En Segu-Info han reportado un correo real enviado por el banco Santander Río que tiene todas las características típicas de un phishing.
Como se puede apreciar en las siguientes capturas se incluye un enlace extraño que a primera vista no tiene ninguna relación con el banco, como si esto fuera poco la página a la que se accede solicita datos personales como nombre, apellido, documento, sexo, e-mail y tipo de cuenta:
Cualquier usuario con sentido común ignoraría este mensaje y lo trataría como un intento de phishing. El dominio es súper sospechoso –¿invitacion-especial?– y además solicita datos que el banco ya debería de tener.
Ante una consulta realizada por un cliente, Santander respondió que el correo era legítimo y se trataba de una campaña de publicidad.
Este tipo de prácticas echan a la basura todo trabajo de concientización e incluso se contradice con sus propias recomendaciones de seguridad, en la propia web del banco se puede leer lo siguiente:
Pero Santander no es el único, muchas entidades comenten estos errores (ver The Epsilon Phishing Model) y utilizan URLs confusas, extrañas y difícil de recordar.