11th - Ago - 2017

Smishing – La Generación Siguiente del Phishing

Graphic of speech bubbles reading 'Hi' and 'Yes' next to each other

Previamente este año escribimos un blog sobre cómo está creciendo la mensajería A2P pero el fraude pone en peligro la confianza del consumidor en la plataforma. Pensamos que deberíamos repasar este tema con especial atención en el “smishing”, una clase concreta de fraude que una vez más llega a los titulares.

¿Qué es smishing?

Es una combinación de dos cosas, SMS + phishing = smishing. Una manera de sonsacar información personal, contraseñas, datos, etc. por medio de SMS o aplicaciones de chat al tiempo que se hace pasar por una fuente fiable o conocida para el destinatario. Los mensajes de smishing siempre incluyen un enlace en el cual hacer clic o un número de teléfono para llamar. La alerta es, desde luego, fraudulenta y un intento de violar la privacidad del destinatario.

En su informe de 2017, MEF sugiere que hay 13 tipos diferentes de fraude, de los cuales el smishing es solo uno de ellos. MEF identificó en este informe que más de un cuarto de los abonados recibieron un mensaje de SMS no solicitado al día, con un 33 % de los abonados afirmando que habían recibido un mensaje de smishing con la intención de engañarles para que revelaran sus datos personales. MEF estima que el smishing contribuye con una estimación de 680 millones de dólares al coste global de fraude anual de 2 mil millones de dólares.

El problema empeora por el hecho de que el SMS es uno de los canales de comunicaciones en los que se confía más, la gente espera recibir correo basura y correos electrónicos fraudulentos, pero no espera que se usen los SMS de la misma manera. De hecho, el SMS sigue siendo el canal de comunicación en el que se confía más, con un 35 % de los consumidores encuestados en el informe de MEF diciendo esto. Para los defraudadores, es solo cuestión de coger esa fruta que cuelga baja y aprovecharse de algo en lo que la gente confía.

¿Cómo funciona el smishing?

Es una cadena de mensajes de ingeniería social diseñados para engañar al usuario para revelar datos personales sobre sí mismo y que por tanto permiten al atacante hacerse con el control del teléfono móvil de alguien y finalmente acceder a algo como la cuenta bancaria de la víctima. El atacante ve el SMS que envía casi como una oportunidad de ventas, el delincuente empieza sugiriendo que ya existe una relación entre ellos (haciéndose pasar por otro) y el destinatario. Un mensaje de texto de smishing podría poner algo así:

‘Somos la Agencia Tributaria. Nuestros registros indican que ha pagado 1.897,12 £ de más en impuestos para el cierre del ejercicio 2016. Le rogamos que nos llame al XXX o haga clic aquí para darnos sus datos bancarios.’

Los mensajes también podrían poner: “Este es el Lloyds Bank. Hemos detectado una actividad sospechosa en su cuenta. Le rogamos que se ponga en contacto al XXX para confirmar sus transacciones”. o “Somos Apple, su cuenta ha sido bloqueada debido a una actividad sospechosa, le rogamos que haga clic aquí para verificar su cuenta o eliminaremos su cuenta”. Estos mensajes tienen una cosa en común (aparte de ser fraudulentos), tienen una alerta, cuelgan una zanahoria para aumentar las posibilidades de que alguien pique. La gente puede ser algo ingenua cuando se trata de que les ofrezcan algo que les beneficiará. Podrían hacer clic o llamar sin pensar sobre el origen del mensaje, lo cual por desgracia es sorprendentemente fácil de falsificar, confiando en el remitente sin cuestionar.

Una vez que se hace clic en el enlace fraudulento o se llama al número de teléfono, el atacante empieza inmediatamente a recopilar información personal o infectar el terminal con malware creando potencialmente todo un mundo de problemas para el usuario.

Todo lo que el atacante necesita es un poco de información para ayudarle en su camino. No se olviden que mucha información personal está disponible como asunto de registro público: nombre completo, fecha de nacimiento, dirección, nombre de soltera, etc., todo lo cual puede ayudar a los atacantes para que parezcan ser los auténticos cuando se pongan en contacto con el banco para cambiar unas contraseñas o mover algo de dinero.

¿Cómo pueden proteger las empresas a sus clientes frente al smishing?

Aunque no hay sustituto para el sentido común cuando se trata de actuar sobre mensajes de smishing, una protección eficaz puede ser utilizada fácilmente por empresas con un poco de idea y algo de formación:

  • Sensibilizar a los clientes, hágales saber lo que se les preguntará y lo que no en un mensaje legítimo.
  • Comuniquen los códigos breves de la empresa claramente con los clientes para que sepan de qué números esperen mensajes.
  • Introduzcan preguntas de seguridad más específicas que no puedan responderse realizando una búsqueda sencilla en Google.
  • Proporcionen formación de sensibilización para todos aquellos que estén en contacto con los clientes para que se pueda identificar el fraude potencial más fácilmente.
  • Monitoricen las quejas de los clientes sobre mensajes de correo basura, concretamente si corresponden con entregas de campañas específicas. Entonces investiguen a fondo haciendo preguntas como quién envió los mensajes, si el mensaje contiene una URL sospechosa, etc.

¿Cómo pueden protegerse las empresas frente al smishing?

  • Cuando algo suena demasiado bueno para ser cierto, realmente lo es.
  • Sean escépticos que un mensaje es de la empresa o departamento gubernamental que dicen ser a menos que a) esperen el mensaje o b) reciban mensajes a menudo de esa empresa.
  • Si tienen sospechas, no llamen al número indicado en el contenido del mensaje. P. ej. si es su banco, utilicen el número de teléfono del banco o sitio web que usen normalmente para llamarles y confirmen.

Todas las sugerencias anteriores ciertamente tienen el potencial para proteger a los clientes, pero ¿dónde recae la responsabilidad de protección en última instancia? ¿Cómo se puede regular este entorno? En su informe, MEF propone algunas directrices que ciertamente vale la pena considerar:

  • La creación de un registro nacional e internacional de empresas, marcas y códigos breves asociados.
  • La creación de una base de datos de mensajes sospechosos y fraudulentos.
  • El desarrollo de un método automatizado estándar y global a través de los operadores de redes móviles para informar y compartir información sobre mensajes fraudulentos identificados y sospechosos.

Utilizando una combinación de las sugerencias anteriores para las empresas y las personas físicas y consultando MEF para asesoramiento sobre cómo autorregular el entorno dará como resultado con suerte que el smishing pase a ser algo del pasado, simplemente como los correos basura, quedarán relegados a la papelera.

¿Están interesados en averiguar qué otras 12 formas de fraude hay? Miren el informe completo de MEF aquí y lean más sobre el smishing mientras estén allí.

Autora: Jeanette Burton, Gerente de Contentido en CLX Communications

Signup for Blog Updates