Alerta bancària: una nova onada de phishing suplanta ING i ABANCA per robar claus i dades

El phishing és una tècnica de ciberdelinqüència basada en la suplantació d’identitat: els atacants es fan passar per un banc, una empresa coneguda o un organisme públic per enviar correus, SMS o avisos falsos que empenyen la víctima a clicar un enllaç o descarregar un arxiu. L’objectiu és clar: obtenir credencials, dades personals, números de targeta, codis de verificació o fins i tot instal·lar programari maliciós al dispositiu.

Com operen les estafes que suplanten ING i ABANCA

En el cas d’ING, el ganxo acostuma a ser un missatge d’urgència sobre una incidència al compte o un problema de seguretat. El client és redirigit a una web falsa que imita la del banc, amb logotips i aparença gairebé idèntics, però amb dominis sospitosos o variacions de l’adreça oficial. ING adverteix que el seu web correcte és ing.es, que el millor és entrar-hi directament escrivint l’adreça o des de l’app, i recorda una regla bàsica: “el teu banc mai no et demanarà les claus completes”. També subratlla que mai no et demanarà el CVV, el número complet de la targeta ni els codis per canals com correu, SMS, WhatsApp o xarxes socials.

A ABANCA, l’esquema és semblant: la víctima rep SMS o avisos que apel·len a la por i la pressa, habitualment amb l’excusa d’un suposat problema de seguretat al compte. L’entitat és taxativa: no envia missatges amb enllaços perquè el client introdueixi les seves claus d’accés. Precisament aquí hi ha la trampa: el missatge busca que l’usuari no verifiqui el remitent i acabi cedint les dades en una pàgina fraudulenta.

Què aconsegueixen els ciberdelinqüents

Quan la víctima cau a la trampa, els atacants poden quedar-se amb el DNI/NIF, les claus d’accés, els codis SMS o les dades de la targeta, i amb això intentar entrar al compte, validar operacions, fer càrrecs econòmics, suplantar la identitat de l’usuari o preparar fraus posteriors. L’INCIBE recorda que aquest tipus d’engany no només busca diners: també pot servir per robar informació privada o infectar el dispositiu.

Com no caure en l’estafa

La primera norma és no clicar mai un enllaç rebut per correu o SMS si parla d’una incidència bancària. Cal entrar sempre a través de l’aplicació oficial o escrivint manualment l’adreça al navegador. També convé revisar bé el domini, desconfiar de textos amb to genèric, faltes o missatges massa alarmistes, i no facilitar mai claus completes, PIN, CVV ni codis de validació. ING fins i tot apunta un truc útil: si una pàgina accepta dades fictícies, és un senyal clar que és falsa. I si ja has compartit informació, el pas immediat és contactar amb el banc per bloquejar targetes i canviar claus, i demanar ajuda a la línia 017 de l’INCIBE.

El rerefons és clar: el phishing continua creixent perquè explota dues debilitats molt humanes, la confiança i la urgència. Per això els bancs insisteixen tant en el mateix missatge: davant qualsevol dubte, no reaccionis amb pressa, no donis cap dada i verifica sempre pels canals oficials.