Ingeniería social: ¿Qué es el Smishing?

El SMiShing (la contracción de SMS phishing) es una amenaza emergente para la seguridad. Es una técnica que usa mensajes de teléfono móvil (SMS) para lograr que las víctimas tomen acciones inmediatas.

Ingeniería social: smishing

¿Por qué el Smishing?

A veces, la gente es más proclive a confiar en un mensaje de texto que en un E-mail. Las personas están más conscientes de los riesgos para la seguridad que entraña el hacer clic sobre los enlaces presentes en un E-mail, pero este no siempre es el caso con los mensajes de texto.

El Smishing es particularmente atractivo para los atacantes, debido a su muy bajo coste.  Un servidor de VOIP, un teléfono móvil desechable y un método para hacer “spoofing” es todo lo que hace falta para enviar mensajes de texto específicamente dirigidos. Con aplicaciones como BurnerApp y SpoofCard, resulta fácil y barato comprar un número de teléfono falsificado, desde el cual enviar mensajes de texto.

¿Cuáles son los riesgos del smishing?

El Smishing puede llevar a visitar páginas web malintencionadas, o a llamar a números de teléfono fraudulentos. El riesgo más común es el descargar un Caballo de Troya (malware). Esta clase de software es capaz de convertir el dispositivo en un zombi, cosa que permitiría a los piratas informáticos el controlarlo. Los dispositivos zombis son parte de «botnets«, que se usan para lanzar ataques de denegación de servicio, enviar spam, etc.

Situación real #1

Actualización de información para evitar la suspensión de la cuenta.

Ejemplo de Smishing: suspensión (falsa) de cuenta

Fuente: http://numbercop.tumblr.com

Situación real #2

Darse de baja, o asumir cobros de tarifas regulatorias.

“Estimado usuario,

en consonancia con el nuevo reglamento de Consumo Eléctrico, se le cobrarán 25 euros a la semana. Si desea darse de baja, por favor visite www.smished.com (enlace de ejemplo)

Atentamente,

Su compañía eléctrica»

Situación real #3

Vales gratuitos

“Estimado usuario,

Aldi está ofreciendo un vale de 65€ en su próxima visita a Aldi.

Por favor, regístrese en www.smished.com (enlace de ejemplo) para reservar su vale»

Haga clic aquí para ver una muestra de un mensaje automático que ha sido asociado con ataques de SMiShing.

¿Cómo reconocer el Smishing?

Un SMS que venga de un número telefónico que no parezca un número telefónico, tal como «0420», podría indicar que el mensaje de texto es realmente un E-mail enviado a un teléfono.

Otro método que se utiliza es el «spoofing» (suplantación) de números telefónicos. Esto hace aparecer al mensaje de texto dentro una cadena de mensajes verdadera, ya sea del banco, de una tienda, etc. Los atacantes también usan mensajes «Flash», que son los que se utilizan normalmente para captar inmediatamente la atención del destinatario para alertas de emergencia, de tráfico, o para recibir códigos de uso único, etc.

La característica más común del smishing es el generar un «falso sentido de urgencia«, una táctica diseñada para que las víctimas actúen por miedo.

¿Cómo protegerse del Smishing?

  • No haga clic en enlaces que reciba en su teléfono, a menos que conozca a la persona que los envía. Incluso si recibe un mensaje de un amigo con un link, trate de corroborar que es seguro con el remitente antes de hacer clic en el enlace.
  • Nunca instale aplicaciones provenientes de mensajes de texto. Use siempre la página oficial (App Store, Google Play u otras) de descarga de aplicaciones antes de instalar la suya.  Estas cuentan con rigurosos procesos de aprobación para filtrar cualquier malware y otras amenazas conocidas.
  • Nunca revele información personal ni financiera. Si es posible, bloquee el número sospechoso.
  • No permita que le presionen para que responda a un mensaje o llamada. Las organizaciones legítimas siempre le darán tiempo para reaccionar. Llame solamente a números válidos (p. ej., el número de su banco aparece en la parte trasera de su tarjeta).

También puede reportar un robo de identidad en https://www.identitytheft.gov/

Prácticamente todos los mensajes de texto que recibirá serán seguros. ¡Pero basta con uno solo para poner en riesgo su seguridad!

Mailfence es un servicio de E-mail seguro y privado. ¡Haga nuestro curso de Seguridad para E-mail y conciencia acerca de la privacidad, para defenderse mejor contra las ciber amenazas más importantes de hoy en día!

¡Obtenga su email seguro!

Síganos en twitter/reddit y manténgase actualizado en todo momento.

– El Equipo Mailfence


¡Corra la voz!

También te podría gustar...