Cuidado con el phishing a Endesa
Los ciberdelincuentes no descansan. Meses atrás denunciamos un caso de ciberataque con Endesa como protagonista, que hemos sabido que sigue circulando. Así que atento: si recibes un mail con asunto “enlace para confirmar su reembolso” por un doble cobro de tu factura, no pinches el enlace de confirmación. Es una campaña de suplantación de identidad o phishing cuyo objetivo es robar los datos bancarios de los clientes de Endesa.
El Phishing vuelve a la carga
Hace algún tiempo la Oficina de Seguridad del Internauta (OSI) avisó de una campaña fraudulenta de tipo phishing a través de correos electrónicos fraudulentos que suplantan a la compañía eléctrica Endesa, que denunciamos. Ahora hemos sabido que la campaña sigue activa, con lo que insistimos en alertar sobre ello.
Correos suplantando a Endesa
Recordamos en qué consistía el caso denunciado.
Mediante unos correos falsos haciéndose pasar por Endesa, se pretende dirigir a la víctima a una página falsa para que realice el reembolso de la factura mal emitida a través de una tarjeta bancaria (phishing).
El correo fraudulento basa su engaño en indicar a un cliente que uno de los pagos de facturas lo ha realizado doblemente, por lo que Endesa ha procedido a realizar un reembolso en la cuenta del cliente, y que esta operación debe ser “confirmada”, ante lo cual muestra un enlace:
En este caso, al hacer clic en el correo fraudulento, nos llevará a una página falsa que suplanta a la de Endesa, que nos indicará que debemos introducir los datos de pago, introduciendo tanto el apellido como un número de documento (DNI, NIF, NIE):
Posteriormente, la página simula una pasarela de pago seguro, cuyo único objetivo es hacerse con los datos de la tarjeta de crédito. Si se llegan a introducir, al hacer clic en el botón continuar, los ciberdelincuentes obtendrán los datos de la tarjeta:
En la última fase del engaño trata de simular que se ha realizado el pago, indicando que en un tiempo determinado se recibirá un SMS con una clave que también deberá ser introducida:
Este no es el único caso de ciberataque que tiene a Endesa como protagonista. Otras grandes compañías, entidades financieras y organismos de la Administración también son frecuentemente suplantados con fines fraudulentos.
Importante: las empresas no solicitan por correo datos personales para realizar reembolsos
Ninguna empresa envía por correo electrónico solicitudes de datos personales de sus clientes para realizar reembolsos. Si recibes un correo en este sentido, no facilites ningún dato. En el caso de que te surjan dudas, contacta directamente con tu proveedor del servicio para asegúrate de la veracidad de la información.
Si has recibido un correo de estas características, has accedido al enlace y has facilitado tus datos de sesión contacta lo antes posible con Endesa para informarles de lo sucedido.
Para evitar este tipo de problemas es muy importante gestionar de forma segura las contraseñas de acceso. Si quieres saber cómo tener una conexión segura y tener privacidad sobre tus datos y cuentas entra en: