Portada
mis comunidades
otras secciones
#2:
Directamente no te fíes ni del BBVA, ni del Santander.
#13:
#3 En mi curro hacen pruebas de phishing todas las semanas, cada vez más elaboradas, y todas las semanas cae gente.
Y el equipo de ingenieria no es precisamente tonto.
La cosa es que si el ataque está bien dirigido (mencionan por ejemplo a gente con la que trabajas, lo que se puede encontrar en linked-in, por decir sólo una de las técnicas) es fácil pinchar donde no debes.
Y con los bancos igual; sólo necesitan que los datos que te mandan cuadren con los que tú tienes; por ejemplo si haces un pedido en telepizza por 30 € y te llega un SMS que habla de tu pedido de telepizza de 30 € (porque hubieran hackeado telepizza, o quizá tu email, o hay un empleado de telepizza compinchado) probablemente te parezca legítimo.
Y el equipo de ingenieria no es precisamente tonto.
La cosa es que si el ataque está bien dirigido (mencionan por ejemplo a gente con la que trabajas, lo que se puede encontrar en linked-in, por decir sólo una de las técnicas) es fácil pinchar donde no debes.
Y con los bancos igual; sólo necesitan que los datos que te mandan cuadren con los que tú tienes; por ejemplo si haces un pedido en telepizza por 30 € y te llega un SMS que habla de tu pedido de telepizza de 30 € (porque hubieran hackeado telepizza, o quizá tu email, o hay un empleado de telepizza compinchado) probablemente te parezca legítimo.
#4:
La pregunta no contestada es ¿por qué motivo aquellos que, pudiendo solucionar el smishing, no lo hacen?
Según parece se puede activar una capa de seguridad a los sms que impediría que tú recibieras en "el mismo hilo" que tu banco legítimo un sms del estafador. Pero esto no se hace. Ni se hace el mínimo esfuerzo por evitarlos.
Como decía mi abuela: Siempre le toca perder a pocarropa.
Según parece se puede activar una capa de seguridad a los sms que impediría que tú recibieras en "el mismo hilo" que tu banco legítimo un sms del estafador. Pero esto no se hace. Ni se hace el mínimo esfuerzo por evitarlos.
Como decía mi abuela: Siempre le toca perder a pocarropa.
#9:
#3 En esta trampa podemos caer todos. Si el SMS se incrusta en el hilo legítimo de comunicaciones que tienes con tu banco, es más fácil ser víctima de la estafa.
Muchos no caeríamos porque el SMS suele llegar cuando realizamos alguna acción en la banca online. Así que si nos llega sin esperarlo, sospechamos. Pero muchas otras personas sí son susceptibles de caer en la trampa, como te dice #6, tú y yo incluidos si se dan las circunstancias necesarias.
Esta estafa no se puede comparar a un trilero o a un príncipe nigeriano. Lo que sí se puede hacer es culpar al banco, porque es responsabilidad suya por no tener la seguridad adecuada, como dice #4
Muchos no caeríamos porque el SMS suele llegar cuando realizamos alguna acción en la banca online. Así que si nos llega sin esperarlo, sospechamos. Pero muchas otras personas sí son susceptibles de caer en la trampa, como te dice #6, tú y yo incluidos si se dan las circunstancias necesarias.
Esta estafa no se puede comparar a un trilero o a un príncipe nigeriano. Lo que sí se puede hacer es culpar al banco, porque es responsabilidad suya por no tener la seguridad adecuada, como dice #4
Comentarios
Directamente no te fíes ni del BBVA, ni del Santander.
#2 Y de CaixaBank/Bankia todavía menos...
La pregunta no contestada es ¿por qué motivo aquellos que, pudiendo solucionar el smishing, no lo hacen?
Según parece se puede activar una capa de seguridad a los sms que impediría que tú recibieras en "el mismo hilo" que tu banco legítimo un sms del estafador. Pero esto no se hace. Ni se hace el mínimo esfuerzo por evitarlos.
Como decía mi abuela: Siempre le toca perder a pocarropa.
#3 En esta trampa podemos caer todos. Si el SMS se incrusta en el hilo legítimo de comunicaciones que tienes con tu banco, es más fácil ser víctima de la estafa.
Muchos no caeríamos porque el SMS suele llegar cuando realizamos alguna acción en la banca online. Así que si nos llega sin esperarlo, sospechamos. Pero muchas otras personas sí son susceptibles de caer en la trampa, como te dice #6, tú y yo incluidos si se dan las circunstancias necesarias.
