SMiShing, ¿Por qué siguen siendo tan efectivas las amenazas que usan mensajes SMS?

Los vectores de ataque que utilizan los delincuentes para propagar sus amenazas pueden ser muy variados pero hay algunos que destacan sobre el resto por su efectividad. El correo electrónico sería uno de ellos a pesar de que lleva siendo usado de forma fraudulenta desde hace décadas, pero hay otro vector que, en pleno 2021, también está siendo usado para propagar varias amenazas con un notable éxito. Este no es otro que los mensajes SMS, y a continuación vamos a ver por qué resultan tan efectivos.

Caída y auge de los SMS

¿Recuerdas la última vez que enviaste un mensaje SMS a un amigo, familiar o compañero de trabajo? Salvo por causa mayor, es raro que sigamos usando este tipo de mensajería tan popular a finales de los 90 y durante buena parte de la primera década de los 2000. Su finalidad principal, la de enviar mensajes entre usuarios fue sustituida por aplicaciones de mensajería instantánea como WhatsApp, y, a pesar de que las operadoras incluyeron el envío de mensajes SMS entre sus ofertas, los usuarios los abandonaron por las otras alternativas existentes que tenían muchas más funcionalidades.

Aun así, los mensajes SMS han seguido teniendo su nicho de mercado al ser utilizados por empresas de todo tipo para enviar alertas y promociones, e incluso en varios países se utilizan como sistema de alerta ante situaciones de emergencia provocadas por catástrofes naturales o de otra índole.

Sin embargo, para la mayoría de usuarios, la recepción más habitual actualmente de mensajes SMS suele estar relacionada con operaciones bancarias o seguimiento de pedidos realizados en comercios online. Esto es algo en lo que los delincuentes se han estado fijando desde hace tiempo, y, recientemente, han intensificado sus campañas de amenazas utilizando precisamente estos mensajes como vector de propagación.

De la misma forma que el phishing es la suplantación de identidad, normalmente mediante el envío de emails que redirigen a una web o a la descarga de un archivo malicioso, el SMiShing utiliza mensajes SMS para incluir enlaces que descargan aplicaciones maliciosas en nuestro dispositivo o nos redirigen a webs fraudulentas preparadas por los delincuentes.

Como ya hemos indicado, esta técnica tiene muchos años a sus espaldas, pero ha sido en los últimos meses donde ha experimentado un auge considerable tanto en España como en otros países. Varios han sido los usuarios afectados por este incremento en las amenazas propagadas por este medio, si nos atenemos al creciente número de consultas que hemos recibido desde hace ya meses, las cuales nos han permitido identificar campañas delictivas recurrentes y que han tenido un éxito considerable.

Campañas destacadas

Una de las campañas más destacadas de las últimas semanas es la que utiliza un mensaje SMS para proporcionarnos un enlace en el que, teóricamente, hay información sobre un envío que tenemos pendiente de recibir. Este mensaje dice provenir de Correos y se lanza de forma indiscriminada a los números de una importante cantidad de usuarios.

Este enlace pertenece a una URL que ha sido registrada previamente por los delincuentes y que tiene pocos días de antigüedad (en ocasiones, tan solo unas horas). Si el usuario accede a esa web con su dispositivo móvil Android suele encontrarse con una web diseñada para simular ser una página oficial de Correos, usando su nombre y logotipo, y desde allí se nos invita a descargar una aplicación para realizar el seguimiento. Además, se ofrecen instrucciones para instalar la aplicación desde orígenes desconocidos, ya que, por defecto, Android bloquea estas aplicaciones si no se descargan desde un mercado de apps oficial.

La aplicación descargada contiene en realidad un troyano bancario, por lo que si el usuario accede a la banca online desde su dispositivo Android, los delincuentes podrán robar las credenciales de acceso e interceptar los futuros mensajes SMS enviados como doble factor de autenticación, que permiten confirmar la realización de transferencias bancarias.

También puede darse el caso de que el mensaje enviado por SMS nos redirija a una web supuestamente pensada para hacer el seguimiento de nuestros envíos pero que, en realidad su finalidad sea la de robar los datos de nuestra tarjeta de crédito. Esto sería un caso más cercano al del phishing clásico que suele suplantar a entidades bancarias conocidas para tratar de robar los datos de acceso a ellas o, directamente los de la tarjeta de crédito.

