Campaña de phishing usa nombre del Banco Crédito del Perú
El programa de créditos Dinero al Instante, ofrecido por el Banco de Crédito del Perú (BCP), está siendo objeto de atención por parte de diversas campañas engañosas. ESET Latinoamérica, compañía líder en detección proactiva de amenazas, identificó iniciativas maliciosas que buscan explotar la confianza de los usuarios, aprovechando tanto el nombre de la entidad bancaria como las necesidades monetarias de sus potenciales víctimas.
«Al analizar los enlaces y contenidos ocultos de los sitios, observamos que usan el nombre de la entidad y palabras clave como préstamos, crédito o dinero.
Esta estrategia de palabras clave es utilizada para, por un lado, atraer a la víctima y darle un matiz de autenticidad al sitio falso, y por otro, mejorar el posicionamiento en los resultados de búsqueda. Estas campañas, usualmente, tienen como objetivo el robo de datos sensibles y credenciales», comenta Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica.
Los cibercriminales lo que hacen es copiar letra por letra el sitio legítimo de inicio de sesión a los sistemas de la entidad bancaria, instando a la víctima a que entregue sus credenciales de acceso, incluyendo documento de identidad nacional. Una vez que obtienen esta información, cuentan con todo lo necesario para acceder a las cuentas de banca en línea de las víctimas.
El impacto puede llegar a ser devastador, ya que los delincuentes pueden acceder a fondos, realizar transacciones no autorizadas y causar un daño financiero significativo.
Otra forma de engaño que se identificó lleva a los usuarios que buscan información sobre créditos otorgados por el Banco de Crédito del Perú a anuncios de una página no asociada a la entidad original. Esta supuesta organización financiera ofrece créditos con tasas que a simple vista parecen muy atractivas. Sin embargo, hay algunos aspectos llamativos del sitio en sí: contiene errores que indicarían que es una traducción, no cuenta con documentación financiera en cuanto a plazos o normativas, ni reputación de usuarios que la respalde. Además, dentro de la sección de Términos y Condiciones, la organización detrás del sitio alega que no tendrá responsabilidad por cualquier daño producido a partir del uso del sitio, o de servicios en este.
Más aún, el nombre de esta supuesta organización detrás del sitio suele figurar en redes sociales o blogs acompañados de promesas irreales de ganancias monetarias.
«Lamentablemente, este tipo de engaños son cada vez más frecuentes y uno de los ciberataques más producidos en internet. Los cibercriminales se aprovechan de la situación económica de los usuarios y del conocimiento público de algunas entidades para llevar adelante campañas maliciosas con el objetivo de engañar a las víctimas y obtener un beneficio económico», añade López de ESET.
En este sentido, ESET brinda una serie de recomendaciones para tratar de evitar caer en engaños de este tipo y poder reconocerlos cuando circulan:
Verificar la fuente: Ante la recepción de un correo electrónico, mensaje o llamada inesperada que solicite información personal o financiera, es importante verificar la autenticidad de la fuente antes de responder o hacer clic en enlaces.
Evitar hacer clic en enlaces sospechosos: Se recomienda evitar hacer clic en enlaces que se incluyan en comunicaciones no solicitadas, o en búsquedas por buscadores que no sean del dominio de la compañía. En su lugar, se debe acceder al sitio web oficial de cualquier entidad bancaria ingresando la URL manualmente en el navegador.
Mantener los sistemas actualizados: Es fundamental mantener instaladas las últimas actualizaciones de seguridad en la computadora y los dispositivos móviles para prevenir posibles vulnerabilidades conocidas.
Utilizar contraseñas seguras: Se aconseja cambiar las contraseñas de manera regular y emplear contraseñas robustas que combinen letras mayúsculas y minúsculas, números y caracteres especiales.
Mantener la calma: Ante la recepción de un mensaje alarmante o urgente que inste a una acción inmediata, es recomendable detenerse y reflexionar. Los ciberdelincuentes a menudo intentan generar pánico para inducir a una acción impulsiva.