulsar en el enlace, llegó a una página web como la siguiente:

 

Solicitud de clave y tarjetas de coordenadas

 

En este momento fue cuando Carlos llegó. ¡Y menos mal que llegó! Cuando vio la página le dijo:

Imagen de Berto en el que intentan engañarle con un phishing para robarle sus datos

- ¡Papá, no pongas tus datos!

- ¿Por qué no?

- Porque esa no es la web del banco, es una web falsa. Si pones los datos que te piden habrás mordido el anzuelo.

- ¿Y cómo sabes tú que no es la página del banco?

- Mira papá, hay unos trucos que te pueden ayudar a saber si un correo es real o no.

 

Estamos ante un ejemplo de phishing bancario. Correos electrónicos que buscan ganar la confianza del destinatario haciéndole creer que el remitente es realmente el banco en el que tienen una cuenta abierta para intentar obtener claves de acceso a esa cuenta. 

 


 

¿El contenido es sospechoso?

El primer paso para identificar un phishing es valorar el contenido del correo electrónico: hacer una lectura del mismo y extraer de qué va el correo. Por ejemplo, en el caso anterior el tema sería bancario.

- “Por problemas técnicos, la cuenta ha caducado y no podrá acceder a la página web del banco si no actualiza sus datos o la contraseña.”

- “Por motivos de seguridad necesitamos que confirme sus datos para comprobar que su cuenta no ha sido comprometida.”

- “Hemos detectado una transferencia internacional desde su cuenta. Si usted no ha realizado dicha transferencia, acceda mediante este enlace a su cuenta para anular dicha transferencia.”

Estos tres ejemplos intentan asustarnos para que actuemos según las indicaciones del correo electrónico. Siempre añaden una excusa (“problemas técnicos o de seguridad”) y proporcionan una solución sencilla (“acceda a su banco utilizando este enlace”).

Además, es muy habitual en este tipo de phishing que se soliciten en el correo electrónico claves y otros datos de acceso a las cuentas bancarias, práctica que las entidades bancarias legítimas nunca llevarían a cabo.

Estos son ejemplos de temas utilizados por los delincuentes para engañar a sus víctimas. Sin embargo, la inventiva de los delincuentes no tiene fin y aparecen nuevos temas constantemente. Debemos sospechar de correos electrónicos relacionados con dinero o que intenten despertar nuestra curiosidad. 

 

¿La escritura es correcta?

Volviendo al ejemplo del correo electrónico anterior del Banco Martín, podemos ver que, por ejemplo, no se han utilizado tildes y que hay errores gramaticales y de puntuación. Resulta extraño que nuestro banco envíe una comunicación a todos sus clientes con una redacción y ortografía descuidadas.

Los delincuentes que realizan las campañas de estafa suelen ser extranjeros, y deben por tanto traducir sus correos electrónicos al español, en general con errores. Estos errores en la traducción aparecen en forma de:

  • Fallos semánticos: artículos el ó la intercambiados.
  • Palabras con símbolos extraños: donde deberían estar palabras acentuadas como por ejemplo: “DescripciÃ□n”. Este caso aparece al intentar escribir vocales acentuadas en un teclado no español.
  • Frases mal construidas: “Este sistema está construido en la utilización de una pregunta secreta y respuesta”.

Si detectamos que el correo tiene una ortografía pobre y su escritura es informal, debemos estar alerta.

 

¿A quién va dirigido el correo?

Si un delincuente quiere estafar a cientos de miles de personas, es muy complicado saber el nombre de todas esas personas. Por ello, utilizan fórmulas genéricas como “Estimado cliente” o “Hola amigo” para evitar decir un nombre:

Análisis del phishing bancario

Cuando una entidad bancaria tiene que dirigirse por correo a un cliente, siempre lo hace enviando correos electrónicos personalizados, donde utiliza el nombre del cliente e incluso en algunas ocasiones, parte de su DNI.

Si recibimos un correo no personalizado de una entidad bancaria, estamos probablemente ante un caso de intento de estafa.

 

¿Pide hacer algo de manera urgente?

Otra técnica utilizada por los delincuentes es la de pedir la realización de una acción en un período de tiempo muy corto.

