“Estimado cliente,su tarjeta a sido bloqueada por actividades sospechosas. Para reactivarla, verifica tu identidad: https://www.configuracion-movil.online“. Este es el texto de un SMS recibido hace dos días por la usuaria de Twitter @MamaConseja_.

Podríamos pensar que, con esa falta de ortografía, el mensaje se ve aún más sospechoso que las ‘actividades’ a las que hace referencia. Sin embargo, la usuaria en cuestión hizo clic en el enlace por una —aparentemente— buena razón…

…el mensaje se le mostraba en el mismo ‘hilo’ de mensajes que los anteriores SMS enviados por su banco, el BBVA, con los códigos necesarios para realizar operaciones de banca a distancia.

Al abrir el enlace en el navegador, se le mostraba una web (que ya ha dejado de estar disponible) en la que se le pedían los datos de su cuenta online. Por fortuna para la usuaria, ese detalle le “olió mal”, y optó por no completar la solicitud de datos, prefiriendo entrar en la app oficial:

La usuaria continúa relatando que la telefonista le confirmó que se trataba de un ataque de phising que ya ha sido denunciado por varios clientes, y que el atacante “les han copiado el modus operandi a la perfección”.

Poco después la misma cuenta del BBVA le respondía lo siguiente:

Nadie ha hackeado al BBVA, es un simple caso de ‘spoofing’

Esta técnica es conocida como ‘SMS Spoofing’, y fundamentalmente permite falsificar un mensaje remitido desde una fuente desconocida para hacerla pasar por una de confianza. Y no hace falta ser ningún superhacker para ello: existen multitud de webs que permiten falsificar un SMS desde un sencillo formulario, a veces, incluso, de manera gratuita.

De hecho, incluso los remitentes legítimos hacen uso de esta función para permitir que todos los mensajes que nos remiten, que no tienen por qué proceder siempre del mismo número, se muestren agrupados.

Así que no, nadie se ha hecho pasar por el BBVA ni les ha “copiado el modus operandi a la perfección”, como decía la telefonista de Atención al Cliente. Sencillamente, alguien ha escrito ‘from:BBVA’ en un formulario web.

Fuente: Genbeta