¡No piques! Detectada campaña fraudulenta de phishing al BBVA
Cualquier empresa que sea cliente del BBVA y que realice habitualmente operaciones de banca electrónica. Además, puede verse afectado cualquier empleado que reciba este correo electrónico y que gestione operaciones bancarias online, especialmente si lo hace a través de su dispositivo móvil.
Se ha detectado una campaña de envío de correos electrónicos fraudulentos que suplantan a la entidad BBVA, cuyo objetivo es dirigir a la víctima a una página falsa (phishing) para robar sus credenciales de acceso e información bancaria.
Como en cualquier otro caso de phishing, extreme las precauciones y avise a sus empleados para que estén alerta ante correos de origen sospechoso, especialmente si contienen archivos adjuntos o, como en este caso, enlaces externos a páginas de inicio de sesión.
Si algún empleado ha recibido un correo de estas características, ha accedido al enlace y ha introducido las credenciales de acceso a la cuenta bancaria, deberá modificar su contraseña lo antes posible. Además, deberá contactar con la entidad bancaria e informarles de la situación. Por último, se recomienda modificar la contraseña de todos aquellos servicios en los que utilice la misma.
Como pautas generales, para evitar ser víctima de fraudes de este tipo, se recomienda:
- No abrir correos de usuarios desconocidos que no hayamos solicitado. En este caso, hay que eliminarlos directamente.
- En caso de que el correo proceda de una entidad bancaria legítima nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
- No contestar en ningún caso a estos correos.
- Tener precaución al seguir enlaces en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
- Tener precaución al descargar ficheros adjuntos de correos, en SMS, mensajes en WhatsApp o en redes sociales, aunque sean de contactos conocidos.
- Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
- Asegurarse de que las cuentas de usuario de los empleados utilizan contraseñas robustas y sin permisos de Administrador.
- En caso de utilizar un dispositivo móvil, acceder siempre al servicio por medio de su aplicación.
Además, para prevenir y reforzar estos consejos, es importante realizar acciones de concienciación en ciberseguridad entre los empleados.
Si necesita soporte o asistencia, y se ha visto afectado por este engaño, INCIBE le ofrece su servicio de Respuesta y Soporte ante incidentes de seguridad.
Lecturas recomendadas:
- Caso real: fraude a través de correo electrónico
- ¿Tu empresa ha sido víctima de un incidente? Repórtalo
- Historias reales: suplantaron a mi proveedor y a mi empresa estafaron
¿Le gustaría estar a la última con la información de nuestros avisos? Anímese y suscríbase a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Será el primero en enterarse de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117.
Un empleado de una empresa o autónomo podría recibir en su correo un mensaje que parece provenir del BBVA, cuyo campo “asunto” contiene el literal «Banca Online de BBVA». Dentro del correo se informa al usuario que su información de seguridad no se ha actualizado y que por ello, actualice sus datos.
El mensaje podría tener el siguiente aspecto:
Al acceder al enlace, el usuario será redirigido a una página web que suplanta la legítima, esta no cuenta con certificado de seguridad, lo cual es imprescindible en la web de inicio de sesión de una entidad bancaria y cualquier página web en la que se introduzcan datos confidenciales.
En el caso de dispositivos móviles, este enlace parece aún más legítimo:
Si el usuario introduce las credenciales de acceso, será redirigido a otra página en la que se solicita un SMS de verificación.
En el caso de dispositivos móviles:
Llegados a este punto, al haber introducido las credenciales de acceso y el código de verificación, los ciberdelincuentes ya contarán con estos datos. En el caso de los navegadores web, parece que el proceso finaliza en este punto, pero en dispositivos móviles, redirige al usuario a la web legítima del BBVA.