Article Mensual Sobre Ciberseguretat (Abril 2023)

Apr 1, 2023 | Sin categorizar | 0 comments

1 Introducció

Durant aquest mes , s’han produït notícies, avanços, problemes i solucions a l’entorn de la ciberseguretat. A continuació, analitzarem un dels més rellevants que hem observat.

2 Smishing: missatges curts, problemes grans.

Fa uns dies, la Policia Nacional ha desmantellat a Girona un grup que sostreia dades de targetes bancàries de les víctimes a través del mètode conegut com ‘smishing’, en el qual realitzaven un va enviar massiu de missatges SMS en els quals es demanava informació confidencial per a actualitzar els comptes bancaris. El mes d’abril, es va detindre a un altre grup que operava a nivell nacional, creant campanyes massives de smishing indicant problemes en els comptes bancaris i sol·licitant que accediren a un enllaç a una web falsa, des de la qual els *cibercriminales obtenien l’usuari i la contrasenya d’accés a la banca digital.

L’estimació del defraudat és, segons la policia, és, en el primer cas, d’aproximadament 500.00 euros. En canvi, el segon cas supera el milió d’euros defraudat.

Per als qui no estiguen familiaritzats amb l’acabe smishing, aquesta seria la seua definició:

El terme “smishing” és una combinació de les paraules “SMS” (Short Message Service) i “phishing” (suplantació d’identitat). En aquesta mena d’atac, els delinqüents envien missatges de text o SMS que semblen legítims i provenen d’una font de confiança, com un banc, una empresa de serveis públics o una botiga en línia. El missatge sol contindre un enllaç que dirigeix a l’usuari a una pàgina web falsa o maliciosa dissenyada per a robar la seua informació.

A causa del creixent ús de dispositius mòbils, els atacs de smishing s’estan convertint en una amenaça cada vegada més freqüent, i s’aprofiten de la confiança que les persones tenen en els seus telèfons mòbils i solen arribar a través d’un número desconegut o fals, que poden contindre enllaços maliciosos o sol·licitar informació personal com a contrasenyes, números de compte bancària, informació de targetes de crèdit, entre altres dades.

 

En algunes ocasions, les campanyes de smishing es combinen amb una altra mena de frau conegut com vishing. El vishing és un tipus d’estafa en el qual s’empren trucades telefòniques per a realitzar-la estafa.

En aquest cas, s’utilitza una estratègia en la qual s’informa l’usuari, mitjançant SMS, sobre un problema relacionat amb un servei específic, com streaming, telefonia o entitats governamentals com l’Agència Tributària, entre altres. Pocs minuts després de rebre el missatge, l’usuari rep una trucada en nom de l’entitat suplantada, la qual cosa genera confiança i facilita l’execució de l’estafa.

 

En resum, aquest tipus d’estafa combina les tècniques malicioses del smishing i el vishing per a donar major credibilitat al missatge de text fraudulent.

 

 

Per a un major coneixement sobre el smishing, explicarem les tècniques mes freqüents que utilitzen els ciberdelinqüents amb el mètode *smishing:

 

  • Descàrrega de malware: Els ciberdelinqüents utilitzen el SMS per a incitar a l’usuari que descarregue una aplicació. Aquesta aplicació sembla legitima, però envia la informació als ciberdelinqüents.
  • Web fraudulenta: Els ciberdelinqüents envien un SMS amb un enllaç web, aparentment legítim, en el qual se sol·licita introduir informació personal, com a credencials o números de targeta. Una vegada introduïts les dades, els ciberdelinqüents té accés a ells.
  • Contactant amb un número de telèfon. Els ciberdelinqüents utilitzen múltiples enganys per a forçar a l’usuari a cridar a un numere de tarifació especial.

 

Respecte al contingut del SMS, podríem classificar-los en :

 

  • Alertes financeres: Els ciberdelinqüents suplanten la identitat de bancs o entitats financeres, on comuniquen que s’han observat transaccions o activitats sospitoses en el compte de l’usuari.
  • Notificació de lliurament de paquet: Els ciberdelinqüents envien notificacions de lliurament fraudulentes, assegurant que la comanda no ha pogut ser entregat, adjuntant un enllaç per a obtindre informació confidencial de l’usuari.
  • Alerta d’impostos: Els ciberdelinqüents simulen ser una institució pública, com a Agència tributària, per a resoldre algun tipus d’incidència en el pagament o devolució d’impostos.
  • Donacions fraudulentes: els ciberdelinqüents aparenten ser una organització sense fins de lucre per a incitar a realitzar donacions que acaben en mans dels ciberdelinqüents
  • Loteria o concurs fals: Aquests són els meus favorits! Són missatge que indiquen que hem guanyat un sorteig, concurs o rifa, en el qual, ni tan sols, hem participat. Intenten que ens posem en contacte amb ells perquè rebem el nostre premi, sol·licitant-nos dades personals o bancàries.

 

Com es vaig poder observar, els ciberdelinqüents empren una gran quantitat d’enginy per a idear contínuament noves formes d’estafa, per la qual cosa és fonamental que estiguem alerta i desconfiem de qualsevol missatge rar que ens arribe al mòbil i, sobretot, no interactuar amb els enllaços si el SMS els tinguera.

Per a minimitzar l’impacte que aquest tipus d’atacs, ací hi ha alguns consells que poden ajudar a previndre atacs:

  1. Les administracions públiques i les entitats bancàries no remeten enllaços per a accedir a les seues pàgines i mai demanaran dades personals o claus. Aquestes entitats i organismes ja tenen aquesta informació.
  2. En alguns casos, després de rebre el SMS fraudulent, és possible rebre una trucada telefònica d’una persona que es fa passar pel servei antifrau d’un banc o organisme públic. Aquesta persona pot informar que s’ha detectat un càrrec fraudulent o que s’ha processat una devolució d’impostos, i sol·licitar novament informació sobre la targeta bancària o algun codi que haja arribat al telèfon. Desconfiar d’aquesta pràctica ja que, insistim, mai demanaran dades personals o claus.
  3. No fer clic en enllaços desconegut en missatges de text sospitosos. Sempre és millor verificar la font abans de proporcionar informació personal o fer clic en un enllaç.
  4. Actualitzar els dispositius mòbils: És important que els empleats mantinguen els seus dispositius mòbils actualitzats amb les últimes versions de programari i pegats de seguretat. Això ajudarà a reduir la possibilitat d’atacs.
  5. No telefone a números desconeguts: Si rep un missatge de text sospitós que sol·licita que telefone a un número desconegut, no el faça. En el seu lloc, verifique la font i l’autenticitat de la sol·licitud, per exemple, buscant el número de telèfon en internet per a comprovar si el numere ha sigut denunciat.
  6. No faça transaccions financeres en línia en llocs públics: Evite fer transaccions financeres en línia mentre està en llocs públics i evite connectar-se a xarxes Wi-Fi públiques.
  7. Inhabilita l’opció “Instal·lació d’aplicacions d’orígens desconeguts” en la configuració del telèfon. Aquesta configuració no permetrà instal·lar aplicacions no oficials o malicioses.
  8. Verifique regularment el seu compte bancari per a detectar qualsevol activitat sospitosa i notifique immediatament al seu banc si troba algun càrrec no autoritzat.

En resum, la prevenció és clau per a protegir-se de les amenaces com el smishing. A més, és fonamental que els usuaris siguen conscients de bones pràctiques i de seguretat mòbil i prenguen precaucions per a evitar atacs de smishing.

Fonts:

76 detinguts per estafar amb SMS | Guàrdia Civil

SMS: Actualitza les teues dades de la Seguretat Social | Incibe

SMS: S’ha realitzat un càrrec en el seu compte | Cadena SER

La Renda: Objectiu per a estafar a l’usuari | ABC

Submit a Comment

Your email address will not be published. Required fields are marked *

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.