‘Phishing’: una nueva campaña suplanta a Endesa para robar datos bancarios

El Instituto Nacional de Ciberseguridad (Incibe) ha alertado de una nueva campaña dephishingque suplanta a Endesa para lograr datos personales y bancarios de los usuarios.

Las víctimas reciben un correo electrónico fraudulento donde se les comunica un supuesto fallo de facturación que les reportará un ingreso en su cuenta de 200 euros. Para ello, solicita el acceso a una plataforma web que suplanta a la página legítima de Endesa y les insta a introducir sus datos para recibir el dinero.

El falso correo electrónico suele contar con asuntos como “Reembolso 200 euros Endesa“, “¡Endesa! Reembolso” o “reembolso | N°ES#XXXXXXXXXXXXX????“, aunque el organismo no descarta otros similares. Puede detectarse igualmente que se trata de un correo falso por la presencia de errores ortográficos y de sintaxis.

Ejemplo del correo malicioso. | Imagen: Incibe.

En dicho correo se insta a acceder a un enlace que, supuestamente, redirige al área de cliente oficial de la compañía energética. Sin embargo, se trata de una página falsa que pide a los usuarios el correo electrónico y la contraseña, para posteriormente dirigirles a una nueva pantalla.

En este segundo paso, se le pide a las víctimas que ingresen sus datos bancarios para recibir el supuesto ingreso de 200 euros. Una vez realizado, piden el PIN de la tarjeta bancaria una clave OTP que, en teoría, han enviado al teléfono móvil del usuario -aunque lo más seguro es que nunca llegue-.Una vez realizado este paso final, los ciberdelincuentes ya dispondrán de toda la información de sus víctimas.