Español | English
rss facebook linkedin Twitter

Smishing

Smishing, o Phishing a través de SMS, consiste en el envío de SMS a teléfonos móviles con el fin de obtener información privada de los usuarios. Como en el caso del Phishing, un ataque de smishing está diseñado para que la víctima se vea obligada a dar una respuesta inmediata a un problema que le afecta directamente.
El Smishing es un problema creciente para todos los sectores bancarios, y se está volviendo una metodología de preferencia para los criminales porque cada vez es más frecuente conectarse a Internet a través del teléfono móvil.

En el tipo de ataque más común, todo comienza con un SMS supuestamente enviado desde un banco al usuario. Este dice que su cuenta ha sido bloqueada porque alguien ha intentado acceder introduciendo el PIN erróneo tres veces seguidas. Se proporciona además un número de teléfono donde se puede "verificar" el estado de la cuenta. Cuando el usuario llama, en realidad está cayendo en la trampa. Un sistema de voz automático pregunta por datos de acceso a la cuenta bancaria y datos personales, como número de la tarjeta de crédito, PIN, DNI, etc.

La tasa de éxito del Smishing es mayor que la del Phishing estándar porque los usuarios no están acostumbrados a recibir spam en el teléfono móvil. Tendemos a pensar que los SMS que nos llegan al móvil son más legítimos que los e-mails. Además, mientras que la mayoría de e-mails de Phishing acaban bloqueados por los filtros de spam, no hay mecanismos extendidos para protegerse contra la llegada de SMS maliciosos.

Como con otros tipos de Phishing, las bandas de criminales pueden aprovecharse de servicios legítimos para atacar a los usuarios de teléfonos móviles. Por ejemplo, existen servicios para enviar grandes cantidades de mensajes desde un ordenador hacia miles de móviles. Los criminales incluso ofrecen estos servicios a otros criminales, cobrándoles un precio fijo por una cantidad dada de SMS enviados (40 ó 50 dólares por cada 1000 SMS enviados, por ejemplo).

Por último, también es posible comprar software que enmascara el ID del emisor para que parezca que el mensaje es enviado desde una dirección de e-mail que pertenece a una entidad legítima.

Paco Alemán
S21sec e-crime

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login