Investigadores de seguridad advierten a los usuarios de Verizon sobre una estafa agresiva de Smishing
El phishing siempre ha sido uno de los favoritos de los ciberdelincuentes. Hay algunas buenas razones para esto. No necesita tener muchas habilidades técnicas para llevar a cabo una estafa de phishing exitosa, e incluso las campañas a gran escala no requieren grandes inversiones en términos de dinero y tiempo. Mientras tanto, a pesar de todas las advertencias, la ingeniería social en los correos electrónicos sigue siendo suficiente para engañar a los usuarios para que hagan clic en los enlaces y regalen información confidencial.
Smishing es una variación del phishing que está dirigido a usuarios de teléfonos móviles y se realiza a través de mensajes de texto. Los ataques smishing no son tan comunes como las estafas más tradicionales, pero como lo demuestra una campaña reciente dirigida a los usuarios de Verizon, esta técnica tiene algunas ventajas distintas que podrían tentar a bastantes ciberdelincuentes.
Table of Contents
Los delincuentes intentan engañar a los clientes de Verizon con sus datos personales
HowToGeek descubrió e informó la estafa, y Chris Hoffman, editor en jefe del sitio web, describió el ataque smishing como "el más sofisticado". Aunque esta declaración puede ser debatida, hay pocas dudas de que los delincuentes pensaron un poco en la operación.
Como puede imaginar, el ataque comienza con un SMS, que le dice que "la seguridad de su cuenta de Verizon necesita validación". Si hace clic en un enlace, podrá "validar su cuenta y evitar que se deshabilite su acceso". Como puede ver, la gramática es tan incómoda como cabría esperar de este tipo de ataque. Lo que es un poco inusual es el hecho de que el enlace que los usuarios deben hacer clic no ha pasado por un servicio de acortamiento de URL. Dicho esto, si no lo miras muy de cerca, podrías engañarte y pensar que realmente proviene del proveedor de telecomunicaciones.
El enlace que describió HowToGeek condujo a una página de phishing alojada en vwireless[.]xyz (que estaba inactiva en el momento de la escritura) y se describió como "sorprendentemente convincente". De hecho, las capturas de pantalla se parecen bastante al original, y no hay errores gramaticales evidentes, lo que sugiere que en lugar de crear las páginas de estafas por su cuenta, los delincuentes usaron un kit de phishing disponible en los mercados subterráneos.
El sitio web falso comienza solicitando su número de teléfono móvil o ID de usuario y contraseña. Después de eso, se le solicita el número PIN de su cuenta y, finalmente, se le informa que debe proporcionar cierta información personal. La página le dice que si ingresa sus nombres, dirección y código postal de facturación de cinco dígitos, ayudará a Verizon a proteger mejor su cuenta. Una vez que haya dado todos los detalles, será redirigido al sitio web real de Verizon.
La página de phishing no le permitirá hacer clic a menos que haya completado todos los campos, pero cuando los reporteros de HowToGeek lo probaron, utilizaron información falsa, lo que muestra que el sitio web de estafa no valida los datos en tiempo real.
El daño potencial es bastante significativo.
Si todo lo anterior le suena familiar, y si cree que puede haber caído en la trampa, debe llamar a Verizon y rectificar el problema de inmediato porque si se apoderan de su cuenta con éxito, los delincuentes pueden causar todo tipo de estragos. Pueden solicitar un nuevo teléfono inteligente y acreditarlo en su factura, y también pueden realizar un ataque de intercambio de SIM en su contra. Si ha reutilizado la misma contraseña en varios sitios web, puede ser víctima del relleno de credenciales y también perder el acceso a otras cuentas.
En general, si fijan su vista en los clientes de Verizon podrían pagar generosamente por los delincuentes, y con su elección de ir a la suplantación de identidad en lugar de la suplantación de identidad tradicional, esperan maximizar el número de víctimas.
Smishing vs. phishing: ¿cuál es el mejor?
La principal ventaja de Smishing es que la víctima está inevitablemente en su teléfono durante la operación. La pantalla más pequeña hace que sea más difícil detectar los signos reveladores de una estafa. Como mencionamos anteriormente, a primera vista, la URL en el mensaje de texto parece semi legítima, y debido a que el espacio en la pantalla es limitado, la barra de direcciones de un navegador móvil puede permanecer oculta la mayor parte del tiempo. Como resultado de todo esto, es más probable que no te des cuenta de que estás en la dirección incorrecta.
En este caso, elegir el mensaje de texto en lugar del correo electrónico tradicional de phishing es una llamada particularmente buena porque, como proveedor de telecomunicaciones, es probable que Verizon lo contacte a través de un SMS. Otro factor que mejora las posibilidades de éxito de los delincuentes radica en el hecho de que, si bien las estafas de phishing por correo electrónico han existido durante años, smishing es una tendencia relativamente reciente, y menos personas saben que el esquema se ha adaptado para funcionar a través de mensajes de texto.
Como siempre, la mejor defensa contra ataques como estos es la precaución y la conciencia. Los usuarios deben aprender que los delincuentes ahora están usando SMS para engañar a las personas para que den su información, y deben entender que un enlace en un mensaje de texto inesperado puede ser tan peligroso como un enlace en un correo electrónico.
