La concepción popular del phishing se centra en el correo electrónico dado que el correo electrónico era uno de los primeros y más comunes medios para enviar contenido de phishing. Sin embargo, no es la única forma en que los phishers pueden lograr sus objetivos.
Si bien los dispositivos móviles tienen acceso a múltiples canales de comunicación (correo electrónico, redes sociales, etc.), los mensajes de texto tienen diversos beneficios para los phishers.
¿Es el smishing más peligroso?
Un mensaje de texto puede llevar enlaces o adjuntar archivos maliciosos (en el caso de MMS) al igual que un correo electrónico, lo que les permite utilizar las mismas técnicas que los correos electrónicos de phishing. Sin embargo, los mensajes de texto tienen algunas ventajas sobre el correo electrónico, como su duración limitada y un mayor uso por parte de las marcas.
Por ejemplo, en un mensaje SMS, el uso de servicios de acortamiento de enlaces es rutinario, y estos servicios dificultan ver el destino de un enlace a simple vista. Además, los móviles no permiten a los usuarios pasar el cursor sobre un enlace para ver su destino.
Ambos factores hacen que el phishing a través de SMS sea más fácil y efectivo para los atacantes.
Ejemplos de ataques Smishing
Al igual que los ataques tradicionales de phishing basados en correo electrónico, en los ataques de smishing se utilizan diferentes tácticas para engañar a los destinatarios con el objetivo de que hagan clic en el enlace que viene insertado en el mensaje. Algunos de los temas más utilizados son:
- Problemas en la cuenta: las marcas utilizan cada vez más los mensajes SMS para el servicio al cliente, y los usuarios están cada vez más acostumbrados a recibir mensajes sms sobre problemas o notificaciones sobre sus servicios. En este caso, los smishers pueden enviar mensajes de texto reportando que existe un problema y apuntando al destinatario hacia un enlace falso con el fin de robar las credenciales de la cuenta.
- COVID-19: la actual situación de pandemia (afortunadamente en notable desescalada) son temas comunes y recurrentes para los ataques de phishing, de modo que, la pandemia de COVID-19 facultó a los ciberdelincuentes de grandes oportunidades para el delito. Las estafas de smishing basadas en COVID pueden basarse en la solicitud de información personal para el «rastreo de contactos» o proporcionar información inexacta sobre controles y/o actualizaciones de seguridad pública para redirigirte directamente a sitios de phishing.
- Servicios financieros: un smisher puede hacerse pasar por una empresa de servicios financieros y pedirle al destinatario que verifique alguna actividad en su cuenta. Si el objetivo responde, el smisher puede intentar robar las credenciales de inicio de sesión u otra información personal como parte del proceso de verificación.
- Códigos MFA: dado que los SMS son uno de los métodos más comunes utilizados para la autenticación multifactor (MFA), algunos ataques de smishing están diseñados para robar estos códigos. El phisher puede decirle al destinatario que necesita verificar su identidad diciéndole al atacante el código MFA que se le envió por mensaje de texto. El atacante activa este código al intentar iniciar sesión como usuario y luego obtiene acceso una vez que el destinatario le proporciona el código correcto.
- Confirmación de pedido: los mensajes de Smishing pueden contener una confirmación de un pedido falso, así como un enlace para modificar o cancelar tal pedido. Cuando el destinatario hace clic en el enlace, lo dirige a un sitio falso que roba fácilmente las credenciales de inicio de sesión.
Estos son algunos de los temas más comunes que utilizan los smishers en sus ataques.
Sin embargo, a medida que crece el uso de dispositivos móviles debido al aumento del trabajo remoto y las políticas BYOD (bring your own service), estos ataques se tornan más comunes y sofisticados.
Cómo protegerse de los ataques de smishing
Dado que los ataques de smishing son solo ataques de phishing realizados en un medio diferente, se pueden aplicar muchas de las prácticas de prevención ya conocidas, a saber:
- Evita hacer clic en los enlaces: los enlaces en los mensajes de texto son difíciles de verificar debido al acortamiento de los enlaces y la incapacidad de pasar el ratón sobre los enlaces para ver los objetivos. En lugar de hacer clic en los enlaces de los mensajes de texto, accede directamente al sitio de destino sin clicar ningún enlace.
- No proporciones datos: los ataques de smishing suelen estar diseñados para robar datos confidenciales de sus objetivos con el pretexto de verificar identidades u otras cuestiones. Nunca proporciones datos personales a alguien a quien no hayas llamado o enviado un mensaje de texto a través del número que figura en su sitio web.
- Instala aplicaciones oficiales desde tiendas de aplicaciones: los ataques Smishing pueden estar diseñados para engañar a los destinatarios para que instalen malware en sus dispositivos móviles. Instala siempre aplicaciones de tiendas de aplicaciones acreditadas, a poder ser después de verificar su autenticidad en el sitio web del creador.
- Nunca compartas códigos MFA: los mensajes de texto son recursos se usan comúnmente para transmitir códigos MFA en las cuentas online. Los estafadores pueden fingir el envío de un código MFA para verificar la identidad de un usuario. Nunca proporciones un código MFA a nadie.
No hay comentarios on ¿Cómo funciona un ataque ‘Smishing’?