Esta estafa no se puede comparar a un trilero o a un príncipe nigeriano. Lo que sí se puede hacer es culpar al banco, porque es responsabilidad suya por no tener la seguridad adecuada, como dice #4
#9 Efectivamente, el responsable es el banco por hacer uso de un servicio que jamás fue diseñado con la seguridad en mente como son los SMS.
Pero al fin y al cabo el dinero es del banco y es su problema si mediante ataques por SMS le roban su dinero. Ya que el banco es quien tiene la responsabilidad de verificar que es el cliente quién hace la retirada de dinero u ordena su traspaso, pudiéndose luego el banco restarse parte de la deuda contraída con el cliente. Si quien hace la retirada u ordena el traspaso es alguien distinto al cliente el banco si decide llevar a cabo la operación es a cuenta de su dinero, no puede usar ese movimiento para restarse deuda contraída con el cliente.
Si el banco ofrece tarjetas NFC que no piden ni PIN para cuantías inferiores a la cantidad que el banco decide es éste quién está asumiendo los riesgos, al igual que usando los SMS con toda la inseguridad asociada a esa tecnología.
#14 De acuerdo con lo de los SMS, aunque como dicen más arriba, sí existen sistemas de seguridad para evitar este tipo de estafas por SMS.
Respecto a lo del NFC, estaría bien saber qué dice la ley e incluso si siquiera este tipo de sistema, muy reciente, está contemplado. Porque de memoria una de las tarjetas contactless que tengo venía con una descarga de responsabilidad para el banco en pagos contactless sin PIN...
#19 Hasta donde yo sé el cliente en la mayoría de bancos no puede elegir la cuantía a partir de la cual pide PIN, esa es una decisión del banco porque el dinero es del banco, y la valoración del riesgo corresponde al banco.
Hasta donde yo sé el cliente no puede pedir una tarjeta de débito o crédito sin tecnología NFC, esa es una decisión del banco porque el dinero es del banco, y la valoración del riesgo corresponde al banco.
#22 Cierto, pero el cliente sí puede desactivar la función contactless. Al menos uno de mis bancos lo permite, los demás no lo sé.
#25 Y si no dejan con el taladro, cortando una de las salidas de la antena sobre la tarjeta. Creo recordar que había algún tutorial por ahí. (De verdad).
#19 Si verdaderamente existe esa descarga de responsabilidad, es nula. El banco siempre es responsable de saber a quién le da su dinero y de poner todas las medidas de seguridad en su mano para identificarlo.
Si el banco decide relajar esas medidas porque hacen inoperativo su negocio, es el banco el que corre el riesgo (y tendrá un seguro para ello).
#6 Y sin ser mayor, que te pille un día descuidado.
Yo los hilos sms de bancos siempre intento borrarlos una vez finiquitada la gestión.
#9 #3
#9 En esta trampa podemos caer todos
habla por ti
#33 Por favor, Dios mío, acepta mis humildes disculpas. No tengo hijos, pero si quieres puedo sacrificar a mi hermano en tu nombre.
#35 has editado el comentario, que te he pillado
#4 La seguridad bancaria siempre ha sido una puta mierda. Sigue con códigos de 6 caracteres numéricos, por ejemplo.
Se empeñan en usar SMS, a pesar de que está más que demostrado que no son seguros, y además si no tienes el móvil (con cobertura, con SMS operativos -no siempre es el caso si estás en el extranjero-) no tienes acceso a tu banco.
#4 Filtrar los SMS debería ser de lo más sencillo para las empresas de telefonía actualmente, así que no lo hacen porque no les da la gana.
Al final habrá que cambiar las apps de SMS en los smartphones por alguna con filtrado, igual que se hace ya con las de llamadas.
La norma es jamás de los jamases dar un dato cuando te llamen ellos. Si tienes que dar algún dato que sea porque tú llamas.
Meneo y difundo la noticia por mis contactos.
Edito: Gracias.
Ni de Caixabanc, conozco iba que cayó. Suerte que se dio cuenta al poco tiempo y pudo arreglarlo llamando al banco, pero menudo disgusto.
#7 con la app Caixabank sign que se complementa para la firma digital con la app de La. CAIXA es muy difícil ten cuelen un SMS fraudulento.
#7 Me cuelgo de ti para señalar también a Abanca, ha habido unos cuantos casos en Galicia.
Los hay muy chapuceros.
Yo recibí uno del BBVA, pero... ¡la URL terminaba en .ru! [sic].
#37 Supera esto
Siempre que llega sms o email del banco hay q entrar en la app oficial o su web para ver la notificación,nunca a través del enlace del sms. Es ma única manera de evitar riesgos.
#8 El problema es que otras empresas siguen mandando enlaces importantes por SMS, por ejemplo las de transporte de paquetes. Y los estafadores lo saben, el año pasado recibí un intento de phishing haciéndose pasar por Correos y otro de una empresa que ni existe.
Y las administraciones públicas igual, hasta para los avisos de la vacuna te mandan un enlace por SMS. Con la agravante de que las web de entidades públicas a veces tienen direcciones extrañas e incluso certificados no aprobados por los navegadores, por lo que te encuentras páginas públicas que están peor hechas que las de los estafadores.
Hoy me ha llegado un sms con este enlace, diciendo que mi cuenta había sido bloqueada:
https://santander.online-particulares-es.ru/9eAKtO1ZvldVSumWNucBuxG6A/login
No tengo cuenta en el Santander.
Recibi un sms del santander diciendo que por motivos de seguridad, mi cuenta ha sido bloqueada en el siguiente enlace podria desbloquearla. era el hilo de los sms del banco , pero una cosa me llamo la atencion , tengo dos cuentas y no decian cual de ellas. No pique estos sms los suelen enviar los findes para que no puedas ir al banco y ademas es cuando mas necesitas efectivo. en la sucursal el lunes ya me dijeron que lo borase y que jamas pinche ningun en lace. que vaya a un cajero o entre yo en mi cuenta , pero que ese mensaje lo borre inmediatamente.
De otro banco por llamada telefonica tambien lo intentaro, un finde semana y diciendome que habian detectado que me llegarian unos cargos sospechosos y me debisn de haber duplicado la tarjeta , como yo dije que no me habia llegado ningun sms como habitual, dijeron que desconocian como bloquearon los sms debia sospechaban de estafa de criptomonedas y me pedian la numeracion de mis tarjetas para pararlos. les dije que no las tenia en este momento y quedaron en llamarme. fui al banco el lunes y me dijeron que era una estafa.
Otro viernes, siempre ne finde, me llamaron de mi compañia de la luz, tenian mis datos, o me lo crei todo y me pedian mi numero de cuenta del ban co , el iban, conteste que no la tenia y que me llamasen el lunes. El lunes me llamo la misma chica pidiendomela la dije que es donde me cargan las facturas y me dijo que era por seguridad que me la pedian y conteste que por seguridad no se la daba , colgo inmediatamente.
las llamadas suelen ser al telefono fijo, es mucho mas facil para timar a la gente mayor.
He recibido un sms del banco donde informa de como van los fondos de inversion, en plan el dolar sube el momento de mercado... etc, nada personal pero para ampliar la informacion pincha aqui. lego otra informacion de mercado... bla bla pincha aqui, tengo la certeza que son del banco, pero joder que nadie pinche por si acaso. si te interesa ve a la pagina del banco tu mismo.
#34 Está bien hecha porque oculta la url a la que accede y en el móvil no se muestra dando a entender que se ha abierto la app del banco, no el Chrome.
Si hubiera sido elgatoconbotas.fantasia, da igual porque no se ve.
A mí desde hace un año me llegan SMS que enlazan con un sitio web legítimo del santander ( sces.es/cx ) Como phising no le veo mucho sentido. Pero como no tengo ningún "automocion" pues supongo que puedo estar tranquilo.
Solo os voy a decir algo.
Muchas veces, la extensión de dominio .xyz o se usa para porno y similares, o para intento de phishing, entre otros actos delictivos.
Yo fui, una de las personas, que puso en conocimiento de la Guardia Civil, lo del intento de estafa de correos, que evidentemente no era correos. También fue mucha coincidencia, que en realidad esperase un paquete de correos en esa semana.
Saludos.
Looks legit (ojo a la URL).
De hace pocos días, la persona que lo recibió sospechó y nos avisó.
#21 Cierto.
Pero en el artículo se ve claramente un sms con otra url terminada en seguridad.net que no resulta, a priori, tan "peligrosa".
#21 Informad a Google: https://safebrowsing.google.com/safebrowsing/report_phish/?hl=es
Con que Chrome y los otros navegadores que usan su lista de phishing bloqueen el dominio ya le saldrá el aviso a mucha gente.
#28 Gracias, no lo conocía y acabo de mandar un sms que recibí del bbva hace unos días.
Lo que no entiendo de ese mensaje en concreto, es que la url que aparece en el sms «parece» real (para gente no acostumbrada) pero al copiarla en el navegador te redirecciona a otra rarisima que da mucho más el cante... No sé por qué redireccionan (el sms no tiene hipervinculo, he tenido que copiar la url, por lo que en principio les pertenece).
El mensaje en cuestión:
BBVA: A partir del 11/01/2022, no puede utilizar nuestros servicios, tienes que activar el nuevo sistema de seguridad: https://****
#47 A veces es difícil distinguir las direcciones falsas, los estafadores más profesionales incluso juegan con los caracteres especiales de otros idiomas que son similares a las letras españolas o inglesas. Por ejemplo, bbvɑ.es es muy diferente de bbva.es, el segundo lleva una a pero el primero lleva una letra alpha del abecedario griego.
Y si entras en una dirección falsa luego es muy sencillo para el estafador poner una redirección en la configuración DNS de ese dominio que te envíe a otro. Por eso la recomendación es nunca usar los enlaces que llegan en SMS, el problema es que a veces nos obligan a usarlos, especialmente las administraciones públicas...
Llevo un año recibiendo email en los que se me informa de que han ingresado en mi cuenta ingentes cantidades de dinero. A mí no me pillan.
#36 Qué asco de buenismo. Das pena.
A mí me han llegado ya unos pocos pero del Caixabank durante estas Navidades
El agua moja y las macrogranjas no son sostenibles.
hay que ser cenutrio para picar en estas cosas en 2022
#3 Ojalá no te pase a ti con otra cosa en la que no seas tan "experto".
Los arrogantes son los primeros en caer en estafas.
#3 Hay que ser muy soberbio para no ver que hay mucha gente, especialmente gente mayor, que no domina del todo las tecnologías y pueden caer en esas trampas.
#6 Darwinismo social
#32 Qué asco de comentario. Das miedo.
#3 Eres tonto y en tu casa no lo saben.
#6 Y no sólo gente mayor.
Hay muchas personas de todas las edades, incluso informáticos, que han caído en cosas así.
Algunos phisings indistinguibles de la web real.
#48 Seré tonto pero al menos yo no pico con esos sms
#6 El otro día un señor mayor me enseña un email de sus supuesto banco y me dice que no se fía. Me fijo y le digo que hace bien porque venía de una cuenta@icloud así que era phishing.
#3 Cierto, pero como dice en la noticia, te llegan por el mismo hilo de SMSs buenos. Si no estás muy atento...
#3 No has visto el mensaje en cuestión. Está realmente bien bien hecho. Si me dedicara a hacer páginas web clonadas, querría tener a esos tipos en mi equipo.
#12 superbien hecha, que tiene dominio .ru
#3 En mi curro hacen pruebas de phishing todas las semanas, cada vez más elaboradas, y todas las semanas cae gente.
Y el equipo de ingenieria no es precisamente tonto.
La cosa es que si el ataque está bien dirigido (mencionan por ejemplo a gente con la que trabajas, lo que se puede encontrar en linked-in, por decir sólo una de las técnicas) es fácil pinchar donde no debes.
Y con los bancos igual; sólo necesitan que los datos que te mandan cuadren con los que tú tienes; por ejemplo si haces un pedido en telepizza por 30 € y te llega un SMS que habla de tu pedido de telepizza de 30 € (porque hubieran hackeado telepizza, o quizá tu email, o hay un empleado de telepizza compinchado) probablemente te parezca legítimo.
#13 Había un programa británico The Real Hustle buenísimo, que demostraban de forma didáctico lo fácil que era estafar y timar, muchas veces buscaban en la basura buscando papeles dónde poder hacer lo que dices, una factura de la luz, una compra, un documento bancario y se presenta el estafador con esa información en la casa haciendose pasar por la empresa y caían como moscas pensando que eran legítimos. En España lo echaron un tiempo (no recuerdo si se llamaba como en inglés o Los Estafadores) y lo dejaron de poner, pero a mi me parecía buenísimo y estaría bueno que lo siguieran poniendo.
#3 me llegó el siguiente mensaje desde el remitente "SANTANDER":
INFO:Un nuevo acceso no autorizado esta conectado a su cuenta. Si no reconoce el dispositivo verifique inmediatamente: (y aquí un link a phising)
En caliente muchos se asustan y le dan al enlace (que por cierto en sandbox está ya caido). Pero leyendo un poco el mensaje y pensando con calma uno ve fácilmente varios indicios de que el mensaje es un fraude.
Aún así no creo que esté bien señalar como señalas el analfabetismo funcional de mucha gente, falta formación y educación en un ámbito que se toma bastante a la ligera y está claro que no debería ser así.