El smishing es un método de phishing que ha ganado popularidad últimamente, especialmente en el contexto de la pandemia de COVID-19, pero ha estado presente desde mucho tiempo, al contrario de lo que la mayoría de la gente puede pensar.
El smishing se dirige a las víctimas utilizando una vía más directa que el correo electrónico o las redes sociales, eligiendo en cambio un mensaje de texto (un SMS) para atraer a una persona desprevenida.
¿Qué es el Smishing?
Su nombre combina dos términos: SMS (el medio de comunicación que utilizan los atacantes) y phishing.
Es una forma más disimulada de phishing, que implica un ataque de ciberseguridad realizado a través de un mensaje de texto. El smishing es un tipo de ciberataque basado en la ingeniería social que se aprovecha de la confianza humana para convencer al receptor de que entregue datos sensibles, como información financiera o personal.
Los métodos más utilizados por los delincuentes son:
- Sitios web maliciosos. El enlace recibido a través de un mensaje de texto dirigirá a la víctima a un sitio web que le pedirá los datos personales deseados. A menudo, este sitio web ilícito se presenta como uno legítimo y de confianza para facilitar el robo de datos.
- Software malicioso. Al pulsar el enlace contenido en el texto, el malware se descargará y se instalará en el dispositivo de la víctima, a menudo simulando ser un programa de software de buena reputación y solicitando información sensible.
En sus ataques, los smishers se aprovechan de las operaciones y requisitos cotidianos, como las notificaciones bancarias, los pagos, las entregas, etc.
Muchos de estos mensajes de texto falsos dirigen a las víctimas a una página de inicio de sesión falsa, en la que posteriormente se les pide información de pago o de inicio de sesión.
El objetivo del smishing, como el de cualquier otro tipo de ciberataque, es el beneficio económico. Los atacantes consiguen los datos de los usuarios para perjudicarlos a ellos y/o a la empresa para la que trabajan. Todo lo que se necesita es un momento de confianza equivocada, una acción desinformada, o una combinación de ambas, y voilá, le han hecho daño.
¿Qué tipos de ataques de smishing existen?
Hay un número creciente de tipos de ataques de smishing. No obstante, los que se explican a continuación son los más frecuentes:
- El smishing del regalo – a menudo presentadose como empresas legítimas y de buena reputación, los estafadores intentarán engañarle con la promesa de productos o servicios gratuitos, incitando las víctimas a actuar y a entregar sus datos personales en un plazo de tiempo limitado.
- Descuentos falsos –es similar al smishing de regalos, pero sugiriendo que se ofrecen descuentos o vales considerables. Estos mensajes no suelen estar dirigidos, así que muchos de ellos son ignorados por los destinatarios.Pero esto no es un inconveniente importante para el smisher: al haber enviado los mensajes falsos de forma masiva, espera un número reducido de respuestas.
- Paquetes retrasados – en el contexto de COVID-19, la hipótesis de los paquetes retrasados se ha convertido en uno de los principales vectores de los ataques de smishing. Los estafadores se presentan como proveedores de servicios de entrega de buena reputación y le solicitan los datos de pago de unos gastos de entrega falsos.
- Smishing de atención al cliente – los atacantes pueden presentarse como una empresa de confianza y afirmar que le ofrecen ayuda para resolver un problema, como por ejemplo, arreglar un error en su cuenta indicándole los pasos necesarios. Su propósito es obtener la información de su cuenta real y intentar restablecer su contraseña.
- Smishing de servicios financieros – el atacante se presentará como un banco u otro tipo de proveedor de servicios financieros, a menudo pidiéndole que compruebe una actividad sospechosa de su cuenta o solicitando el desbloqueo de la misma.
¿Qué precauciones se pueden adoptar contra los ataques de smishing?
Aunque nadie puede detener por completo los ataques de smishing, hay algunas formas de protegerse a sí mismo y a su empresa:
- No pulsar en las URLs que recibe en un mensaje de texto o cualquier otra forma de comunicación, a menos que conozca y confíe en el remitente. Incluso si el texto lo ha enviado un amigo, debe asegurarse de que tenía la intención de enviarlo;
- No conteste a mensajes de texto de personas que no conozca, de un número desconocido o de un número de teléfono con aspecto extraño;
- Descargue las aplicaciones sólo de las tiendas oficiales de aplicaciones;
- Descargue las aplicaciones sólo de las tiendas de aplicaciones oficiales;
- No realice las acciones requeridas por las empresas a través de mensajes de texto. Elige contactar con ellos mediante un método de confianza, como una llamada telefónica, para verificar que el texto es legítimo y no una estafa;
- Informa de cualquier mensaje sospechoso que recibas y bloquea el número sin responder.
Las precauciones son aún más importantes si hablamos de empresas. Al igual que cualquier otra forma de ataque, el smishing se dirige a las empresas porque es donde está el botín en términos de dinero.
La formación para la concienciación sobre la seguridad es un factor clave para mantener su empresa a salvo de los estafadores. El programa de Attack Simulator formará a sus empleados sobre el smishing y todas las demás estafas que existen.
Hoy es el día para dejar de arriesgar el futuro de su empresa y obtener su presupuesto para el sólido y completo Programa de Formación para la Concienciación en Seguridad de ATTACK Simulator.
Atribución:
Ilustraciones de usuarios de Storyset
