Artículo Mensual Sobre Ciberseguridad (Abril 2023). Smishing: mensajes cortos, problemas grandes.

Abr 1, 2023 | Sin categorizar | 0 Comentarios

1      Introducción

Durante este mes , se han producido noticias, avances, problemas y soluciones en el entorno de la ciberseguridad. A continuación, analizaremos uno de los más relevantes que hemos observado.

2      Smishing: mensajes cortos, problemas grandes.

Hace unos días, la Policía Nacional ha desmantelado en Girona un grupo que sustraía datos de tarjetas bancarias de las víctimas a través del método conocido como ‘smishing’, en el que realizaban un envio masivo de mensajes SMS en los que se pedia información confidencial para actualizar las cuentas bancarias. En el mes de abril, se detuvo a otro grupo que operaba a nivel nacional, creando campañas masivas de smishing indicando problemas en las cuentas bancarias y solicitando que accediesen a un enlace a una web falsa, desde la cual los cibercriminales obtenían el usuario y la contraseña de acceso a la banca digital.

La estimación de lo defraudado es, según la policía, es, en el primer caso, de aproximadamente 500.00 euros. En cambio, el segundo caso supera el millón de euros defraudado.

Para quienes no estén familiarizados con el termino smishing, esta sería su definición:

El término “smishing” es una combinación de las palabras “SMS” (Short Message Service) y “phishing” (suplantación de identidad). En este tipo de ataque, los delincuentes envían mensajes de texto o SMS que parecen legítimos y provienen de una fuente confiable, como un banco, una empresa de servicios públicos o una tienda online. El mensaje suele contener un enlace que dirige al usuario a una página web falsa o maliciosa diseñada para robar su información.

Debido al creciente uso de dispositivos móviles, los ataques de smishing se están convirtiendo en una amenaza cada vez más frecuente, y se aprovechan de la confianza que las personas tienen en sus teléfonos móviles y suelen llegar a través de un número desconocido o falso, que pueden contener enlaces maliciosos o solicitar información personal como contraseñas, números de cuenta bancaria, información de tarjetas de crédito, entre otros datos.

 

En algunas ocasiones, las campañas de smishing se combinan con otro tipo de fraude conocido como vishing. El vishing es un tipo de estafa en el que se emplean llamadas telefónicas para realizarla estafa.

En este caso, se utiliza una estrategia en la que se informa al usuario, mediante SMS, sobre un problema relacionado con un servicio específico, como streaming, telefonía o entidades gubernamentales como la Agencia Tributaria, entre otros. Pocos minutos después de recibir el mensaje, el usuario recibe una llamada en nombre de la entidad suplantada, lo cual genera confianza y facilita la ejecución de la estafa.

 

En resumen, este tipo de estafa combina las técnicas maliciosas del smishing y el vishing para dar mayor credibilidad al mensaje de texto fraudulento.

 

 

Para un mayor conocimiento sobre el smishing, vamos a explicar las técnicas mas frecuentes que utilizan los ciberdelincuentes con el método smishing:

 

  • Descarga de malware: Los ciberdelincuentes utilizan el SMS para incitar al usuario a que descargue una aplicación. Esta aplicación parece legitima, pero envía la información a los ciberdelincuentes.
  • Web fraudulenta: Los ciberdelincuentes envían un SMS con un enlace web, aparentemente legítimo, en el que se solicita introducir información personal, como credenciales o números de tarjeta. Una vez introducidos los datos, los ciberdelincuentes tiene acceso a ellos.
  • Contactando con un número de teléfono. Los ciberdelincuentes utilizan múltiples engaños para forzar al usuario a llamar a un numero de tarificación especial.

 

Respecto al contenido del SMS, podríamos clasificarlos en :

 

  • Alertas financieras: Los ciberdelincuentes suplantan la identidad de bancos o entidades financieras, donde comunican que se han observado transacciones o actividades sospechosas en la cuenta del usuario.
  • Notificación de entrega de paquete: Los ciberdelincuentes envían notificaciones de entrega fraudulentas, asegurando que el pedido no ha podido ser entregado, adjuntando un enlace para obtener información confidencial del usuario.
  • Alerta de impuestos: Los ciberdelincuentes simulan ser una institución pública, como Agencia tributaria, para resolver algún tipo de incidencia en el pago o devolución de impuestos.
  • Donaciones fraudulentas: los ciberdelincuentes aparentan ser una organización sin fines de lucro para incitar a realizar donaciones que acaban en manos de los ciberdelincuentes
  • Lotería o concurso falso: ¡Estos son mis favoritos! Son mensaje que indican que hemos ganado un sorteo, concurso o rifa, en el que, ni tan siquiera, hemos participado. Intentan que nos pongamos en contacto con ellos para que recibamos nuestro premio, solicitándonos datos personales o bancarios.

 

Como se pude observar, los ciberdelincuentes emplean una gran cantidad de ingenio para idear continuamente nuevas formas de estafa, por lo cual es fundamental que estemos alerta y desconfiemos de cualquier mensaje raro que nos llegue al móvil y, sobre todo, no interactuar con los enlaces si el SMS los tuviera.

Para minimizar el impacto que este tipo de ataques, aquí hay algunos consejos que pueden ayudar a prevenir ataques:

  1. Las administraciones públicas y las entidades bancarias no remiten enlaces para acceder a sus páginas y nunca pedirán datos personales o claves. Dichas entidades y organismos ya tienen esta información.
  2. En algunos casos, después de recibir el SMS fraudulento, es posible recibir una llamada telefónica de una persona que se hace pasar por el servicio antifraude de un banco u organismo público. Esta persona puede informar que se ha detectado un cargo fraudulento o que se ha procesado una devolución de impuestos, y solicitar nuevamente información sobre la tarjeta bancaria o algún código que haya llegado al teléfono. Desconfiar de esta práctica ya que, insistimos, nunca pedirán datos personales o claves.
  3. No hacer clic en enlaces desconocido en mensajes de texto sospechosos. Siempre es mejor verificar la fuente antes de proporcionar información personal o hacer clic en un enlace.
  4. Actualizar los dispositivos móviles: Es importante que los empleados mantengan sus dispositivos móviles actualizados con las últimas versiones de software y parches de seguridad. Esto ayudará a reducir la posibilidad de ataques.
  5. No llame a números desconocidos: Si recibe un mensaje de texto sospechoso que solicita que llame a un número desconocido, no lo haga. En su lugar, verifique la fuente y la autenticidad de la solicitud, por ejemplo, buscando el número de teléfono en internet para comprobar si el numero ha sido denunciado.
  6. No haga transacciones financieras en línea en lugares públicos: Evite hacer transacciones financieras en línea mientras está en lugares públicos y evite conectarse a redes Wi-Fi públicas.
  7. Inhabilita la opción “Instalación de aplicaciones de orígenes desconocidos” en la configuración del teléfono. Esta configuración no permitirá instalar aplicaciones no oficiales o maliciosas.
  8. Verifique regularmente su cuenta bancaria para detectar cualquier actividad sospechosa y notifique de inmediato a su banco si encuentra algún cargo no autorizado.

En resumen, la prevención es clave para protegerse de las amenazas como el smishing. Además, es fundamental que los usuarios sean conscientes de buenas prácticas y de seguridad móvil y tomen precauciones para evitar ataques de smishing.

Fuentes:

76 detenidos por estafar con SMS | Guardia Civil

SMS: Actualiza tus datos de la Seguridad Social | Incibe

SMS: Se ha realizado un cargo en su cuenta | Cadena SER

La Renta: Objetivo para estafar al usuario | ABC

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.