SMISHING, llegó también a Hoteles

Hay más de 4.000 millones de smartphones en el mundo y la gran mayoría puede recibir mensajes de texto (SMS) de cualquier número en el mundo. Muchos usuarios ya son conscientes de los peligroso que es hacer clic en un enlace en los mails, pero menos personas son conscientes de los peligros de hacer clic en los enlaces de los SMS.

SMISHING

Smishing es una manera de phishing en la que el atacante utiliza un SMS atractivo para engañar a los destinatarios fingiendo ser una entidad (red social, hotel, banco, etc.). Normalmente estos mensajes contienen enlaces que o bien sirven para enviar al atacante información privada o descargan programas maliciosos con el objetivo de robar esa información o de efectuar un cargo económico. Los usuarios confían mucho más en los mensajes de texto, por lo que el smishing suele ser lucrativo para los atacantes que buscan credenciales y datos privados.

¿Cómo funciona?

La mayoría de los casos de smishing funcionan como el phishing por correo electrónico. El atacante envía un mensaje incitando a quien lo recibe a hacer clic en un enlace o solicita una respuesta que contenga los datos privados del usuario: credenciales, información privada, datos de tarjeta y/o financieros, etc.

Los smishers muchas veces usan incluso el nombre y la ubicación para dirigirse a las víctimas (que han sido obtenidos previamente de fuentes públicas). Estos detalles hacen que el mensaje sea más creíble. Luego, el mensaje muestra un enlace que apunta a un servidor controlado por el smisher. El enlace puede llevar a un sitio de phishing de credenciales o malware diseñado para comprometer el smartphone. Luego, el malware se puede usar para espiar los datos del smartphone afectado o enviar datos confidenciales en silencio a un servidor controlado por el atacante.

Ejemplo SMS falso de estancia en hotel

Este SMS casi engañó a un colega que viaja mucho por trabajo y frecuentemente pernocta en hoteles. Recibió este mensaje falso de un hotel en el que por casualidad había pernoctado recientemente. En este caso el enlace conducía a un sitio fraudulento donde se podían realizar compras, imagino que con la intención de obtener los datos de su tarjeta. ¿Qué hubiera pasado si el enlace nos lleva a un clon de la web del hotel?

¿Cómo evitar SMISHING?

A continuación, os dejamos algunas formas para detectar y evitar el smishing:

  • Desconfía de remitentes desconocidos
  • No facilites la información que pide el mensaje, sobre todo si se trata de datos personales o credenciales o bancarios. Ni tu hotel ni tu banco te van a pedir nunca por SMS las claves de acceso ni los datos de las tarjetas
  • No hagas clic en los enlaces adjuntos
  • Bloquea el número de teléfono en el caso de no reconocer el origen y/o el emisor
  • Mantén actualizados el sistema operativo y las aplicaciones y cuenta con un antivirus
  • Guarda las claves y la información confidencial a través de cifrado.

Finalmente, si has sido o crees haber sido víctima de este tipo de ciberdelito, debes ponerte en contacto con la entidad afectada y denunciarlo ante las Fuerzas y Cuerpos de Seguridad (llama al 017 o utiliza el siguiente formulario https://www.incibe-cert.es/notificaciones)

Servicios Ciberseguridad de GMV: Servicios públicos digitales | GMV

GMV | Innovating Solutions