Banco Santander alerta a sus clientes sobre fraudes relacionados con uno de los productos estrella de la banca: los préstamos. «Si recibes un mensaje donde tu banco te dice que te han concedido un préstamo por error y que debes devolverlo con inmediatez… ¡es un fraude! ¡no piques!”, señala el banco en la comunicación a sus usuarios a la que ha accedido MERCA2.
Banco Santander explica que «los ciberdelincuentes se pondrán en contacto contigo vía SMS, Whastapp o llamada telefónica haciéndose pasar por el Santander para reclamarte tus datos de usuario, clave de firma y firma electrónica. Una vez contratado el préstamo, te solicitarán la devolución de este a través de transferencias o Bizum, con mensajes».
Por ello, Banco Santander pide a los clientes que recuerden que «los malos son cada vez más buenos, suplantan el número de teléfono del banco y el remitente de tus SMS»,.
Para evitar problemas, Banco Santander recomienda que «revisar tus cuentas por los canales seguros (APP Santander y Banca Online)» así como que «no atiendas ninguna comunicación, aunque aparentemente proceda del banco». «Si recibes algún mensaje sospechoso, ponte directamente en contacto con tu oficina o llama al 915 123 123», finaliza.
EL FRAUDE DE LA CANCELACIÓN, SEGÚN BANCO SANTANDER
Hoy en día, uno de los fraudes que más se está intentando llevar a cabo es el de cancelación de un préstamo, que se inicia con un ataque de smishing, en el que los ciberdelincuentes se hacen pasar por el banco para conseguir datos personales para, posteriormente, usarlos en el engaño de cancelación de un supuesto préstamo, según Banco Santander.
La estafa se inicia con un ataque de smishing, en el que los ciberdelincuentes se hacen pasar por el banco para conseguir datos personales
Se trata de una técnica por la cual los ciberdelincuentes suplantan la identidad del banco para solicitar datos al cliente con los que le harán creer que se le ha adjudicado un préstamo por error y que, para cancelarlo, solamente tiene que hacer una transferencia del dinero depositado. En realidad, el banco nunca ha concedido ningún préstamo al cliente y este está transfiriendo el dinero a los delincuentes.
LOS PASOS DE LOS CIBERDELINCUENTES
Lo primero que realizarán los ciberdelincuentes para lograr un meta será un ataque por smishing: un fraude que utiliza mensajes de texto móviles falsos para engañar a los clientes, haciéndoles creer que Banco Santander se está poniendo en contacto con ellos. «En este SMS, tratarán de confundir al usuario, siempre usando el pretexto de una posible brecha de seguridad en su cuenta de cliente. Así, le solicitarán datos como clave de firma completa o su firma electrónica. Aquí está la primera pista, ya que el banco jamás solicitará la firma electrónica y clave de acceso completas. Si en un inicio de sesión se solicita de forma completa, es que ese inicio de sesión es fraudulento», explica en el banco que preside Ana Botín.
Además de solicitar estos datos, agregan, puede que también hayan conseguido un desvío de llamadas desde el móvil del cliente, usando también el smishing
Además de solicitar estos datos, puede que también hayan conseguido un desvío de llamadas desde el móvil del cliente, usando también el smishing, apunta Banco Santander. «Adicionalmente a solicitar las claves privadas, puede que intenten que la víctima introduzca en su teléfono el código *21* seguido de un número de teléfono, bajo el pretexto de que es una forma de tener comunicaciones más seguras». Con esto, consiguen que las llamadas que el Banco Santander haría al cliente, sean desviadas a los ciberdelincuentes, permitiéndoles confirmar las operaciones con el voice bot de Santander.
PRÉSTAMO Y CLIENTES
Una vez los ciberdelincuentes han logrado los datos que necesitaban, ya pueden solicitar un préstamo preconcedido al cliente. Así, si el cliente entra en su banca electrónica verá que, efectivamente, tiene un préstamo a su nombre que él no había solicitado.
«Ahora, se pondrán en contacto con el cliente de nuevo, volviendo a suplantar al banco. En este paso puede que se pongan en contacto vía SMS, por WhatsApp o con una llamada de teléfono. Sea como sea, lo que van a hacer es informar a la víctima de que por un error informático se le ha concedido un préstamo: darán detalles de la cuantía total, de las comisiones de apertura, de los intereses y del número de cuotas. También facilitarán detalles como el número de cuenta de la víctima en el que se ha depositado el dinero, gracias a que con el primer ataque de smishing han conseguido acceder a todos esos datos», según la detallada explicación que da el banco en su web.
Una vez los ciberdelincuentes han logrado los datos que necesitaban, ya pueden solicitar un préstamo preconcedido al cliente
Como solución, le darán instrucciones a la víctima para realizar una transferencia de ese dinero depositado y así, cancelar el préstamo concedido por error. En realidad, lo que el cliente está haciendo es transferir ese dinero directamente al ciberdelincuente.
