¡Alerta usuarios! Ciberdelincuentes suplantan identidad de Banorte para robar datos financieros

| 12:46 | Alfredo Narváez | ESET
Un novedoso método de phishing adaptado a usuarios de Android e iOS
Así se hacen pasar por una entidad financiera en México | Foto: Getty Images

Ciberdelincuentes suplantaron la identidad de Banorte, banco con actividad en México, para robar la información personal y financiera de los usuarios, de acuerdo con la empresa de ciberseguridad ESET, la cual alertó por esta campaña de ingeniería social el pasado viernes 22 de agosto.

La compañía de seguridad informática dio a conocer este fraude de smishing perpetrado por cibercriminales no revelados al momento y publicó las capturas de pantalla del modus operandi sin mencionar directamente a la entidad financiera afectada, pero dejando ver que el sitio apócrifo suplantó la identidad visual de este banco mexicano en particular.

¡Alerta por suplantación de identidad de Banorte en México!

Los ciberdelincuentes envían un mensaje de texto que promete una recompensa en efectivo, con lo que captan la atención de los clientes del banco y los guían hacia una página fraudulenta diseñada para robar información personal y financiera, según ESET.

“Esta modalidad, cada vez más sofisticada, representa una amenaza directa para los tarjetahabientes, quienes podrían ver comprometidos sus datos sensibles si no logran identificar a tiempo el engaño”.

ESET

[TE RECOMENDAMOS: Alerta por la peligrosa estafa de la “llamada cruzada”: engañan a tus hijos para simular secuestros]

¿Cómo operan los cibercriminales?

Este fraude comienza con un mensaje tipo recordatorio en el que se le invita a la víctima a canjear sus puntos por recompensas obtenidos en el banco, pero únicamente “por el día de hoy“.

Fuente: ESET (Welivesecurity)

Posteriormente, cuando la víctima le da clic en el enlace, se le redirige a una página con un “captcha” para validar que quien está del otro lado no se trata de un bot, sino de una persona real.

Fuente: ESET (Welivesecurity)

Una vez aprobado el captcha, aparece una plantilla idéntica a la oficial del banco para no levantar sospechas, según detectaron los especialistas de ESET.

En dicha página aparece un formulario en el que se le solicita a la víctima un número de teléfono y que acepte los “Términos y condiciones” junto a la “Política de Privacidad” para canjear la recompensa en efectivo.

Fuente: ESET (Welivesecurity)

Luego, aparece una ventana en la que se le muestra a la víctima una cantidad considerable de “Puntos” y el valor que tienen en efectivo.

En la parte inferior de la pantalla aparece la siguiente leyenda: “Importante: Los puntos vencidos no se pueden recuperar. ¡Canjea tus puntos ahora antes de que se pierdan para siempre!“.

Para poder reclamar los puntos, se abre un nuevo formulario en el que se piden datos financieros que ya debería tener la institución bancaria, tales como:

  • Titular de la tarjeta
  • Número de tarjeta
  • Fecha de vencimiento
  • Código de seguridad
Fuente: ESET (Welivesecurity)

Cuando los datos son introducidos correctamente, la página web manda un banner indicando que el “Registro fue exitoso” y que un asesor se pondrá en contacto con la víctima dentro de las próximas 48 horas.

Fuente: ESET (Welivesecurity)

Al dar clic en cualquiera de las opciones del menú, la víctima es redirigida a una página con un dominio similar a la del banco que fue suplantado, con un mensaje de error, que finaliza la cadena de phishing.

“A esta altura, la víctima ya ha entregado sus datos a los cibercriminales que podrían ser usados para cometer otras estafas, para venderlos en la web o intentar seguir en otras estafas suplantando la identidad de la víctima”, remata ESET.

Recomendaciones para evitar este tipo de fraudes

Los expertos de ESET emitieron una serie de recomendaciones para evitar ser víctima de estos fraudes.

  • No compartas datos personales por mensajes o páginas de terceros
  • Recuerda que ningún banco tendría que pedir información tan sensible a través de estos medios.
  • No abras enlaces de números desconocidos, pueden enviar a páginas fraudulentas que buscan robar tu información.
  • Acude a una sucursal de la entidad financiera si tienes duda sobre algún movimiento o promoción.
  • Verifica las ofertas en las páginas y redes oficiales del banco.
  • Si una oferta o promoción aparenta ser muy buena y por tiempo limitado, seguramente es una estafa.
  • Usa contraseñas seguras y activa el doble factor de autenticación como capa adicional de seguridad ante fraudes.
  • Mantén actualizado el celular para que los ciberdelincuentes no se aprovechen de alguna vulnerabilidad.
  • Cuenta con una solución de antivirus para filtrar y restringir aquellas páginas web que buscan robar tu información.

Fuente: ESET

Al recibir un mensaje que imprima el sentido de urgencia e inste al usuario a actuar rápidamente, es importante cuestionar si la oferta es demasiado buena para ser real y por qué hay un tiempo limitado para actuar.

“Aplicar el sentido común y las recomendaciones antes mencionadas te ayudarían a protegerte ante tipo de estafas“, rematan los especialistas de ESET.

¿Qué es el smishing?

El smishing es un ataque de phishing que utiliza mensajes de texto SMS (servicio de mensajes cortos) para engañar a los destinatarios para que revelen información personal, descarguen malware o hagan clic en enlaces maliciosos, según ESET.

Los atacantes envían mensajes fraudulentos que parecen provenir de fuentes confiables, como bancos, servicios de entrega o agencias gubernamentales.

Estos mensajes suelen contener lenguaje urgente para provocar una acción inmediata, como hacer clic en un enlace o responder con datos sensibles. Estas son las tácticas comunes de los atacantes:

  • Urgencia y temores: los mensajes pueden afirmar que tu cuenta está bloqueada, que un paquete no se puede entregar o que un pago está atrasado.
  • Identidades suplantadas: los atacantes pueden hacerse pasar por organizaciones legítimas o usar marcas conocidas.
  • Enlaces maliciosos: las URL pueden conducir a sitios web falsos que roban credenciales de inicio de sesión o instalan malware.
  • Recolección de datos: algunas campañas de smishing tienen como objetivo recopilar datos personales para el robo de identidad o las estafas.

Los expertos de ESET señalan que esta táctica es tan eficaz porque las personas suelen confiar más en los mensajes de texto que en los correos electrónicos y los celulares son más susceptibles a acciones rápidas e impulsivas.

Además, destacan que los mensajes cortos y los enlaces de vista previa dificultan la verificación de la autenticidad.

Te recomendamos:

Sheinbaum reconoce a Banxico en su Centenario y lanza retos al sistema financiero

Nacional

Sheinbaum reconoce a Banxico en su Centenario y lanza retos al sistema financiero

Frida Muñoz celebra libertad condicional de Julio César Chávez Jr: “Gloria a Dios”

Entretenimiento

Frida Muñoz celebra libertad condicional de Julio César Chávez Jr: “Gloria a Dios”

Trump firma orden: cárcel de un año para quien queme la bandera de EE. UU.

Estados Unidos

Trump firma orden: cárcel de un año para quien queme la bandera de EE. UU.

¿Cómo realizar el cambio de titular del recibo de luz de la CFE?

Nacional

¿Cómo realizar el cambio de titular del recibo de luz de la CFE?

Etiquetas: