¿Cómo funciona Smishing Attack?
La concepción popular del phishing se centra en el correo electrónico porque el correo electrónico era uno de los medios originales y más comunes para entregar contenido de phishing. Sin embargo, no es la única manera en que los phishers pueden lograr sus objetivos.
El uso de dispositivos móviles ha crecido rápidamente y estos dispositivos vienen con una mentalidad de "siempre encendido" que es invaluable para los phishers. Si bien los dispositivos móviles tienen acceso a múltiples canales de comunicación (correo electrónico, redes sociales, etc.), los mensajes de texto tienen varios beneficios para los phishers.
Un mensaje de texto puede llevar enlaces o archivos adjuntos maliciosos (en el caso de MMS) al igual que un correo electrónico, lo que les permite usar las mismas técnicas que phishing emails. Sin embargo, los mensajes de texto tienen algunas ventajas sobre el correo electrónico, como su longitud limitada y un mayor uso por parte de las marcas.
Por ejemplo, en un mensaje SMS, el uso de servicios de acortamiento de enlaces es rutinario, y estos servicios hacen que sea difícil ver el destino de un enlace por adelantado. Además, los teléfonos móviles no permiten que los usuarios se desplace sobre un enlace para ver su destino. Ambos factores hacen que el phishing a través de SMS sea más fácil y eficaz para los atacantes.
Ejemplos de ataques de Smishing
Al igual que los ataques de phishing tradicionales basados en correo electrónico, los ataques de smishing utilizan diferentes pretextos para engañar a los destinatarios para que hagan clic en un enlace incrustado en el mensaje. Algunos pretextos comunes incluyen:
- Problemas de cuenta: Las marcas utilizan cada vez más mensajes SMS para el servicio al cliente, y los usuarios pueden estar acostumbrados a recibir mensajes de texto sobre problemas o notificaciones sobre sus cuentas. Smishers puede enviar mensajes de texto alegando que existe un problema y apuntando al destinatario a un enlace falso que roba las credenciales de la cuenta.
- COVID-19: Los acontecimientos actuales son pretextos habituales para los ataques de phishing, y la pandemia de COVID-19 brindó a los ciberdelincuentes numerosas oportunidades. La estafa de smishing basada en COVID puede solicitar información personal para el “rastreo de contactos” o proporcionar información inexacta sobre controles de estímulo y actualizaciones de seguridad pública que conducen a un sitio de phishing.
- Servicios financieros: Un herrero puede hacerse pasar por una organización de servicios financieros pidiéndole al destinatario que verifique alguna actividad en su cuenta. Si el objetivo responde, el herrero puede intentar robar credenciales de inicio de sesión u otra información personal como parte del proceso de verificación.
- Códigos MFA: Dado que los SMS son uno de los métodos más comunes utilizados para la autenticación de múltiples factores (MFA), algunos ataques de smishing están diseñados para robar estos códigos. El suplantación de identidad puede decirle al destinatario que necesita verificar su identidad diciéndole al atacante el código MFA que se le ha enviado por mensaje de texto. El atacante activa este código al intentar iniciar sesión como usuario y luego obtiene acceso una vez que el destinatario le proporciona el código correcto.
- Confirmación de pedido: Los mensajes de Smishing pueden contener una confirmación de un pedido falso, así como un enlace para modificar o cancelar ese pedido. Cuando el destinatario hace clic en el enlace, lo dirige a un sitio falso que roba credenciales de inicio de sesión.
Estos son algunos de los pretextos más comunes que usan los herreros en sus ataques. A medida que crece el uso de dispositivos móviles debido al aumento del trabajo remoto y las políticas BYOD, estos ataques se vuelven más comunes y sofisticados.
Cómo protegerse de los ataques de Smishing
Dado que los ataques de smishing son simplemente ataques de phishing realizados a través de un medio diferente, se aplican muchas de las mismas prácticas recomendadas, que incluyen:
- Evite hacer clic en los enlaces: Los enlaces en los mensajes de texto son difíciles de verificar debido al acortamiento de enlaces y la incapacidad de pasar el cursor sobre los enlaces para ver los objetivos. En lugar de hacer clic en los enlaces de los mensajes de texto, navegue directamente al sitio de destino.
- No proporcione datos: Los ataques Smishing suelen estar diseñados para robar datos confidenciales de sus objetivos bajo el pretexto de verificar identidades u otros pretextos. Nunca proporcione datos personales a alguien a quien no haya llamado o mandado mensajes de texto a través de un número que aparece en su sitio web.
- Instale aplicaciones de las tiendas de aplicaciones: Los ataques de smishing pueden estar diseñados para engañar a los destinatarios para que instalen aplicaciones maliciosas en su dispositivo móvil. Siempre instale aplicaciones de tiendas de aplicaciones de buena reputación, idealmente después de verificar su autenticidad en el sitio web del creador.
Nunca comparta los códigos de MFA: Los mensajes de texto se usan comúnmente para transmitir códigos MFA para cuentas en línea, y los estafadores pueden fingir que enviaron un código MFA para verificar la identidad de un usuario. Nunca proporcione un código MFA a nadie.
Protección contra ataques de smishing con Check Point
Con el auge de los modelos de trabajo híbridos y remotos y las políticas de dispositivos BYOD, los dispositivos móviles se están convirtiendo en una parte central del negocio y Seguridad móvil es más importante que nunca. Esto hace que los ataques de smishing sean una seria amenaza tanto para las empresas como para los individuos.
Check Point y Avanan han desarrollado un solución antiphishing que proporciona protección en todos los vectores de ataque, incluidos los ataques de smishing. Para saber más sobre cómo proteger el dispositivo móvil de su empresa contra el phishing con Harmony, es bienvenido a solicitar una demostración gratuita.
Comentarios