Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

¡No piques! Detectada campaña fraudulenta de phishing al BBVA

Fecha de publicación 09/01/2019
Importancia
4 - Alta
Recursos Afectados

Cualquier empresa que sea cliente del BBVA y que realice habitualmente operaciones de banca electrónica. Además, puede verse afectado cualquier empleado que reciba este correo electrónico y que gestione operaciones bancarias online, especialmente si lo hace a través de su dispositivo móvil.

Descripción

Se ha detectado una campaña de envío de correos electrónicos fraudulentos que suplantan a la entidad BBVA, cuyo objetivo es dirigir a la víctima a una página falsa (phishing) para robar sus credenciales de acceso e información bancaria.

Solución

Como en cualquier otro caso de phishing, extreme las precauciones y avise a sus empleados para que estén alerta ante correos de origen sospechoso, especialmente si contienen archivos adjuntos o, como en este caso, enlaces externos a páginas de inicio de sesión.

Si algún empleado ha recibido un correo de estas características, ha accedido al enlace y ha introducido las credenciales de acceso a la cuenta bancaria, deberá modificar su contraseña lo antes posible. Además, deberá contactar con la entidad bancaria e informarles de la situación. Por último, se recomienda modificar la contraseña de todos aquellos servicios en los que utilice la misma.

Como pautas generales, para evitar ser víctima de fraudes de este tipo, se recomienda:

  • No abrir correos de usuarios desconocidos que no hayamos solicitado. En este caso, hay que eliminarlos directamente.
  • En caso de que el correo proceda de una entidad bancaria legítima nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
  • No contestar en ningún caso a estos correos.
  • Tener precaución al seguir enlaces en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
  • Tener precaución al descargar ficheros adjuntos de correos, en SMS, mensajes en WhatsApp o en redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
  • Asegurarse de que las cuentas de usuario de los empleados utilizan contraseñas robustas y sin permisos de Administrador.
  • En caso de utilizar un dispositivo móvil, acceder siempre al servicio por medio de su aplicación. 

Además, para prevenir y reforzar estos consejos, es importante realizar acciones de concienciación en ciberseguridad entre los empleados. 

Si necesita soporte o asistencia, y se ha visto afectado por este engaño, INCIBE le ofrece su servicio de Respuesta y Soporte ante incidentes de seguridad.

Lecturas recomendadas:

¿Le gustaría estar a la última con la información de nuestros avisos? Anímese y suscríbase a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Será el primero en enterarse de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117.
 

Detalle

Un empleado de una empresa o autónomo podría recibir en su correo un mensaje que parece provenir del BBVA, cuyo campo “asunto” contiene el literal «Banca Online de BBVA».  Dentro del correo se informa al usuario que su información de seguridad no se ha actualizado y que por ello, actualice sus datos.

El mensaje podría tener el siguiente aspecto:

Imagen que muestra el correo fraudulento

Al acceder al enlace, el usuario será redirigido a una página web que suplanta la legítima, esta no cuenta con certificado de seguridad, lo cual es imprescindible en la web de inicio de sesión de una entidad bancaria y cualquier página web en la que se introduzcan datos confidenciales.

Imagen que muestra la pantalla principal fraudulenta del phishing donde hay que introducir las credenciales y donde se puede ver la ausencia de protocolo https

En el caso de dispositivos móviles, este enlace parece aún más legítimo:

Imagen que muestra la página fraudulenta donde hay que introducir las credenciales de acceso desde un dispositivo móvil

Si el usuario introduce las credenciales de acceso, será redirigido a otra página en la que se solicita un SMS de verificación.

Imagen que muestra la página donde se redirige el phishing una vez introducidas las credenciales de acceso y que pide incluir un código SMS

En el caso de dispositivos móviles:

Imagen que muestra la página donde se redirige el phishing en dispositivos móviles, una vez introducidas las credenciales de acceso y que pide incluir un código SMS

Llegados a este punto, al haber introducido las credenciales de acceso y el código de verificación, los ciberdelincuentes ya contarán con estos datos. En el caso de los navegadores web, parece que el proceso finaliza en este punto, pero en dispositivos móviles, redirige al usuario a la web legítima del BBVA.

Imagen de dispositivo móvil que muestra la pantalla que sale tras introducir un falso código que supuestamente habrían enviado vía SMS, y la legítima del BBVA donde se dirige el phishing una vez ha obtenido las credenciales del usuario.

 

Mejoramos contigo. Participa en nuestra encuesta