Recientemente publicamos un artículo sobre cómo cuidarse del phishing. En él explicamos el concepto de phishing, compartimos algunos de los ejemplos que llegan al correo oficial de la Provincia y ofrecimos algunas recomendaciones para lidiar con ellos. En esta ocasión, vamos a presentar un tipo particular de phising conocido como smishing o SMS Phishing.
¿Qué es el smishing?
El smishing es una variante de phishing en la que un atacante utiliza un teléfono móvil como plataforma de ataque1 2. El término combina SMS (servicio utilizado para enviar mensajes de texto) y phishing. Al igual que otros ataques de ingeniería social, se busca explotar la confianza de las personas para recolectar información personal y/o laboral, generalmente con el objetivo de acceder a datos confidenciales (credenciales de acceso a sistemas, información bancaria, tarjetas de crédito, etc) o infectar el dispositivo de la víctima.
Aunque los mensajes recibidos por aplicaciones como Signal, WhatsApp y Telegram no califican técnicamente como smishing, hay mecanismos de ataque muy similares por lo que también deben tenerse en cuenta a la hora de identificar un ataque de este tipo.
¿Cómo funciona?
El mecanismo es muy parecido al phishing por correo electrónico: El mensaje de texto recibido contiene un URL malicioso que puede engañar a la víctima para instalar malware en su dispositivo o dirigirlo a un sitio Web falso para que ingrese sus credenciales de acceso a alguna cuenta. Por ejemplo, el atacante puede hacerse pasar pasar por un banco y dirigir a las personas a un clon del sitio oficial para interceptar su usuario y contraseña.
Ejemplo: Campaña de smishing en Irán
Un ejemplo muy reciente es una campaña de SMS Phishing en Irán3, en la que los atacantes se hicieron pasar por funcionarios de gobierno para instalar malware en los dispositivos de las personas y robar datos de tarjetas de crédito. En la figura 1 se observan algunos de los mensajes recibidos por ciudadanos iraníes.
El URL recibido dirigía a las víctimas a un sitio de servicios gubernamentales falso que los convencía de instalar una aplicación maliciosa de Android y realizar un pago por los mismos. Además de robar los datos de la tarjeta de crédito, la aplicación convertía el dispositivo en un bot capaz de propagar el smishing a otras víctimas potenciales4.
Aunque este tipo de ataque no es nuevo, vale la pena mencionar esta campaña ya que resultó en la pérdida de cientos de miles de dólares y es bueno tenerlo como referencia para no caer en engaños similares.
¿Qué hacer al respecto?
La mayoría de los consejos mencionados en el artículo anterior son aplicables a todas las variables de phishing. En casos particulares en que los atacantes se hacen pasar por representantes del gobierno, un banco o una empresa de la que uno es cliente, es recomendable consultar los sitios oficiales para buscar información al respecto o utilizar los datos de contacto disponibles para consultarlo.
Como siempre, no dudes en enviar tu consulta a la dirección de soporte de CSIRT-SC. Compartí este artículo con todas las personas que puedan beneficiarse de esta información y ayudanos a generar una cultura de buenas prácticas en seguridad informática.
Referencias
[1] What is Smishing and How to Defend Against it. Centro de recursos de Kaspersky. URL: https://www.kaspersky.com/resource-center/threats/what-is-smishing-and-how-to-defend-against-it
[2] What Is Smishing? TREND Micro. URL: https://www.trendmicro.com/en_us/what-is/phishing/smishing.html
[3] Montalbano, E. Widespread ‘Smishing’ Campaign Defrauds Iranian Android Users. 1 de diciembre de 2021. ThreatPost. URL: https://threatpost.com/smishing-campaign-iranian-android-users/176679
[4] Cohen, S. Smishing botnets going viral in Iran. 1 de diciembre de 2021. Check Point Research. URL: https://research.checkpoint.com/2021/smishing-botnets-going-viral-in-iran