Por ejemplo, en el caso del correo que estamos analizando nos indican que “Si el registro no es realizado dentro de 48 Horas su cuenta sera suspendida temporalmente hasta que su registro sea completado”:

Análisis del phishing bancario

Con esta urgencia, los delincuentes intentan que su víctima tome una decisión precipitada y caiga en la trampa, que incluye visitar un enlace e indicar datos personales y/o contraseñas. Este es otro síntoma que nos hace sospechar que el correo recibido ha sido enviado por un delincuente.

 

¿El enlace es fiable?

La intención de los delincuentes es que pinchemos en un enlace para llevarnos a un sitio web fraudulento. En el texto del correo de ejemplo aparece un enlace como este:

Análisis del phishing bancario

Se supone que al pulsarlo deberíamos ir a la página web www.bancoMartin.es. Sin embargo, en un correo fraudulento no suele ser así. ¿Cómo podemos saber la verdadera dirección a la que apunta un enlace? Muy fácil: situando el puntero encima del enlace y observando la verdadera dirección que se muestra en la parte inferior izquierda del navegador.

 

Análisis del phishing bancario

Como podemos ver, la dirección real del enlace es:

Análisis del phishing bancario

De esta sencilla forma podemos comprobar si un enlace es fiable y detectar así un correo fraudulento.

Debemos tener en cuenta que los delincuentes utilizan trucos para intentar engañar a sus víctimas. Por ejemplo, el siguiente enlace, aunque puede parecer correcto, en realidad no lo es:

Análisis del phishing bancario

Como vemos, la dirección de destino no es www.bancoMartin.es, sino www.bancoMartin.es.asdf.ru.

Una recomendación a seguir es la de no acceder a una web de banca online a través de un enlace en el correo electrónico. Si deseamos acceder a la web de nuestro banco la mejor forma es escribir en la barra de direcciones del navegador la dirección deseada.

 

¿Quién envía el correo?

Por último, sólo nos queda comprobar la identidad del remitente. Hemos dejado esta pregunta para el final ya que no ofrece garantías para saber a ciencia cierta si un correo es fiable o no.

Debemos sospechar si el remitente es una dirección de correo que no pertenece a la entidad bancaria, como por ejemplo:

Análisis del phishing bancario

 

El hecho de que el correo provenga de un correo aparentemente correcto no es indicio concluyente de la legitimidad del mismo. El remitente de un correo electrónico puede ser manipulado y los delincuentes son capaces de enviar correos con el remitente falsificado en nombre de entidades bancarias. De hecho, el correo analizado contiene una dirección origen falsificada como vemos:

Análisis del phishing bancario

 

Consejos finales

Hagamos un repaso a las preguntas que debemos hacernos para detectar un correo que intenta estafarnos:

  • ¿El contenido es sospechoso? Sé precavido ante los correos que dicen provenir de entidades bancarias con mensajes sospechosos.
  • ¿La escritura es correcta? Un banco ha de cuidar su imagen. Si hay errores en el texto, sospecha.
  • ¿El correo va personalizado? Nuestro banco conoce nuestro nombre, si nos envía un correo, lo utilizará. Si recibes comunicaciones anónimas dirigidas a “Estimado cliente”, “Notificación a usuario” o “Querido amigo”, es un indicio que te debe poner alerta.
  • ¿Es necesario hacer algo urgente? Si nos obliga a tomar una decisión en unas pocas horas, es mala señal. Contrasta en la web de tu banco o en su número de teléfono si la urgencia es real o no.
  • ¿El enlace es real? Revisa si el texto del enlace coincide con la dirección a la que apunta.
  • ¿Quién envía el correo? Si recibes la comunicación de un buzón de correo tipo @gmail.com o @hotmail.com, ¡sospecha!
  • ¿Qué tipo de información te piden? En este caso, puedes aplicar la ecuación: datos bancarios + datos personales = fraude.

Por último, si encuentras algún correo fraudulento en tu bandeja de entrada puedes avisarnos enviando un correo electrónico a:

incidencias[arroba]certsi.es

 

Contenidos relacionados:

 

 

Compártelo en tus redes sociales: