No, Endesa no te devuelve 850 euros de tu factura: es una nueva estafa online

Una campaña masiva de emails intenta engañar a los clientes de la operadora eléctrica para hacerse con sus datos bancarios a través de una página rusa
La estafa suplanta la identidad de Endesa y, alegando una factura cobrada por partida doble, pide al usuario su información para proceder al reembolso
“Aplica la ecuación: solicitud de datos bancarios + datos personales = fraude”, pide el Instituto Nacional de Ciberseguridad, que ha elevado una alerta oficial

Página rusa con un formulario para hacerse con los datos bancarios del usuario.

1 de junio de 2019 20:22h

Un nuevo fraude vía correo electrónico está intentando estafar a los clientes de Endesa para lograr los datos de su tarjeta bancaria. El gancho es una factura que, aseguran los timadores haciéndose pasar por la teleoperadora eléctrica, se ha cobrado dos veces, por lo que piden al usuario que introduzca su información de pago para proceder al reembolso. Pese a que hace días que el Instituto Nacional de Ciberseguridad (Incibe) elevó la alerta ante la estafa el envío de emails no ha cesado, han informado fuentes de Endesa a eldiario.es.

“Se están dando de baja dominios fraudulentos, pero estamos tratando de avisar a los usuarios por todos los canales que tenemos”, lamenta la empresa. Este tipo de ataques para hacerse con la información bancaria de las víctimas se conocen como phising y son uno de los métodos de estafa digital más comunes. Los ciberdelincuentes se hacen pasar por una institución legítima como un banco o algún prestador de servicio que se tenga contratado, como en este caso Endesa.

Para hacerse con los datos de la víctima, los cibercriminales explican a la potencial víctima en su correo que si desea acceder al proceso de reembolso debe pinchar en un enlace presente en el correo. Esta es la trampa del phising: las empresas nunca recurren a este método para tratar datos sensibles de sus usuarios. “Las refacturaciones llegan en la factura propia de Endesa, nunca se pide que metas tu número de cuenta a través de email ni datos personales”, detalla la empresa.

La página preparada para consumar la estafa es un formulario para que el usuario introduzca su información. Cuando se accede a este tipo de cuestionarios por cualquier vía, la primera verificación de seguridad para cerciorarse de que la página es confiable debe ser la revisión de la url. En este caso es un dominio “.ru”, lo que indica que es una página rusa. También apunta a que se trata de una campaña de phising poco sofisticada, puesto que no existen métodos menos sospechosos de simular las url que utilizan empresas confiables escondiendo la ubicación real de la página.

“Al pulsar en el botón de continuar”, detalla en este caso la alerta que ha emitido el Incibe, “la página nos redirige a otra donde nos pide ingresar un código que, supuestamente, hemos recibido en nuestro teléfono móvil antes de 3 minutos, para confirmar la supuesta operación de reembolso, aunque realmente no recibiremos ningún código”.

Aunque en este punto los cibercriminales ya se han hecho con lo que buscaban, incluyen un mensaje para intentar ralentizar la denuncia del usuario, indicándole que si su entidad le informa de que se ha efectuado un cobro en su tarjeta “es solo un error de su banco”.

“Si has recibido un correo de estas características, has accedido al enlace y has facilitado tus datos personales (nombre y apellidos) y los de tu tarjeta financiera, contacta lo antes posible con tu entidad bancaria para informarles de lo sucedido”, pide el Incibe a través de su Oficina de Seguridad del Internauta, que pide seguir una serie de recomendaciones para evitar ser víctima de phising.

El phising vía email se suele diseñar en campañas masivas con miles de correos trampa, confiando en que alguno de los receptores caiga en la trampa. Este hecho deriva en que se puedan detectar elementos sospechosos como fallos gramaticales (en ocasiones la campaña implica a varios idiomas y el texto se traduce con herramientas automáticas); así como referencias anónimas al usuario como “Estimado usuario”. “Aplica la ecuación: solicitud de datos bancarios + datos personales = fraude”, resume el Incibe.

El email es uno de los métodos más comunes para intentar desarrollar este tipo de estafa, pero no es la única. El ataque también pueden llegar a través de apps, ya sea diseñadas de forma fraudulenta para imitar la aplicación oficial de una empresa o bien infectada con malware sin que sus desarrolladores lo sepan. Esto es lo que ocurrió recientemente a unas 200 populares apps de juegos de simulación descargables a través de Google Play. La multinacional americana las desactiva en cuanto descubre de la situación, pero en ocasiones pueden pasar días o semanas hasta que se da este hecho.

Recomendaciones del Instituto Nacional de Ciberseguridad para prevenir el phising

• No abras correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.

• No contestes en ningún caso a estos correos.

• Ten precaución al seguir enlaces y descargar ficheros adjuntos de correos, aunque sean de contactos conocidos.

• Ten siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus se debe comprobar que está activo.

• Asegúrate de que la cuenta de usuario posee una contraseña robusta.

• Si no hay certificado o si es de otro sitio web, no facilites ningún tipo de información personal: nombre de usuario, contraseña, datos bancarios, etc.

• En caso de duda, consulta, directamente, con la empresa o servicio implicado o con terceras partes de confianza como pueden ser las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) o la Oficina de Seguridad del Internauta (OSI).

Etiquetas