Si lo pensamos fríamente, a día de hoy, los mensajes SMS han quedado prácticamente relegados para comunicaciones oficiales provenientes de empresas privadas, emergencias o la administración pública. Esto hace que muchos usuarios les presten especial atención pensando que la mayoría pueden ser relevantes y los delincuentes saben muy bien como sacar provecho de esto.
Uno de los temas que mas se repiten cuando hablamos de mensajes SMS fraudulentos está relacionado con supuestas multas de tráfico. Los delincuentes envían miles de mensajes SMS a números de teléfono aleatorios de un país, indicando que se ha cometido una infracción y proporcionando un enlace para que la víctima acceda a una web preparada por ellos.
Es importante recalcar que hace tiempo que los delincuentes empezaron a suplantar también el identificador del mensaje, de forma que es muy probable que los mensajes fraudulentos terminen ubicados en la misma carpeta que los mensajes legítimos que emite, por ejemplo, nuestra entidad bancaria.
En cualquier caso, si se pulsa sobre el enlace proporcionado, el usuario es redirigido a una web que suplanta a la Dirección General de Trafico y desde la cual se insta a pagar la supuesta multa antes de 24 horas. Generar sensación de urgencia es algo típico en este tipo de estafas y, esta campaña no iba a ser la excepción.
No debemos olvidar que, por muy bien hecha que esté la web fraudulenta, siempre debemos revisar la URL donde nos encontramos. El enlace proporcionado en el SMS ya nos tendría que haber hecho dudar, pero, en el caso de haber accedido a la web tenemos una segunda oportunidad para revisarla antes de que sea demasiado tarde.
Ya de por sí, la dirección de la web da que pensar, pero si además revisamos cuando ha sido creada y donde se aloja podemos terminar de salir de dudas.
Tras realizar una consulta WHOIS podemos comprobar como el dominio usado para esta estafa fue registrado hace apenas unos días y, además, se encuentra ubicado en Sudáfrica, algo lo suficientemente sospechoso como para desconfiar de esa web. No obstante, los delincuentes saben que la mayoría de los usuarios no se fija en esos detalles y lo único que revisa es que la web les recuerde a aquello que están esperando encontrar.
Además, para hacer que sus víctimas no se lo piensen mucho, en esta web se incluye un descuento por pronto pago, lo que reduce la cantidad a pagar por la supuesta multa al 50%, incentivando así que los usuarios abonen el importe solicitado sin pensárselo demasiado.
En el siguiente paso ya se solicitan datos personales tales como el nombre y apellidos, documento de identificación, la dirección postal y el correo electrónico. Aunque esta información no vaya a utilizarse directamente en esta campaña fraudulenta sí que puede ser usada en futuras campañas, personalizando los emails y mensajes y haciendo más creíble la estafa.
Lo que realmente quieren los delincuentes es que los usuarios introduzcan los datos de su tarjeta de crédito en el siguiente paso, y no precisamente para cobrarles la presunta multa. Estos datos son almacenados y luego usados para realizar todo tipo de pagos y compras a cargo de las víctimas que los proporcionan en estos formularios fraudulentos. También es posible que se recopilen para luego venderlos en lotes a otros delincuentes pero, en cualquier caso, son los usuarios los que pueden llegar a cargar con los pagos de los productos y servicios realizados sin su autorización.
La generación de estas webs fraudulentas no es complicada, ya que la gran mayoría de delincuentes que realiza estas campañas utiliza plantillas ya generadas previamente y adaptadas a cada servicio o empresa suplantada. Es sencillo, y hasta barato, por parte de los delincuentes, contratar estos kits de phishing y, seguidamente, pagar a otros delincuentes para que lancen los mensajes SMS fraudulentos, obteniendo beneficios de forma rápida.
Debido a que este tipo de campañas son bastante comunes es importante estar atentos, ya que pueden suplantar todo tipo de empresas y organismos públicos. Debemos estar atentos cuando recibamos un SMS, evitando pulsar sobre los enlaces proporcionados y consultar por otros medios (llamando por teléfono, visitando una web oficial o usando una app legítima) para comprobar que esta información es verdadera.
En el caso de las multas de tráfico, se puede usar la app oficial miDGT para revisar si, efectivamente, tenemos alguna multa pendiente de pago e incluso pagarla desde la app, evitando así tener que introducir datos personales e información relacionada con medios de pago en sitios webs de dudosa procedencia.