Las tecnologías cambian, pero los cibercriminales encuentran la manera de robar credenciales bancarias de los usuarios, ya sea a través de campañas de phishing, SMS o por teléfono. Sin embargo, hay formas de prevenirlo.

La clave es reconocer cuándo el comportamiento de una institución no es el esperable o correcto. Con ese fin, ESET presenta 10 acciones que un banco nunca llevará a cabo, a diferencia de un ciberatacante:

1) Mandar un SMS pidiendo detalles para confirmar si se trata del cliente correcto

Si bien puede suceder que un banco mande mensajes de texto, por ejemplo para confirmar una transacción hecha desde una computadora, nunca solicitará contraseñas ni información personal a través de ese medio. Ante la sospecha de un posible intento de engaño, se recomienda no hacer clic en enlaces ni llamar a los teléfonos indicados. En cambio, se debe contactar a la entidad mediante sus vías habituales, generalmente disponibles en Internet, y chequear si el mensaje proviene realmente de allí.

2) Decir que en 24 horas se cerrará la cuenta a menos que se tome una acción

Muchos mensajes legítimos de un banco son marcados como “urgentes”, particularmente aquellos relacionados a la sospecha de un fraude. Pero cualquiera que contenga un plazo estimado para realizar una acción debe ser leído con cautela. Los cibercriminales necesitan ser rápidos, ya que sus sitios se pueden bloquear o cerrar al ser descubiertos, por lo que necesitan que el usuario haga clic sin pensar. En cambio, los bancos sólo quieren ponerse en contacto con el cliente, y generalmente no ponen plazos tan firmes.

3) Mandar un link a una “nueva versión” de la aplicación para home banking

Los bancos no distribuyen aplicaciones de esta manera, y siempre pueden ser descargadas desde las tiendas oficiales. Por ejemplo, el troyano bancario llamado Hesperbot descubierto recientemente por ESET, usa un sitio falso para que los usuarios ingresen su número de celular y se instale una aplicación maliciosa que traspasa los sistemas de seguridad.

4) Usar acortadores de enlaces en un email

Los cibercriminales utilizan una variedad de trucos para que un sitio malicioso parezca “real” en un email que pretende ser de una entidad bancaria. Uno de los más clásicos es el uso de acortadores de enlaces. Por tal motivo, ESET recomienda no hacer clic en links acortados, ya sean provenientes de un email o de un SMS.  En cambio, se debe ir al sitio Web legítimo del banco directamente desde el navegador.

5) Mandar un servicio postal a retirar una tarjeta de crédito

Una nueva forma de estafa que consiste en decir que un servicio postal pasará a retirar la tarjeta de crédito “defectuosa”, para lo cual se pedirá el número de PIN como confirmación. La forma legítima de reemplazar una tarjeta es instruir al usuario para destruirla, y enviarle una nueva por correo.

6) Llamar al teléfono fijo y pedir que el cliente vuelva a llamar para confirmar que es el banco

Esta es otra nueva forma de engaño, que consiste en llamar al cliente para avisarle que se han detectado transacciones fraudulentas en la cuenta. Los cibercriminales intentarán probar la legitimidad cortando la comunicación y pidiéndole al usuario que llame nuevamente al número oficial de la entidad bancaria. Pero en realidad reproducen un sonido de marcado, y cuando el cliente disca el número, se comunica con la misma persona, que pasará a pedir detalles de la tarjeta de crédito y contraseñas.

7) Mandar un email a una nueva dirección sin avisar

Si el banco se contacta con el usuario a una cuenta diferente a la brindada anteriormente, se debe tener en cuenta la posibilidad de que sea un intento de engaño. Lo recomendable es tener una cuenta de correo destinada solamente a las comunicaciones con la entidad, y no publicarla en ningún lado, de manera que sea altamente probable que los mails recibidos allí sean realmente del banco.

8) Usar un sitio Web no seguro

Un sitio legítimo correspondiente a una entidad bancaria debe mostrar el típico candado en la barra de direcciones, que significa que es un sitio seguro.

9) Solicitar la desactivación de la solución de seguridad

Un banco no solicitará deshabilitar el software de seguridad para ingresar a su plataforma o realizar alguna transacción. En caso de que esto suceda, se recomienda comunicarse inmediatamente con la entidad financiera para verificar el comportamiento sospechoso.

10) Mandar un mensaje con una dirección en blanco

Cualquier mensaje proveniente de un banco debe estar dirigido a quien corresponde, tanto en el cuerpo como en el encabezado. Es importante chequear que el email esté destinado a la dirección de correo del cliente, y no a algo genérico como “Lista de clientes”.

“Tener en cuenta estas precauciones y estar alertas les permitirá a los usuarios saber cuándo pueden confiar en una solicitud y cuándo deben sospechar de lo que reciben por parte de su entidad bancaria”, declaró Camilo Gutiérrez, Especialista de Awareness & Research de ESET Latinoamérica. “Asimismo, resulta necesario tener un software de seguridad actualizado que garantice la protección de los datos”, concluyó.

Más información sobre prevención de ataques informáticos disponible en el Blog de Laboratorio de ESET Latinoamérica http://blogs.eset-la.com/laboratorio/.