Alerta de phishing: simulan ser el Banco Bandes para robrar credenciales
El día 26 de agosto 2023, encontramos activo un aviso en Google que conduce a una página falsa que busca robar usuarios y contraseñas de los clientes del Banco Bandes en Uruguay. El aviso en cuestión, se encuentra publicado a través del servicio Google, denominado Ads.
Tabla de contenidos
Phising en Google Ads
Si buscamos «Bandes», Google puede llegar mostrar un aviso como el que vemos en la siguiente captura de pantalla:
Para empezar, hay que notar que el dominio no se corresponde al Banco Bandes. Esa es una primera señal de alerta.
Detrás de la estafa
Las políticas de Google Ads no permite la promoción de anuncios que dirijan a los usuarios a sitios web falsificados o que intenten engañar a los usuarios para que revelen información confidencial, como contraseñas, números de tarjetas de crédito o información personal.
A pesar de los esfuerzo de Google por prevenir esta situación, lo cierto que es que aún continúan desplegándose avisos cuyo objetivo es cometer un delito, como es el caso que estamos notificando, en donde se intenta engañar al usuario para que ingrese sus credenciales del Banco Bandes.
Podemos ver quién fue el responsable de publicar la publicidad, si hacemos clic en los tres puntos que se encuentran a un lado del aviso.
Como se puede observar en la imagen, la persona que publicó el aviso, lo hizo bajo el nombre (posiblemente falso) de Kristal Henry ubicado en Panamá:
Reportando los avisos fraudulentos a Google
Google permite reportar los avisos que consideramos dañinos, ya sea porque contienen material ofensivo, o suplantación de identidad.
Para reportar un aviso, simplemente hay que hacer clic en el vínculo «Report ad» y describir las causas por la cual consideramos que es una publicidad inapropiada.
Una vez reportado el aviso, Google nos notifica que revisaran la publicidad reportada, y si bien no te permiten hacer un seguimiento del caso, podemos verificar si en el correr de los días la suplantación de identidad sigue activa, buscando por la misma palabra clave para la cual se mostraba el aviso, en este caso: «Bandes».
¿Qué es el phishing?
La técnica conocida como phishing, que en español sería «suplantación de identidad», es una forma de estafa en la que los atacantes intentan engañar a las personas para que revelen información confidencial, como contraseñas, números de tarjetas de crédito o información personal, haciéndose pasar por entidades legítimas.
Los delincuentes suelen enviar correos electrónicos, mensajes de texto o mensajes en redes sociales que parecen provenir de organizaciones legítimas, como bancos, empresas o sitios web populares.
Estos mensajes engañosos suelen contener enlaces falsos que llevan a sitios web falsificados que imitan la apariencia de los sitios reales.
Una vez en estos sitios, se insta a las víctimas a ingresar sus datos personales o de inicio de sesión, que los atacantes capturan para su uso malicioso.
El objetivo del phishing es robar información valiosa o realizar actividades fraudulentas, como robar identidades, acceder a cuentas bancarias o realizar compras no autorizadas.
Para protegerse contra el phishing, es importante ser cauteloso al hacer clic en enlaces en correos electrónicos o mensajes que parecen sospechosos.
Verificar la autenticidad de los remitentes, evitar proporcionar información confidencial en sitios web no verificados y utilizar autenticación de dos factores son prácticas recomendadas para reducir el riesgo de caer en ataques de phishing.
Comentarios