El Instituto Nacional de Ciberseguridad (INCIBE) ha detectado una campaña de SMS falsos (smishing) que suplantan al servicio de telefonía Movistar. Su objetivo es engañar al usuario para que acceda a un enlace que le redirigirá a una página fraudulenta de aspecto similar a la legítima y, en ella, la víctima podrá reclamar un supuesto reembolso de 96,50 euros de su factura.
Los usuarios están recibiendo SMS falsos (smishing) que suplantan al servicio de telefonía Movistar. Su objetivo es engañar al usuario para que acceda a un enlace que le redirigirá a una página fraudulenta de aspecto similar a la legítima. En esta, la víctima podrá reclamar un supuesto reembolso de 96,50€ de su factura.
Recursos afectados
Usuarios que hayan recibido el mensaje y seguido las indicaciones que este recoge hasta proceder a facilitar sus datos bancarios.
Solución
Si recibes un SMS en nombre de la empresa Movistar, indicando que está disponible tu factura y que puedes reclamar un reembolso de la misma, y que para ello debes acceder a un enlace, no lo hagas, se trata de un fraude.
Si por el contrario, has seguido las indicaciones y facilitado tus datos bancarios, procede de la siguiente forma:
- Contacta lo antes posible con tu entidad bancaria para informarles de lo sucedido y cancelar posibles transacciones que se hayan podido efectuar.
- Y si has facilitado también tus datos personales, permanece atento y revisa periódicamente qué información hay publicada sobre ti (egosurfing) en Internet para comprobar que no se esté haciendo un uso indebido de la misma.
- Por último, siempre puedes denunciar esta situación ante las Fuerzas y Cuerpos de Seguridad del Estado(FCSE).
Evita ser víctima de fraudes de tipo smishing siguiendo nuestras recomendaciones:
- No abras mensajes de usuarios desconocidos o que no hayas solicitado, elimínalos directamente. No contestes en ningún caso a estos SMS.
- Ten precaución al seguir enlaces, aunque sean de contactos conocidos.
- Revisa la URL de la página web. Si no hay certificado, o si no corresponde con el sitio al que accedemos, no facilites ningún tipo de información personal: nombre de usuario, contraseña, datos bancarios, etc. 4. En caso de duda, consulta directamente con la entidad implicada a través de sus canales oficiales.
Detalles
Se están detectando SMS que suplantan al servicio de Movistar con la excusa de poder reclamar un reembolso de 96,50€ de la factura. Para ello, se insta al usuario a pulsar sobre un enlace que redirige a una página falsa, en la que se le solicitan datos de la tarjeta de crédito para supuestamente hacer efectivo el reembolso de dinero. Ejemplo:
Movistar Publi: Su factura de 2020/2021. Puedes reclamar tu reembolso de 96,50€ aquí: [enlace fraudulento]
El sitio web trata de suplantar a Movistar y es muy similar a la página legítima de la compañía. La forma de comprobarlo es revisando la URL de la web, que no se trata del dominio legítimo, sino de uno que trata de simular el real utilizando el nombre de la empresa en la URL.
La web fraudulenta tiene como objetivo convencer al usuario para introducir sus datos personales y bancarios en la página, con el fin de hacer uso de ellos, para cometer un fraude financiero.
Otras campañas fraudulentas
En esta misma línea, han detectado otra campaña que trata de suplantar a la entidad financiera BBVA. En dichos mensajes se utilizan como pretexto un proceso de verificación de inicio de sesión. Cualquier empleado o empresario que haya recibido estos SMS o cualquier notificación con estas características, debe omitirla o eliminarla, sin descargar ninguna aplicación, ni pinchar en el enlace.
Por otro lado, desde Incibe han informado que Google ha publicado una actualización de su navegador Google Chrome en sus versiones para Windows, Mac, Linux, iOS, y Android y que incluye treinta y dos correcciones de seguridad, siendo una de ellas de severidad crítica. Es recomendable instalar esta actualización para corregir los fallos, en caso de que no se haya ejecutado automáticamente.
También, Mozilla ha lanzado una nueva actualización que soluciona dos vulnerabilidades críticas que afectan al gestor de correo Thunderbird y al navegador Firefox, afectando a las modalidades de escritorio, soporte extendido (ESR) y dispositivos con sistema operativo Android.
Por último, se ha detallado de qué se trata el fraude Business Email Compromise (BEC) o compromiso del email corporativo y en el que se informa a las empresas cómo reconocerlo y tomar las medidas oportunas para no poner en riesgo la información de la empresa. Asimismo, se ha recordado que es de suma importancia notificar la brecha de datos, en caso de suceder, a la Agencia Española de Protección de Datos (AEPD) y recopilar toda la información posible para investigar el incidente y mitigar su impacto.