«Por eso, es muy importante que tengas en cuenta que el Banco Santander nunca solicita este tipo de devoluciones, así como tampoco realizará llamadas o mandará mensajes alarmantes, que soliciten datos privados de forma apremiante», señala la entidad.
LOS MEDIOS PARA SUPLANTAR
Como hemos visto, los medios para suplantar la identidad del banco y engañar al cliente se basan, principalmente, en las tres formas de comunicación principales a través del teléfono.
Smishing
Inicialmente, los ciberdelincuentes enviarán al cliente un SMS fraudulento, haciéndose pasar por el Banco Santander y en el que, de alguna forma, le alerten de un problema de seguridad en su banca electrónica. Este mensaje falso puede que lleve un link en el que, al clicar, nos llevará a un sitio web fraudulento donde nos robarán los datos que nos soliciten; o bien solo nos avise de que se pondrán en contacto con nosotros por otra vía. Así, se garantizan que la víctima esté alertada y confiada cuando la llamen o le escriban por WhatsApp.
Llamada telefónica
Gracias a que la víctima ya está alertada de un posible problema, realizando una llamada de teléfono y haciéndose pasar por personal del Banco Santander, consiguen que el cliente termine de facilitarles los datos que necesitan.
Otra vía utilizada después del smishing inicial es ponerse en contacto a través de WhatsApp, abriendo un chat en el que la foto de perfil será la del Banco Santander y haciéndose pasar por uno de los gestores del banco. Aquí será donde informen el cliente del préstamo concedido por error, de las condiciones del mismo y le den las instrucciones para supuestamente cancelarlo. En realidad, la víctima estará realizando una transferencia al ciberdelincuente.
LOS DATOS QUE PIDEN
En este tipo de estafas, siempre van a intentar solicitar datos privados que permitan a los ciberdelincuentes entrar en la banca online del cliente: claves, firmas electrónicas, etc. Una de las cosas más importantes es que siempre van a solicitarlas de forma completa, es decir, todos los dígitos. El Banco Santander nunca solicita estos datos completos, solo pide algunas posiciones, por lo que debes desconfiar si no es así.
En este tipo de estafas, siempre van a intentar solicitar datos privados que permitan a los ciberdelincuentes entrar en la banca online
CLAVES PARA RECONOCER EL FRAUDE
Una de las claves para reconocer un posible fraude de este tipo es «desconfíar de cualquier enlace que te llegue por SMS y que te lleve a iniciar sesión en la banca electrónica». «Si se recibe un SMS que solicite introducir una numeración que comienza por *21* en el teléfono, nunca ha de realizarse aunque lo pidan diciendo ser el banco, ya que así se está configurando una redirección de llamada, de forma que los cibercriminales logran que el banco confirme con ellos las operaciones, en lugar de con el cliente».
Banco Santander jamás solicitará la firma electrónica y clave de acceso completa. Si en un inicio de sesión se solicita de forma completa, se trata de un fraude. «El banco nunca va a solicitar que se cancele un préstamo, así que cualquier comunicación con este tipo de mensaje, es sospechosa», apuntan.
Además, nunca se deben facilitar los datos de acceso a la banca electrónica en llamadas, SMS, WhatsApp o páginas web sospechosas. Solo deben introducir las claves de este tipo en la aplicación oficial o en la web oficial del Santander.
nunca se deben facilitar los datos de acceso a la banca electrónica en llamadas, SMS, WhatsApp o páginas web sospechosas
«Para acceder a la web del banco, nunca se debe entrar mediante un enlace que nos envíen en un SMS o WhatsApp, sino que debemos de escribir la dirección en el navegador, para asegurarnos de que estamos en la página oficial» y «nunca debemos fiarnos de comunicaciones del banco diciendo que deben devolver algo que se les ha concedido por error, porque el Banco Santander nunca emite mensajes de este tipo».
Por último, «desde el banco nunca se realizan llamadas o mensajes con carácter urgente o apremiante, incitando al cliente a compartir datos personales».
Consejos para evitar este tipo de fraudes
Si quieres establecer una serie de buenas prácticas que eviten que puedas verte envuelto en una situación de este tipo, «cambiar tus contraseñas y claves digitales cada cierto tiempo. Y si recibes un SMS sospechoso, hazlo inmediatamente para evitar que el fraude vaya a más», «activa Santander Key para proteger tu cuenta con tu huella digital y «nunca facilites datos de carácter privado para acceder u operar con la banca electrónica mediante llamadas o mensajes. Recuerda que Banco Santander nunca va a solicitar ese tipo de información de forma completa». “Si tienes un préstamo en tu cuenta que no has solicitado, puede que seas víctima de fraude», concluye el banco.
