El Smishing es un ataque de ciberseguridad de phishing llevado a cabo sobre la mensajería de texto móvil, también conocido como phishing SMS.
Como una variante del phishing, las víctimas son engañadas para dar información confidencial a un atacante disfrazado que son asistidos por sitios web de malware o fraude. Ocurre en muchas plataformas de mensajería de texto móviles, incluidos canales que no son SMS como aplicaciones de mensajería móvil basadas en datos.
¿Qué es el smishing?
Como sugiere la definición de smishing, el término combina “SMS” (short message service, mejor conocido como “mensajes de texto”) y “phishing”. Para definir aún más el smishing, se clasifica como un tipo de ataque de ingeniería social que se basa en explotar la confianza humana en vez de usarla para el bien común.
Los ciberdelincuentes “Phish” envían correos electrónicos fraudulentos que buscan engañar al destinatario para que haga clic en un enlace malicioso. En caso del smishing, el criminal simplemente usa mensajes de texto en lugar de correo electrónico.
En esencia, estos cibercriminales están dispuestos a robar tus datos personales para luego usarlos y cometer fraude u otros delitos cibernéticos. Por lo general, esto incluye robar dinero ( generalmente tuyo) pero a veces también el dinero de tu empresa.
A medida que más y más personas usan sus teléfonos inteligentes personales para el trabajo, la amenaza se está convirtiendo en una amenaza comercial, así como una amenaza del consumidor. Por lo tanto, no debería sorprendernos que el smishing se haya convertido en la forma principal de mensajes de texto maliciosos.
Y no es para menos, pues mientras el uso del celular aumenta, los delitos cibernéticos dirigidos a dispositivos, también. Además de que los mensajes de texto y apps de mensajería son el uso más común de los teléfonos inteligentes, algunos otros factores hacen de esta una amenaza de seguridad particularmente insidiosa.
¿Cómo funciona el smishing?
El engaño y el fraude son los componentes centrales de cualquier ataque de phishing SMS. Como el atacante asume una identidad en la que podría confiar, es más probable que sucumbas a sus solicitudes.
Los principios de ingeniería social permiten a los atacantes de smishing manipular la toma de decisiones de una víctima. Los factores impulsores de este engaño son tres:
- Confianza: al hacerse pasar como individuos y organizaciones legítimas, los cibercriminales reducen el escepticismo de la víctima. Los textos de SMS, como un canal de comunicación más personal, también reducen naturalmente las defensas de una persona contra las amenazas.
- Contexto: el uso de una situación que podría ser relevante para la víctima, permite a un atacante generar un disfraz efectivo. El mensaje se siente personalizado, lo que ayuda a anular cualquier sospecha de que podría ser spam.
- Emoción: al aumentar las emociones de un objetivo, los atacantes pueden anular el pensamiento crítico de su objetivo y estimularlos a una acción rápida. Usando estos métodos, los atacantes escriben mensajes que harán que un destinatario tome medidas.
Por lo general, los atacantes quieren que el destinatario abra un enlace de URL dentro del mensaje de texto que los redirecciona herramienta de phishing que les solicita divulgar su información privada. Esta herramienta de phishing a menudo viene en forma de un sitio web o aplicación que también plantea una identidad falsa.
¿Quiénes son los objetivos principales?
Los objetivos se seleccionan de muchas maneras, pero generalmente se basan en su afiliación a una organización o en una ubicación regional. Los empleados o clientes de una institución específica, suscriptores de redes móviles, estudiantes universitarios e incluso residentes de un área determinada pueden ser objetivos.
El disfraz de un atacante generalmente está relacionado con la institución a la que desean acceder. Sin embargo, puede ser con la misma facilidad cualquier máscara que les ayude a adquirir su identidad o información financiera.
Usando un método conocido como suplantación, un atacante puede ocultar su verdadero número de teléfono detrás de un señuelo. Los atacantes con amortiguación también pueden usar “teléfonos con quemador”, teléfonos prepagos baratos y desechables, para enmascarar aún más el origen del ataque. Se sabe que los atacantes usan servicios de correo electrónico a texto como otro medio para ocultar sus números.
Paso a paso, un atacante, llevará a cabo su ataque en algunas fases clave:
- Distribución del mensaje de texto “cebo” a los objetivos.
- Comprometiendo la información de la víctima a través del engaño.
- Ejecución del robo deseado utilizando la información comprometida de las víctimas.
El esquema de smishing de un atacante es exitoso una vez que hayan usado su información privada para cometer el robo al que apuntaron. Este objetivo podría incluir, entre otros, robar directamente de una cuenta bancaria, comprometer fraude de identidad para abrir tarjetas de crédito ilegalmente o filtrar datos corporativos privados.
Tipos de ataques
Los atacantes pueden usar una amplia variedad de identidades y locales para mantener estos ataques SMS frescos.
Desafortunadamente, una lista integral de tipos de smishing es casi imposible de hacer debido a la reinvención interminable de estos ataques. Utilizando algunas instalaciones de estafas establecidas, podemos presentar características que te ayudarán a detectar un ataque antes de convertirte en una víctima.
Un atacante se hace pasar por un banco u otra institución financiera como disfraz ideal para cometer fraude financiero. Las características de una estafa de amortiguación de servicios financieros pueden incluir una solicitud urgente para desbloquear su cuenta, en la que te piden verificar la actividad sospechosa de la cuenta y más.
Smishing Obsequio
“Gift Smishing” sugiere la promesa de servicios o productos gratuitos, a menudo de un minorista u otra compañía de buena reputación. Estos pueden ser concursos, recompensas de compras o cualquier otra oferta gratuita. Cuando un atacante eleva su emoción proponiendo la idea de “gratis”, esto sirve como una anulación de lógica para que actúes rápidamente. Los signos de este ataque pueden incluir ofertas de tiempo limitado o selección exclusiva para una tarjeta de regalo gratuita.
Factura u orden confirmación
La confirmación del smishing implica una confirmación falsa de una compra o facturación para un servicio. Se puede proporcionar un enlace para un seguimiento para manipular tu curiosidad o provocar una acción inmediata que causa miedo por supuestos cargos no deseados. La evidencia de esta estafa puede involucrar textos de confirmación de cadenas de orden o la ausencia de un nombre comercial.
Cómo prevenir el Smishing
La buena noticia es que es fácil protegerse contra las ramificaciones potenciales de estos ataques. Puedes mantenerte a salvo si no haces nada en absoluto. En esencia, los ataques sólo pueden causar daño si muerdes el anzuelo.
Dicho esto, ten en cuenta que los mensajes de texto son un medio legítimo para que muchos minoristas e instituciones se comuniquen contigo. No todos los mensajes deben ignorarse, pero debes actuar siempre con seguridad. Prácticamente, al ser un tipo de phishing, debes cuidarte igual, pero desde otro canal.
Qué hacer si eres víctima
Los ataques de smishing tienen astucia y es posible que ya te haya tocado, por lo que deberás contar con un plan de recuperación.
Toma estas medidas importantes para limitar el daño:
- Reporta el presunto ataque a cualquier institución que pueda ayudar.
- Congela tu crédito para evitar cualquier fraude de identidad futuro o en curso.
- Cambia todas las contraseñas y los PIN de las cuentas siempre que sea posible.
- Supervisa las finanzas, el crédito y varias cuentas en línea en busca de ubicaciones de inicio de sesión extrañas y otras actividades.
Cada uno de estos pasos tiene un peso sustancial para tu protección después de un ataque de smishing. Sin embargo, informar un ataque no solo ayuda a recuperarte, sino que también evita que otros sean víctimas.