En estos casos, vemos como los delincuentes utilizan el nombre de una entidad bancaria para alertarnos de algún problema en nuestra cuenta y generar así una sensación de apremio que consigue que muchos usuarios bajen la guardia y pulsen sobre el enlace para acceder a la web fraudulenta.

Este tipo de webs suelen parecerse bastante a las legítimas, y hace tiempo que los delincuentes empezaron a comprar certificados válidos para que también mostrasen el conocido candado para certificar que la conexión entre el sistema de la víctima y la web fraudulenta es seguro. Sin embargo, esto no significa que la web lo sea, tal y como han podido comprobar numerosos usuarios que han visto desaparecer importantes cantidades de dinero de sus cuentas bancarias.

Soluciones y medidas a adoptar

Ante el creciente número de ejemplos como los que hemos descrito en este artículo, los usuarios debemos ser muy conscientes de estas amenazas y aprender a reconocerlas, así como también adoptar medidas que nos ayuden a identificar y bloquearlas. La primera de esas medidas pasa por instalar una solución de seguridad tanto en nuestro ordenador como en nuestro dispositivo Android, para que nos ayude a detectar las webs fraudulentas y aplicaciones maliciosas que se descarguen de ellas.

Aun con esta solución de seguridad ya instalada, resulta muy importante aprender a identificar este tipo de amenazas para ahorrarnos más de un disgusto. Empezando por los enlaces que se proporcionan en estos mensajes SMS, podemos observar como muchos de ellos contienen palabras clave para que pensemos que están realmente relacionados con la empresa suplantada.

En caso de recibir este tipo de mensajes, lo mejor para despejar las posibles dudas es evitar pulsar sobre los enlaces que se adjuntan y acceder directamente a la web de la empresa que se menciona para realizar las consultas o trámites pertinentes. Si nos fijamos, por ejemplo, en la web utilizada para suplantar al BBVA y a la que se accedía tras pulsar en el enlace proporcionado por el SMS, vemos como la apariencia podría pasar por auténtica para muchos usuarios y, además, se incluye el ya mencionado candado de seguridad.

Sin embargo, al revisar la URL de esa web vemos como el dominio principal “giize[.]com” no parece tener mucha relación con la web legítima, lo que puede ser un claro indicativo de que estamos ante un caso de phishing. Lo podemos terminar de comprobar si accedemos a la web legítima introduciendo su URL en nuestro navegador.

Aquí ya podemos observar varias diferencias ya no solo en la dirección de la web, sino también en su diseño, algo que debería servirnos para confirmar que ese mensaje que hemos recibido es fraudulento. Lo mismo sucede con el caso de Correos, ya que si revisamos uno de los casos más recientes de phishing que suplantan a esta empresa comprobamos como aunque el diseño de la página parece bastante logrado y se cuenta con el candado de seguridad, el dominio usado no tiene nada que ver con el oficial.

Si accedemos a la web de Correos España, veremos como el diseño es diferente y el dominio hace referencia a la empresa. Hemos de tener en cuenta que los diseños se pueden llegar a copiar por parte de los delincuentes hasta hacerlos prácticamente indistinguibles a simple vista y, aunque esto no sea lo normal, ese es el principal motivo por el cual es muy recomendable acceder a cualquier tipo de web introduciendo su dirección en nuestro navegador en lugar de pulsar sobre un enlace recibido por SMS, email o cualquier otro medio.

Conclusión

El creciente número de casos de SMiShing que estamos observando durante los últimos meses indica que aún queda mucho por hacer en labor de concienciación. La mayoría de usuarios conoce o ha oído hablar del phishing por email, aunque todavía haya mucha gente que caiga en este tipo de trampas, pero el SMiShing parece que no ha tenido tanta difusión y, al ser este tipo de mensajes usados solamente para ciertas comunicaciones, es más fácil pensar que se tratan de mensajes legítimos y pulsar en los enlaces que se incluyen.

Especialmente vulnerables resultan aquellas personas de avanzada edad que no están acostumbradas a utilizar otros canales de comunicación y que son más susceptibles a caer en este tipo de trampas. Por ese motivo animamos a los lectores de este artículo a que conciencien a sus padres, madres y abuelos para evitar que los delincuentes se enriquezcan a su costa.

Josep Albors

“Multa no pagada”: El troyano Mekotio implementa nuevas técnicas para dificultar su detección