Tanto la Oficina de Seguridad del Internauta como el Instituto Nacional de Ciberseguridad alertan que se detectado una campaña de tipo phishing por medio de mensajes de SMS (smishing) cuyo objetivo es obtener información financiera de la tarjeta de crédito. La campaña identificada tiene como pretexto confirmar el pago de unos gastos de envío a través de la compañía Seur.
La estafa funciona de la siguiente manera: un SMS malicioso avisa al usuario de que el paquete está pendiente de ser entregado y se debe confirmar el pago de los gastos de envío (1,99€). Para ello se facilita un enlace.
Las principales características de este fraude conocido como smishing son:
- En líneas generales, la redacción del mensaje es correcta aunque se detectan errores de puntuación. Es habitual encontrar faltas de ortografía y/o redacciones poco cuidadas debidas, en gran parte, al uso de traductores automáticos.
- El pago que se solicita es mínimo (1,99 €), hecho que posiblemente haga que más víctimas caigan en el engaño al no suponer un gran coste económico para el usuario.
Al pulsar sobre el enlace, el usuario es redirigido a una página que intenta imitar a la legítima, donde se le indica que debe ingresar sus datos y pagar 1,99 € para recibir el paquete. Cabe destacar que los campos del formulario realizan acciones que intentan validar los datos introducidos por el usuario. El objetivo es dar veracidad a la web y no levantar sospechas en el usuario víctima.
Tras pulsar en el botón “Pagar”, el usuario es redirigido a una página con un formulario donde se solicita un código que supuestamente le debería llegar por SMS. Esta estrategia se utiliza para dotar de mayor credibilidad al proceso de pago y, aunque el SMS nunca lo recibirá, los ciberdelincuentes ya han cumplido su objetivo, que es hacerse con sus datos de la tarjeta bancaria.
¿Qué hacer?
Los expertos en ciberseguridad de Sophos han detectado recientemente varios ejemplos de smishing, pese a que el mes pasado la Policía Nacional detuvo a un hombre que obtuvo datos de más de 4.000 tarjetas usando este método. Los bancos y empresas de mensajería son los principales “ganchos” pero también se utilizan para el robo de cuentas de WhatsApp u otras redes sociales en las que se solicita que el usuario responda con el código que acaba de recibir para la verificación de la cuenta.
Debido al aumento de ataques y con el fin de ayudar a los usuarios a no caer en estas estafas y ciberataques, los expertos en ciberseguridad de Sophos os ofrecemos 4 consejos para no ser víctimas de un ciberataque de smishing:
- No te fíes del remitente. El remitente de un SMS puede ser modificado para poner lo que los cibercriminales quieran, como, por ejemplo: “01Correos”. Si bien hay algún avance para evitar esto, todavía no está en vigor, así qué, ante la duda, no confíes en lo que ponga en el remitente.
- Si te piden hacer algo, sospecha. Todo SMS que nos pida realizar una acción deber ser considerado sospechoso. Una cosa es un SMS de notificación (“su paquete ha sido enviado”) y otra muy distinta es que soliciten realizar una acción con algún tipo de amenaza como la cancelación del pedido, de una tarjeta o de una cuenta.
- La urgencia es una señal de alarma. Una técnica muy habitual en ingeniería social, además de utilizar la autoridad haciéndose pasar por un servicio con verosimilitud (correos, el banco, etc.) es la urgencia. En los ataques de smishing nos apremian a realizar una acción de forma inmediata, reduciendo nuestro tiempo para pensar o realizar las oportunas verificaciones.
- Protege tu móvil. Disponer de un sistema de protección para móviles permite a los usuarios contar con una capa extra de seguridad para bloquear este tipo de ataques. Soluciones de protección gratuitas como Sophos Intercept X para móviles proporciona protección antimalware para el móvil, control de navegación para bloquear el acceso a web maliciosas y control de SMS fraudulentos.
“Desde hace algunos años estamos viviendo un cambio de paradigma en el uso que los usuarios hacen de los dispositivos móviles, desde acceder a cuentas bancarias, comunicarnos con nuestro entorno y disfrutar del ocio a través de plataformas de contenido de cine y televisión. Con el nuevo escenario provocado por el Covid-19 hemos aumentado el tiempo de conexión y hemos cambiado la manera de trabajar, incluyendo en la ecuación el teletrabajo. Todo ello nos ha hecho más vulnerables frente a ciberataques que podemos recibir a través del SMS o el email. Dotarnos de herramientas que nos faciliten su detección y formarnos continuamente para saber cuándo y dónde intentan engañarnos, son pilares fundamentales para evitar que amenazas como el smishing consigan engañarnos”, alerta Alberto Rodas, Director de Ingeniería de Sophos Iberia.