BBVA Protect Online, una app fraudulenta…
Hace un mes me llegaba un SMS que tenía por remitente el BBVA con el siguiente mensaje:
Su cuenta ha sido suspendida. Por seguridad es obligatorio instalar BBVA Protect para prevenir mensajes fradulentos. Descarga: https://bbva.protectapp.online
Examinando el texto del SMS…
Los ciberdelincuentes cada vez mejoran sus técnicas para suplantar identidades (phishing), aunque en este caso sería conveniente denominarlo (smishing) dada la procedencia para llevar a cabo la suplantación de identidad del BBVA y obligarnos (¡ojo con ello!) a instalar una app con malware que de descargarlo e instalarlo podría tomar el control de nuestro terminal móvil.
Si nos fijamos bien en el texto del remitente, que por cierto y como he mencionado antes, su procedencia (el remitente) aparece como BBVA, éste nos dice que “es obligatorio instalar BBVA Protect”y además entre el texto podemos leer “fradulento”.
En cuanto a la primera frase: BBVA no obliga a instlar ninguna aplicación y en relación al segundo, la palabra “fradulento” está mal escrita, debería decir “fraudulento”, por consiguiente se trata de un error que evidentemente alguien que hable bien castellano no cometería.
Tratando de robar tus datos bancarios…
Tambien es posible que los ciberdelincuentes informan en estos mensajes a los destinatarios que la aplicación que tienen instalada del banco no cumple los requisitos de seguridad, por lo que deben descargar una app de autenticación en dos pasos (2FA) a través del enlace que incluyen en el SMS. Dicho enlace redirige a una página web falsa en la que también suplantan la identidad del banco y en la que está alojada la aplicación maliciosa.
Si el usuario descarga e instala la app, en sus inicios aparecerá en su dispositivo móvil una ventana emergente solicitándole diversos permisos que, una vez aceptados, posibilitan que el malware realice el seguimiento y robo de su información.
Los ciberdelincuentes también pueden utilizar otros pretextos en sus mensajes, como por ejemplo, que la cuenta bancaria del usuario ha sido suspendida o bloqueada (tal es el actual caso) o que se ha producido un intento de acceso sospechoso a la misma.
En VeraSoul hemos tratado en diversas ocasiones este tema y por consiguiente, debemos continuar con ello aunque los artículos se “dupliquen”.
¿Qué debemos tener muy claro al respecto de éstos SMS?…
Los mensajes maliciosos (smishing) que suplantan la identidad de BBVA comunican a los destinatarios que se ha detectado una anomalía en su cuenta, por lo que deben verificar sus datos para evitar el bloqueo de la misma.
Los enlaces integrados en este tipo de comunicaciones fraudulentas redirigen a páginas web que solicitan información personal y bancaria de los usuarios, como su NIF, NIE, clave de acceso y número de teléfono móvil.
Aprovechando funcionalidades del sistema operativo de los teléfonos, estos mensajes logran anidarse en el hilo de SMS legítimos que BBVA envía a sus clientes, por lo que debes permanecer en alerta.
Consejos de seguridad para protegerte de éste y futuros fraudes…
- BBVA nunca te enviará un SMS con un enlace. Si recibes alguno que incluya un link, aunque aparezca en el hilo de BBVA, es falso.
- Revisa detenidamente el enlace que contiene el SMS y observa si engloba palabras o caracteres extraños.
- Por regla general, desconfía de todos aquellos mensajes alarmantes o que tengan tono de urgencia y contengan faltas de ortografía o erratas.
- Por regla general, no descargues aplicaciones o programas en páginas web a las que has accedido desde un enlace incluido en un SMS o email.
- Los códigos de un solo uso (One Time Password, OTP por sus siglas en inglés) son secretos y BBVA nunca va a pedirlos por correo, llamadas entrantes o SMS. Estos códigos solo son solicitados en las aplicaciones oficiales del banco y en procesos concretos que lo requieran (por ejemplo, en las transferencias no habituales).
- Descarga siempre las aplicaciones desde los mercados oficiales o desde la página web oficial del desarrollador.
- Desconfía de todos aquellos mensajes alarmantes o que tengan tono de urgencia y contengan faltas de ortografía o erratas.
- Nunca respondas a este tipo de mensajes sospechosos.
- Recuerda que las páginas web seguras comienzan siempre por https y contienen un candado cerrado en la barra de navegación. Pulsa sobre él para comprobar que el certificado es válido. Lo normal es que en eso no cometan error los ciberdelincuentes y tanto el certificado SSL como el candado serán válidos.
- Comprueba que la dirección de correo o el número de teléfono es oficial. Se puede buscar en las páginas web oficiales o buscar el número por Internet para ver qué opinan otros usuarios de él.
Contacta con el BBVA en el número 900 102 801 en caso de ser o haber sido víctima de éste fraude o si sufres cualquier otro incidente de seguridad relacionado con tus cuentas o tarjetas.
