Nueva alerta sobre ataques a los clientes de Kutxabank

Los ladrones no descansan. Los ciberdelincuentes están llevando a cabo numerosos ataques para conseguir datos y acceder a las cuentas. Según ha comprobado MERCA2 por medio de numerosas fuentes diferentes, los cacos digitales están buscando las vueltas a los clientes de Kutxabank. La ofensiva va dirigida a los usuarios del banco de origen vasco y también a quien no tiene cuenta en la entidad que preside Gregorio Villalabeitia.

DESPLUMAR A LOS USUARIOS

Los ladrones no descansan en su afán de desplumar a los usuarios y conseguir información para continuar sus fechorías. El último ejemplo de esta circunstancia es Kutxabank. MERCA2 ha podido comprobar cómo se están lanzando ataques mediante mensaje de texto para que la persona atacada se conecte y verifique su acceso. Se trata de una trampa que no tiene otro objetivo que conseguir las claves para ingresar en Kutxabank. Lo curioso del caso es muchos de estos ataques se han llevado a cabo contra usuarios de banca que no son clientes de Kutxabank. «Notificación de alerta… Un dispositivo no autorizado se ha conectado a su cuenta online. Si no reconoce este acceso verifique. https://kutxa-seguridad.com”, se lee en el mensaje de texto enviado a un teléfono móvil de una persona que no es cliente de Kutxabank.

MERCA2 ha accedido a este mensaje trampa:

A 2 1 Merca2.es

Así que Kutxabank se encuentra ante un caso de smishing, a través de mensajes SMS. El propio banco explica en su web que son estos ataques. «Se han detectado mensajes SMS que intentan suplantar la identidad de entidades legítimas y convencer a la víctima para que introduzca datos (credenciales de la banca electrónica, datos de tarjeta, otras claves) en una página que simula ser legítima pero es fraudulenta, o para que se descargue una aplicación que en realidad es una aplicación maliciosa y esconde el troyano bancario.

muchos de estos ataques se han llevado a cabo contra usarios de banca que no son clientes de Kutxabank.

Además del robo de credenciales bancarias o de los datos de tarjeta, algunos de estos troyanos incluyen una funcionalidad para robar también los SMS recibidos en el dispositivo infectado. Gracias a esta habilidad, los atacantes pueden obtener los códigos de autorización recibidos en el móvil, pudiendo así autorizar el acceso a la cuenta de la víctima o una transacción realizada por los propios atacantes. Estos troyanos también pueden acceder y/o robar la agenda de contactos de quien sufre el ataque».

SEGUNDO ATAQUE CLIENTES KUTXABANK

Este ataque se una a otro del que también se ha informado. En internet ya se han lanzado varios avisos sobre este ataque. «Mucho cuidado y no facilites tus datos porque el SMS no lo envía el banco Kutxabank, la web a la que redirige no es la oficial de la entidad bancaria». «Desde la compañía indican que no solicitan «los datos personales mediante enlace”.

El mensaje, que llega a través de SMS, indica que se ha iniciado sesión en tu cuenta bancaria desde “un nuevo dispositivo” y pide que “si no has sido tú” lo verifiques a través de un enlace que se adjunta. Como vemos, el mensaje contiene faltas de ortografía y transmite sensación de urgencia e inmediatez para que no nos dé tiempo a reflexionar, los cuales son rasgos comunes en los casos de phishing.

APARIENCIA DE LA WEB DE KUTXABANK

La apariencia de la web fraudulenta se asemeja a la que tiene la aplicación móvil de Kutxabank a través de la que acceden los particulares. Sin embargo, si pinchamos en otros elementos que aparecen en la web fraudulenta como el logo de inicio o la pestaña de consejos si has olvidado la clave, vemos que no redirige a ninguna otra pantalla. Es decir, han suplantado la identidad de Kutxabank.

La apariencia de la web fraudulenta se asemeja a la que tiene la app de Kutxabank

El banco destaca que en Kutxabank además disponemos de medidas adicionales de seguridad para evitar que te conviertas en víctima de ciberdelincuentes: «Controlamos los intentos de acceso online y lo bloqueamos si se superan los 5 intentos fallidos. A través de un SMS te indicamos cómo recuperarla.  Se protegen algunos accesos y consultas: para mayor protección de tu privacidad verás que en ocasiones también se requiere una autorización adicional mediante una clave de un solo uso enviada por SMS al móvil».

CONSEJOS PARA EVITAR SUSTOS

Para evitar sustos hay que mira la dirección de la web a la que te redirige. Normalmente este tipo de notificaciones vienen con un link en el que te piden que introduzcas tus datos. Si la url de esta página web no es de la empresa por la que se hace pasar o es una mezcla de letras, números y el nombre de esa empresa, no introduzcas tus datos. Para ello, fíjate bien en lo que aparece antes del último punto, ese es el dominio real de la página web.

El usuario debe bien en la dirección del correo electrónico. Si te llega un mensaje, presta atención a la dirección del correo que te lo envía, concretamente a lo que viene después de la «@». Si notas algo raro, borra el correo.

Cuidado si al intentar pinchar en los elementos de la web no te dirige a ningún sitio o te pide verificar tus datos.

Contrasta con las fuentes antes de dar tus datos o pulsar un enlace

Contrasta con las fuentes antes de dar tus datos o pulsar un enlace. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Recuerda que puedes preguntar a la propia compañía, a la Policía o a la Guardia Civil o a nosotros a través de nuestro servicio de WhatsApp (+34 644 22 93 19).

También puedes contactar con la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) o utilizar su línea de ayuda en ciberseguridad.

Desde el banco apuntan que son continuos estos intentos con el sector finaqnciero, pero, afortunadamente, los usuarios cada vez están más concienciadados y están atentos para no caer en la trampa.

José María Lanseros
José María Lanseros
José María. Licenciado en Periodismo por la Universidad Complutense de Madrid (UCM). Redactor especializado en el sector financiero, en especial lo relacionado con banca y seguros. Me encanta mezclar y empresa y deporte y estoy empezando a tomarle el pulso al sector de las telecos.