En las últimas semanas, varias personas han recibido un SMS en el que supuestamente Bizum avisa que necesita aprobar un intento de pago realizado desde un “nuevo dispositivo”. En caso de no haber hecho tal pago, el mensaje pide pinchar en un enlace que dirige a una web que suplanta a la de Bizum, como confirma a Newtral.es la propia empresa.
“Se intentó un pago desde NUEVO DISPOSITIVO el 27/11 a las 15:00:23 y necesita su aprobación. Si no fue usted, por favor visite: Bizumseguridad.com”, se lee en el SMS que han recibido algunos usuarios y que se ha emitido supuestamente desde Bizum. No obstante, se trata de un phishing que usa como gancho “la confirmación de seguridad” ante un supuesto pago para acceder a las credenciales bancarias.
Los ciberdelincuentes clonan la web de Bizum y 28 entidades bancarias
El enlace que reciben los usuarios remite a una web similar a la de Bizum en la que piden escribir el número telefónico asociado al sistema de pago y posteriormente completar los datos personales como el nombre, fecha de nacimiento, dirección, código postal y ciudad. La URL de la web falsa es https://bizumseguridad.com/, pero la página real de la compañía es https://bizum.es.
Seguidamente, aparece un mensaje en la web solicitando confirmar la identidad “seleccionando uno de los siguientes métodos de autenticación”. En la pantalla aparecen los logos de 28 entidades bancarias y al pinchar redirige a otra página que clona la de la institución seleccionada. Es decir, que el phishing suplanta la web de Bizum y la de los numerosos bancos, entre los que se encuentran Santander, BBVA, Caja Rural, Sabadell y Caixabank.
Tras completar la autenticación en la falsa web de Bizum, los ciberdelincuentes piden a los usuarios el DNI/NIE y la contraseña que usan para entrar a la “banca digital”, suplantando la interfaz de inicio de sesión de las entidades bancarias por lo que podrían realizar cualquier transacción.
Bizum alerta de la suplantación de su web oficial a través de un phishing por SMS
Consultado por Newtral.es, Bizum responde que el SMS recibido por los usuarios es un caso de smishing, estafa a través de mensajería de texto, que redirige a una web falsa que ya está en proceso de cierre. De hecho, el navegador Chrome alerta que el enlace adjunto en el SMS es un sitio web engañoso.
“Es posible que los atacantes que se encuentren en bizumseguridad.com intenten engañarte para que realices una acción peligrosa, como instalar software o revelar tu información personal (por ejemplo, contraseñas, números de teléfono o tarjetas de crédito)”, se lee en la advertencia del navegador.
Ante el caso de phishing por SMS, Bizum aconseja a los usuarios que nunca brinden información personal o financiera “a través de llamadas, mensajes o correos electrónicos, ni a través de enlaces recibidos por estos medios”. Además, destacan que el sistema de pagos solo funciona dentro de los canales bancarios, ya sea la web o las app oficiales de las entidades.
De acuerdo con la página web de Bizum, los ciberdelincuentes se aprovechan de la buena voluntad de los usuarios quienes finalmente terminan siendo estafados. Algunas de las estafas más comunes identificadas por Bizum están relacionadas con compras de segunda mano, pagos por adelantado, un supuesto bono de la Seguridad Social o el pago por error a través de WhatsApp.
El pasado mes de junio, el Instituto Nacional de Ciberseguridad de España (INCIBE) alertó de un SMS enviado a una usuaria en el que supuestamente su hijo le decía que había tenido un accidente con el coche y necesitaba 350€ para pagar los costes de la grúa. Según el INCIBE, se trataba de una estafa en la que los delincuentes recurrieron a Bizum.
En Newtral.es también desmentimos una desinformación sobre unas supuestas llamadas de la Seguridad Social para notificar falsos reembolsos a través de Bizum. Al respecto, el Ministerio de Inclusión, Seguridad Social, Migraciones aclaró que las llamadas eran falsas y que no utiliza la aplicación Bizum.
