Servicios de logística y bancos: los ganchos favoritos del smishing

Tras varios meses observando y analizando numerosas campañas de phishing enviado a través de mensajes SMS (también conocido como smishing) podríamos pensar que los delincuentes han evolucionado sus tácticas para tratar de conseguir nuevas víctimas. Sin embargo, tal y como vamos a comprobar en este artículo, vemos como los ganchos más utilizados siguen siendo los mismos que ya hemos visto desde hace tiempo.

La banca online siempre atrae la atención

Con un uso de la banca online bastante elevado por parte de los usuarios, no es de extrañar que los delincuentes suplanten constantemente a algunas de las entidades bancarias más conocidas para tratar de robar nuestros datos. Además de los clásicos correos de phishing bancario, el envío de mensajes SMS a nuestros teléfonos móviles también se ha convertido en algo habitual, pudiendo recibir mensajes como el que vemos a continuación y que se ha estado propagando durante el pasado fin de semana.

En este mensaje observamos como los delincuentes se hacen pasar por la entidad ING y nos alertan de que nuestra cuenta bancaria ha sido desactivada temporalmente. Este mensaje pude provocar que los usuarios de este banco teman por el dinero que tienen guardado y corran a pulsar el enlace proporcionado sin antes pararse a pensar si se trata de un posible engaño.

Además, es bastante frecuente que los delincuentes detrás de estas campañas utilicen enlaces acortados para que los usuarios no sepan a dónde los redirigen, incluso a pesar de que se utilicen direcciones similares a las reales o que, aparentemente, tienen relación con la entidad bancaria suplantada.

La web preparada para este caso de phishing es bastante sencilla y vemos que utiliza el color corporativo de la entidad bancaria suplantada, así como parte de su logotipo. En esa web no se andan con rodeos y lo primero que nos solicitan es el número de nuestro documento de identificación y nuestra fecha de nacimiento. A continuación, comprobamos como en el siguiente paso ya se nos pide el código de seguridad que les permitirá acceder a nuestra cuenta bancaria.

Sin embargo, solo con estos datos los delincuentes no pueden realizar transferencias de dinero a otras cuentas bancarias controladas por ellos o por sus muleros. Para ello necesitan el código de verificación de un solo uso que la mayoría de entidades bancarias españolas siguen enviando por mensaje SMS, y por ese motivo no se cortan a la hora de solicitarlo en el siguiente paso.

En el caso de que se proporcione este código de verificación, los delincuentes ya pueden transferir dinero de la cuenta de la víctima a otra cuenta controlada por ellos sin ningún problema, ya que, a efectos prácticos, es como si la operación la hubiese realizado la propia víctima. Como detalle interesante, esta campaña no ha sido la única que se ha realizado durante los últimos días y podemos ver como algunos investigadores están analizando  suplantaciones similares realizadas al Banco Santander.

Paquetes pendientes de entrega

Otra de las técnicas que ha tenido mucho éxito a la hora de conseguir nuevas víctimas desde hace unos años es la que se hace pasar por una empresa de logística y nos indica que tenemos un paquete pendiente de entrega. Con el aumento del comercio online que provocaron las restricciones impuestas para tratar de contener la pandemia, es bastante probable que varias de las personas que reciban este mensaje SMS estén realmente esperando un paquete, por lo que las probabilidades de que pulsen sobre el enlace aumentan.

De nuevo nos encontramos ante un enlace acortado que redirige a un sitio preparado por los delincuentes para hacer creer a las víctimas que se encuentran ante una web legítima. De hecho, la plantilla usada en este phishing ya ha sido observada en numerosas ocasiones a lo largo de los últimos años. El único cambio mínimamente destacable en estas campañas durante los últimos meses ha sido la mención a un pago de aduanas, conforme entró en vigor la nueva normativa de importaciones a la Unión Europea el pasado verano.

En la web fraudulenta vemos como se nos solicita el pago de una pequeña cantidad de dinero en concepto de reenvío del paquete para poder formalizar su entrega. Para ello se nos indica que el método de pago será el de tarjeta bancaria, la excusa perfecta para poder pedirnos sus datos.

Así es como llegamos al siguiente paso, que nos otro que un formulario donde se nos pide que introduzcamos los datos correspondientes a nuestra tarjeta bancaria para, supuestamente, formalizar el pago de los gastos de envío del paquete que tenemos pendiente recibir. Obviamente, la finalidad de este formulario no es otra que robar los datos de la tarjeta para realizar un uso fraudulento de la misma a cargo del saldo de la víctima.

Una vez obtenidos estos datos, los delincuentes tratarán de hacer un cargo en la tarjeta pero, para ello, necesitan el código que muchas entidades envían a sus usuarios para aprobar operaciones en las que se utilicen tarjetas de crédito o débito. Para obtenerlo, nada más sencillo que pedírselo directamente al usuario, el cual es probable que lo proporcione sin llegar a pensar que está siendo víctima de un engaño.

A pesar de que esta técnica es sencilla y se lleva observando desde hace tiempo, los delincuentes continúan obteniendo datos de tarjetas bancarias utilizando este método, lo que demuestra que los usuarios deben ir con más cuidado a la hora de introducir datos tan sensibles como este.

Preparación y duración de estas campañas

Por experiencia, sabemos que este tipo de campañas no suelen durar muchos días entes de que sean eliminadas, pero esto no evita que los delincuentes traten de sacar el mayor provecho de ellas. Un buen ejemplo es que desde hace años se toman la molestia de conseguir certificados para sus webs fraudulentas, de forma que estas aparezcan con el candado de seguridad y el uso del protocolo HTTPS, que muchos usuarios aún piensan que significa que la web es segura cuando lo único que indican es que las comunicaciones entre nuestro dispositivo y esa web se realizan de forma cifrada.

En los dos casos analizados en este artículo observamos que para la suplantación de Correos se ha utilizado un certificado gratuito de Let’s Encrypt, mientras que para la web fraudulenta que suplanta al banco ING los delincuentes han usado un certificado de GoDaddy. Ambos certificados han sido emitidos recientemente, y a pesar de que las web siguen siendo accesibles y algunos navegadores no las detectan como fraudulentas, sí que lo hacen las soluciones de seguridad de ESET.

Con la elevada cantidad de webs fraudulentas que se utilizan actualmente en campañas de phishing como las que acabamos de revisar, siempre es mejor acudir a la web oficial del banco o empresa que, supuestamente, nos envía un SMS para avisarnos de un problema en lugar de pulsar sobre el enlace proporcionado.

Conclusión

Aunque hayamos visto numerosas campañas de phishing y smishing en los últimos años muy parecidas a las que hemos revisado en este artículo, que se sigan utilizando las mismas técnicas y plantillas muy similares (si no idénticas) demuestra que aún quedan muchos usuarios por concienciar y mejoras que realizar en materia de seguridad por parte de los bancos y empresas para evitar este tipo de suplantaciones.

Josep Albors

Resumen de las amenazas más destacadas de febrero