El smishing es una forma de phishing que usa los teléfonos móviles como la plataforma de ataque. El criminal ejecuta el ataque con la intención de recopilar información personal, incluyendo números de tarjetas de crédito o de seguridad social. El smishing se implementa a través de mensajes de texto, o SMS, dándole el nombre de “SMiShing” al ataque.
Los ataques de smishing usan SMSs (Short Message Service), mejor conocidos como mensajes de texto. Esta forma de ataque se ha vuelto cada vez más popular debido al hecho de que es más probable que la gente confíe en un mensaje que llega a través de una aplicación de mensajería en su teléfono que un mensaje recibido por correo.
Aunque muchas víctimas no vinculan las estafas de phishing con mensajes de texto, la realidad es que es mucho más fácil para los atacantes encontrar su número de teléfono que su correo. Hay un número finito de opciones cuando se trata de números de teléfono – en los Estados Unidos, por ejemplo, un número de teléfono tiene 10 dígitos.
Compare esto con un correo electrónico, el cual no está limitado en tamaño, y hay un número razonable de caracteres esperados. Los correos pueden incluir números, letras y símbolos – !, #, y %, por ejemplo. Es mucho más sencillo combinar diez números al azar para alcanzar a una víctima que encontrar una dirección de correo electrónico.
El hacker puede simplemente mandar mensajes a cualquier combinación de dígitos que tengan la misma longitud que un número de teléfono. Pueden intentar todas las combinaciones de dígitos sin ninguna repercusión. Gartner reporta que los usuarios leen el 98% de los mensajes de texto son leídos y responden al 45%. Esto hace que los mensajes sean un vector lógico de ataque para los hackers, especialmente cuando, como reporta Gartner, sólo el 6% de los emails reciben una respuesta.
Con un mensaje de texto, los hackers podrían intentar lograr varias cosas diferentes. Esto incluye robarle detalles personales al hacerse pasar como un representante de su banco. Podrían intentar que haga click en un link en el mensaje para conectarlo a la página web de su banco y “verificar” un cargo sospechoso reciente. Podrían pedirle que llame a su número de servicio a clientes, convenientemente incluido en el mensaje de texto, para hablar con ellos acerca de un cargo sospechoso reciente o una cuente comprometida.
Los hackers también pueden intentar la empatía para recopilar información sensible. Un ejemplo incluye mensajes donde el actor malicioso le pide realizar una donación para ayudar a víctimas de un huracán. El hacker le pide hacer click en el link incluido e ingresar los datos de su tarjeta de crédito, dirección y, a menudo, su número de seguridad social. Una vez que el hacker obtiene los datos de su tarjeta de crédito, el criminal puede realizar cargos mensuales a su cuenta para evitar sospechas.
Otro ejemplo de un ataque de smishing es una oferta de su proveedor de un descuento en un servicio o un mejor equipo telefónico. El mensaje le solicita hacer click en el link incluido para hacer válida la oferta. Una vez que se encuentra en la página falsa que se hace pasar por la de su proveedor, el sitio le pide confirmar el número de su tarjeta de crédito, dirección y posiblemente su número de seguridad social. Recuerde, si algo suena demasiado bueno para ser verdad, probablemente lo es.
El phishing que usa un programa de mensajería instantánea como Facebook Messenger o WhatsApp no cuenta técnicamente como smishing, pero sí está relacionado. El hacker explota el creciente nivel de confort que tienen los usuarios con abrir y responder a mensajes de extraños a través de redes sociales.
Como una estafa de phishing, la meta del ataque es que usted brinde datos personales, incluyendo contraseñas y/o números de tarjetas de crédito. Para obtener esa información, el atacante podría ofrecerle un trato o algo de valor. A menudo se incluye un link en estas ofertas.
Si bien un mensaje de un extraño que está buscando información es una buena indicación de una posible estafa de phishing, puede llegar a parecer que estos ataques vienen de parte de gente que conoce y con quien ya está conectado. Esto sucede a menudo cuando una cuenta ha sido hackeada o clonada.
Artículos Relacionados
Investigaciones Relacionadas