Smishing es una forma de phishing Ataque dirigido a dispositivos móviles. En lugar de enviar contenido de phishing por correo electrónico, los smishers utilizan mensajes de texto SMS o MMS para entregar sus mensajes. A medida que el uso de dispositivos móviles para empresas se vuelve más común debido al trabajo remoto y las políticas de traer su propio dispositivo (BYOD), el smishing se ha convertido en una amenaza creciente para la ciberseguridad empresarial.
La concepción popular del phishing se centra en el correo electrónico porque el correo electrónico era uno de los medios originales y más comunes para entregar contenido de phishing. Sin embargo, no es la única manera en que los phishers pueden lograr sus objetivos.
El uso de dispositivos móviles ha crecido rápidamente y estos dispositivos vienen con una mentalidad de "siempre encendido" que es invaluable para los phishers. Si bien los dispositivos móviles tienen acceso a múltiples canales de comunicación (correo electrónico, redes sociales, etc.), los mensajes de texto tienen varios beneficios para los phishers.
Un mensaje de texto puede llevar enlaces o archivos adjuntos maliciosos (en el caso de MMS) al igual que un correo electrónico, lo que les permite usar las mismas técnicas que Phishing mediante correos electrónicos. Sin embargo, los mensajes de texto tienen algunas ventajas sobre el correo electrónico, como su longitud limitada y un mayor uso por parte de las marcas.
Por ejemplo, en un mensaje SMS, el uso de servicios de acortamiento de enlaces es rutinario, y estos servicios hacen que sea difícil ver el destino de un enlace por adelantado. Además, los teléfonos móviles no permiten que los usuarios se desplace sobre un enlace para ver su destino. Ambos factores hacen que el phishing a través de SMS sea más fácil y eficaz para los atacantes.
Al igual que los ataques de phishing tradicionales basados en correo electrónico, los ataques de smishing utilizan diferentes pretextos para engañar a los destinatarios para que hagan clic en un enlace incrustado en el mensaje. Algunos pretextos comunes incluyen:
Estos son algunos de los pretextos más comunes que usan los herreros en sus ataques. A medida que crece el uso de dispositivos móviles debido al aumento del trabajo remoto y las políticas BYOD, estos ataques se vuelven más comunes y sofisticados.
Dado que los ataques de smishing son simplemente ataques de phishing realizados a través de un medio diferente, se aplican muchas de las mismas prácticas recomendadas, que incluyen:
Nunca comparta los códigos de MFA: Los mensajes de texto se usan comúnmente para transmitir códigos MFA para cuentas en línea, y los estafadores pueden fingir que enviaron un código MFA para verificar la identidad de un usuario. Nunca proporcione un código MFA a nadie.
Con el auge de los modelos de trabajo híbridos y remotos y las políticas de dispositivos BYOD, los dispositivos móviles se están convirtiendo en una parte central del negocio y Seguridad móvil es más importante que nunca. Esto hace que los ataques de smishing sean una seria amenaza tanto para las empresas como para los individuos.
Check Point y Avanan han desarrollado un solución antiphishing que proporciona protección en todos los vectores de ataque, incluidos los ataques de smishing. Para saber más sobre cómo proteger el dispositivo móvil de su empresa contra el phishing con Harmony, es bienvenido a solicitar una demostración gratuita.