La banca y las empresas de logística concentran los ataques de smishing

  • Endpoint

movil-phishing

La llegada de SMS alertando de que nuestra cuenta bancaria ha sido desactivada o que tenemos un paquete pendiente de entrega, son cada vez más habituales. Este tipo de campañas no suelen durar mucho, lo que no evita que los delincuentes saquen el máximo provecho de ellas.

Recomendados: 

Impacto financiero de Lacework Leer

Nuevas reglas de seguridad para aplicaciones web y API Leer

Con un uso de la banca online bastante elevado por parte de los usuarios, no es de extrañar que los delincuentes suplanten constantemente a algunas de las entidades bancarias más conocidas para tratar de robar nuestros datos. Además de los clásicos correos de phishing bancario, el envío de mensajes SMS a nuestros teléfonos móviles también se ha convertido en algo habitual.

Por ejemplo, ESET ha detectado un ataque de smishing que se ha estado propagando durante el pasado fin de semana, en el que los delincuentes se hacen pasar por la entidad ING alertando de que nuestra cuenta bancaria ha sido desactivada temporalmente. Este mensaje puede provocar que los usuarios de este banco teman por el dinero que tienen guardado y corran a pulsar el enlace proporcionado sin antes pararse a pensar si se trata de un posible engaño.

Es bastante frecuente que los delincuentes detrás de estas campañas utilicen enlaces acortados para que los usuarios no sepan a dónde los redirigen, incluso a pesar de que se utilicen direcciones similares a las reales o que, aparentemente, tienen relación con la entidad bancaria suplantada. La web preparada para este caso de phishing es bastante sencilla y utiliza el color corporativo de la entidad bancaria suplantada, así como parte de su logotipo. En esa web lo primero que solicitan es el número del documento de identificación y la fecha de nacimiento. A continuación, pide el código de seguridad que les permitirá acceder a la cuenta bancaria.

Sin embargo, solo con estos datos los delincuentes no pueden realizar transferencias de dinero a otras cuentas bancarias controladas por ellos o por sus muleros. Para ello necesitan el código de verificación de un solo uso que la mayoría de las entidades bancarias españolas siguen enviando por mensaje SMS, y por ese motivo lo solicitan en el siguiente paso.

Paquetes pendientes de entrega

Otra de las técnicas que ha tenido mucho éxito a la hora de conseguir nuevas víctimas es la que se hace pasar por una empresa de logística indicando que tenemos un paquete pendiente de entrega. Con el aumento del comercio online, es bastante probable que varias de las personas que reciban este mensaje SMS estén realmente esperando un paquete, por lo que las probabilidades de que pulsen sobre el enlace aumentan.

ESET pone como ejemplo una reciente campaña de smishing suplantando a Correos, con un enlace acortado que redirige a un sitio preparado por los delincuentes para hacer creer a las víctimas que se encuentran ante una web legítima. En la web fraudulenta se nos solicita el pago de una pequeña cantidad de dinero en concepto de reenvío del paquete para poder formalizar su entrega. Así es como llegamos al siguiente paso, un formulario que pide que introduzcamos los datos correspondientes a nuestra tarjeta bancaria para, supuestamente, formalizar el pago de los gastos de envío del paquete que tenemos pendiente recibir.

Una vez obtenidos estos datos, los delincuentes tratarán de hacer un cargo en la tarjeta, pero, para ello, necesitan el código que muchas entidades envían a sus usuarios para aprobar operaciones en las que se utilicen tarjetas de crédito o débito. Para obtenerlo, nada más sencillo que pedírselo directamente al usuario, el cual es probable que lo proporcione sin llegar a pensar que está siendo víctima de un engaño.

Este tipo de campañas no suelen durar muchos días entes de que sean eliminadas, pero esto no evita que los delincuentes traten de sacar el mayor provecho de ellas. Un buen ejemplo es que desde hace años se toman la molestia de conseguir certificados para sus webs fraudulentas, de forma que estas aparezcan con el candado de seguridad y el uso del protocolo HTTPS.