Cómo protegerse de Phishing por SMS (Smishing)

El Phishing o la suplantación de identidad es la forma más sencilla que tienen los atacantes de robarte dinero, datos o instalarte malware en tu móvil. Hemos explicado en detalle en otro post, cómo funciona el phishing y ahora nos toca hacerlo con el Smishing que es lo mismo, pero usando mensajes SMS y por lo tanto orientado a los móviles. Aquí te explicamos cómo actúan los atacantes y que puedes hacer para protegerte.

Los ciberdelincuentes siempre buscan la puerta más fácil de abrir. Saben que todos tenemos mucho cuidado con los enlaces que nos llegan por correo y por ello prefieren usar los SMS.

Un SMS es bastante más peligroso que un correo electrónico por varios motivos:

1. La mayoría de los móviles siguen estando desprotegidos.

2. El Smishing aparece directamente mezclado entre los mensajes auténticos donde pasan fácilmente por comunicaciones legítimas.

3. Con solo dos mensajes bien dirigidos pueden proceder, en apenas unos minutos, a vaciarte las cuentas

4. Las direcciones web suelen quedar ofuscadas en el móvil por falta de espacio siendo muy difícil para un usuario normal ver la dirección completa.

5. Solemos pinchar con mucha menos precaución, un link en un móvil, que en un PC

6. El propio móvil tiene la doble autenticación que necesitan los atacantes. No requieren controlar otros dispositivos.

Te explicamos aquí cómo consiguen engañarte:

Anatomía de un Smishing

Vamos a abrir uno de estos phishing para móviles tan populares que hay hoy día y veamos qué nos encontramos.

1.- Aquí recibimos, marcado en verde, un mensaje auténtico del Banco de Santander junto con otros dos mensajes falsos, marcados en rojo. Como se puede ver los mensajes falsos aparecen mezclados entre los auténticos. ¿no os parece algo increíble?

Cualquiera puede entrar en una de las muchas paginas de envío de SMS anónimos como esta de Tarify, poniendo el remitente que quieras. Así que ya sabéis que los mensajes que aparecen dentro de un determinado remitente no garantiza que sean auténticos, aunque vengan mezclados entre otros que sí lo son.

2.- Cojamos el último y veamos que pasa. Dice textualmente (omitimos deliberadamente el enlace ya que es un phishing auténtico):

Hemos detectado una actividad sospechosa en su cuenta Por seguridad le rogamos que complete la siguiente verificación en: enlace al sitio del atacante

Esto crea incertidumbre y nerviosismo, justo lo que quieren que sientas para que tengas prisa y no te pares a pensar demasiado.

Si pinchamos en el enlace esto es lo que veremos:

3.- Nos lleva directamente a la web del atacante que es una copia idéntica de la oficial del Banco de Santander. La única forma de saber que es falsa sería comprobando el enlace que nos da el navegador santander.activacio-movil.com pero queda ofuscado parcialmente al no caber por completo en la pantalla del móvil: (la url está mal escrita aquí deliberadamente para que no podáis pinchar sin querer.)

Nota: comprobar si un enlace es falso puede ser difícil en muchos casos y se requiere de conocimientos y herramientas para detectarlos.

Una vez en esta página cualquier dato que escribáis se lo estaréis dando directamente a los cibercriminales.

Es normal que no os funcione la página y no podáis entrar en vuestras cuentas y eso es otro signo importante de que estáis en la página de los asaltantes.

4.- Muchas veces los atacantes necesitarán de varios SMS para poder culminar el robo pues el banco podría requerir de códigos adicionales para efectuar las transferencias pero eso no es problema para ellos pues seguirán usando esta misma técnica para solicitártelos.

Una vez que los datos estén en poder de los maleantes, éstos se darán prisa en utilizarlos antes de que tú o tu banco podáis bloquear la cuenta y dar de baja las tarjetas.

Obviamente si alguna vez pasas por este trago ya sabes lo que hay que hacer: !llamar al banco urgentemente!

Resumiendo, ¿Qué debes hacer?

1. Cuando recibas un SMS con un vínculo, siempre sospecha que de que pueda ser falso, sobre todo si te llegan por parte de entidades bancarias, operadores logísticos o cualquiera que te demanda que hagas algo en concreto. Ningún banco te va a mandar un vínculo en un SMS así que eso te puede dar muchas pistas de su veracidad. Respecto operadores logísticos puedes hacerlo, pero solo y exclusivamente si lo estabas esperando y compruebas que los datos que aparecen corresponden a tu pedido.

2. Nunca pinches en un enlace "por curiosidad" a ver dónde te lleva. Puede que solo te lleve a la página del atacante y no te pase nada si no introduces ahí ningún dato, pero también te podría llevar a una web preparada parar infectar tu movil solo por el mero hecho de entrar en ella. Muchas vulnerabilidades de los sistemas operativos y de los navegadores pueden ser explotadas por los ciberdelincuentes para conseguir infectar tu movil con malware (virus, rats, troyanos, etc.) que podría ser peor aún que caer en un phishing.

3. Si en cualquier momento crees que has sido víctima de un Smishing cambia cuanto antes la contraseña del servicio que los hackers hayan suplantado. Si es un banco llámales para que anulen también las tarjetas y bloqueen cualquier moviendo sospechoso en tus cuentas.

Mantener tu móvil actualizado con las últimas versiones del sistema operativo, no tener aplicaciones de dudosa reputación, no conectarte a wifis abiertas y tener un buen antivirus con capacidad de detención Smishing son también complementos esenciales a estas recomendaciones. Si sigues estas pautas podemos asegúrate que los malos tendrán muy poco que hacer contigo.

En nuestro siguiente post os enseñaremos como comprobar si un enlace es malicioso

Navega Tranquilo

ironGate Cybersecurity

Protegemos tu vida digital

by Ricky Fuster https://www.linkedin.com/in/rickyfuster/

Irongate CISO https://www.irongate.es/