El Smishing proviene de juntar las palabras SMS y fishing (pesca). Este tipo de delito basa sus técnicas de ingeniería social con SMS de texto cuyo blanco son los usuarios de teléfonos móviles. Recientemente se ha detectado una nueva campaña de “Smishing” que suplanta el servicio de la empresa de paquetería SEUR. El objetivo de los delincuentes es redirigir a sus víctimas a una página que simula ser la web legítima de la empresa.
La estafa consiste en enviar un SMS malicioso con el que avisan a los usuarios de que tienen un paquete pendiente de entrega y que deben confirmar el pago de los gastos de envío del mismo, facilitando un enlace que redirige a esta web que imita a la de la empresa legítima.
Una vez en la web, se solicita al usuario el ingreso de sus datos personales y bancarios para el pago de los supuestos gastos de envío (indicando un valor de 1,99€, el cual, de forma sospechosa, cambia automáticamente a 2,99€ conforme se introducen los datos bancarios).
Después de pulsar en el botón “pagar”, usando una estrategia para intentar dotar de una mayor credibilidad al proceso de pago, el usuario es redirigido a una página donde se solicita un código que supuestamente le debería llegar mediante SMS (Este SMS evidentemente nunca se recibirá). Tras este paso los criminales ya habrán cumplido su objetivo, que son tan simples como hacerse con los datos de la tarjeta bancaria del usuario.
Cómo funciona el Smishing
El Smishing es un tipo de estafa en la cual, a través de mensajes SMS, se piden datos, que se acceda a un sitio web específico o que se llame a un número de teléfono concreto.
Los “spammers” o emisores de estos SMS de texto, intentan suplantar la identidad de alguna persona conocida de entre nuestra lista de contactos o en algunos casos, una empresa de confianza. Cuando los delincuentes hacen “phishing”, envían correos electrónicos fraudulentos para intentar engañar a sus destinatarios para que abran archivos adjuntos que incluyen algún tipo de malware o hagan “clic” en enlaces maliciosos. El smishing, al ser una variante del phishing, simplemente utiliza mensajes SMS en lugar de correos electrónicos.
Normalmente, cuando las personas utilizan su teléfono, son mucho menos recelosos, es decir, muchas personas asumen que sus smartphones suelen ser más seguros que sus ordenadores, pero la seguridad de estos no puede proteger contra el smishing. En los últimos años, los ciber crímenes dirigidos contra teléfonos móviles está claramente en aumento. El Smishing, al igual que los propios SMS, funcionan en diferentes plataformas, poniendo en riesgo también a los usuarios de iphone que normalmente tienen la sensación de recibir menos ataques.
Es importante recordar, que ningún sistema operativo móvil tiene la capacidad de protegernos de ataques estilo phishing.
Otra ventaja que utilizan los delincuentes es que, habitualmente utilizamos nuestro Smartphone en cualquier lugar y situación, y en muchas ocasiones cuando tenemos prisa o estamos distraídos. Esto produce que tienen más probabilidades de cogernos desprevenidos y respondamos sin pensar al recibir un SMS solicitándonos cualquier tipo de información.
Que persiguen con esta técnica los criminales
Como la mayor parte de los ciberdelincuentes, se dedican a robar nuestros datos personales que suelen ser utilizados para robar nuestro dinero o de nuestra empresa. Normalmente en este tipo de campaña de smishing, utilizan dos métodos para sustraer estos datos. Pueden engañarnos para que descarguemos el malware que se instala en nuestro Smartphone, enmascarándose como una aplicación e origen legítimo y nos engaña para que introduzcamos nuestra información personal y posteriormente enviar los datos a los criminales. Por otra parte, el enlace incluido en el SMS podría llevarnos a un sitio falso sonde se nos solicita que introduzcamos nuestra información personal que los delincuentes pueden usar para robar nuestra identidad online.
Como me protejo del smishing
En realidad es bastante sencillo protegerse de este tipo de ataques y sus distintas variantes. Estos ataques solo provocan algún tipo de daño si mordemos el anzuelo. Ahora os voy a enumerar algunas cosas que debemos tener en cuenta para protegernos en caso de ser el blanco de alguna campaña de smishing.
- Debemos tener en cuenta las alertas urgentes de seguridad así como ofertas u oportunidades que requieran que actuemos rápido.
- No existe ninguna institución financiera o empresa que nos envíe un SMS solicitando que actualicemos la información de nuestra cuenta o que confirmemos el código de nuestra tarjeta bancaria. En caso de duda debemos llamar a la empresa en cuestión o a nuestro banco.
- Jamás debemos hacer clic en un número de teléfono o enlace de un mensaje que no conocemos.
- No guardar nuestra tarjeta de crédito o información de nuestro banco en nuestro teléfono móvil. No se puede robar información que no existe aún que introduzcan malware en nuestro Smartphone.
- Debemos informar a las FFCCSS de cualquier intento de ataque de smishing para tratar de proteger a los demás y evitar que a otros les ocurra lo mismo.
- Debemos escribir directamente la dirección URL en el navegador, en lugar de llegar a ella a través de enlaces disponibles desde páginas de terceros, en emails o SMS.
- Estar atentos a los errores de ortografía que contienen muchos de estos mensajes.
Conclusiones
Al igual que el phishing, el smishing consiste en un delito de engaño, es decir, son tipos de malware que dependen de engañar a los usuarios para que proporcionen información y cooperen haciendo clic en algún tipo de enlace. La protección más sencilla ante este tipo de fraudes, al igual que en cualquier tipo de campaña de smishing, es no hacer nada en absoluto. Mientras no contestemos, un mensaje o email malintencionado no puede hacer nada en absoluto. Simplemente debemos ignorarlo.
