Las tecnologías cambian, pero los
cibercriminales encuentran la manera de robar credenciales bancarias de los usuarios, ya sea a través de campañas de
phishing, SMS o por teléfono. Sin embargo, hay formas de prevenirlo.
La clave es reconocer cuándo el comportamiento de una institución no es
el esperable o correcto. Con ese fin, ESET presenta 10 acciones que un
banco nunca llevará a cabo, a diferencia de un
ciberatacante:
1. Mandar un SMS pidiendo detalles para confirmar si se trata del cliente correcto.
Si bien puede suceder que un banco mande mensajes de texto, por ejemplo
para confirmar una transacción hecha desde una computadora, nunca
solicitará contraseñas ni información personal a través de ese medio.
Ante la sospecha de un posible intento de engaño, se recomienda no hacer
clic en enlaces ni llamar a los teléfonos indicados.
LA NUEVA TÉCNICA DE CIBERATAQUE A LAS COMPAÑÍAS
2. Decir que en 24 horas se cerrará la cuenta a menos que se tome una acción.
Muchos mensajes legítimos de un banco son marcados como “urgentes”,
particularmente aquellos relacionados a la sospecha de un fraude. Pero
cualquiera que contenga un plazo estimado para realizar una acción debe
ser leído con cautela. Los cibercriminales necesitan ser rápidos, ya que
sus sitios se pueden bloquear o cerrar al ser descubiertos, por lo que
necesitan que el usuario haga clic sin pensar. En cambio, los bancos
sólo quieren ponerse en contacto con el cliente, y generalmente no ponen
plazos tan firmes.
¿ES USTED UN CIBERCRIMINAL ENCUBIERTO Y NO SE HA DADO CUENTA?
3. Mandar un link a una “nueva versión” de la aplicación para home ranking.
Los bancos no distribuyen aplicaciones de esta manera, y siempre pueden
ser descargadas desde las tiendas oficiales. Por ejemplo, el troyano
bancario llamado Hesperbot descubierto recientemente por ESET, usa un
sitio falso para que los usuarios ingresen su número de celular y se
instale una aplicación maliciosa que traspasa los sistemas de seguridad.
SEGURIDAD: EL MAL USO DE RECURSOS AMENAZA A LA RED CORPORATIVA
4. Usar acortadores de enlaces en un email. Los cibercriminales
utilizan una variedad de trucos para que un sitio malicioso parezca
“real” en un email que pretende ser de una entidad
bancaria. Uno de los
más clásicos es el uso de acortadores de enlaces. Por tal motivo, ESET
recomienda no hacer clic en links acortados, ya sean provenientes de un
email o de un SMS. En cambio, se debe ir al sitio web legítimo del banco
directamente desde el navegador.
5. Mandar un servicio postal a retirar una tarjeta de crédito.
Una nueva forma de estafa que consiste en decir que un servicio postal
pasará a retirar la tarjeta de crédito “defectuosa”, para lo cual se
pedirá el número de PIN como confirmación. La forma legítima de
reemplazar una tarjeta es instruir al usuario para destruirla, y
enviarle una nueva por correo.
6. Llamar al teléfono fijo y pedir que el cliente vuelva a llamar para confirmar que es el banco. Esta
es otra nueva forma de engaño, que consiste en llamar al cliente para
avisarle que se han detectado transacciones fraudulentas en la cuenta.
Los cibercriminales intentarán probar la legitimidad cortando la
comunicación y pidiéndole al usuario que llame nuevamente al número
oficial de la entidad
bancaria. Pero en realidad reproducen un sonido de
marcado, y cuando el cliente disca el número, se comunica con la misma
persona, que pasará a pedir detalles de la tarjeta de crédito y
contraseñas.
7. Mandar un email a una nueva dirección sin avisar. Si el banco
se contacta con el usuario a una cuenta diferente a la brindada
anteriormente, se debe tener en cuenta la posibilidad de que sea un
intento de engaño. Lo recomendable es tener una
cuenta de correo
destinada solamente a las comunicaciones con la entidad, y no publicarla
en ningún lado, de manera que sea altamente probable que los mails
recibidos allí sean realmente del banco.
8. Usar un sitio web no seguro. Un sitio legítimo correspondiente
a una entidad bancaria debe mostrar el típico candado en la barra de
direcciones, que significa que es un sitio seguro.
9. Solicitar la desactivación de la solución de seguridad. Un
banco no solicitará deshabilitar el software de seguridad para ingresar a
su plataforma o realizar alguna transacción. En caso de que esto
suceda, se recomienda comunicarse inmediatamente con la entidad
financiera para verificar el comportamiento sospechoso.
10. Mandar un mensaje con una dirección en blanco. Cualquier
mensaje proveniente de un banco debe estar dirigido a quien corresponde,
tanto en el cuerpo como en el encabezado. Es importante chequear que el
email esté destinado a la dirección de correo del cliente, y no a algo
genérico como “Lista de clientes”.
