Conceptos básicos de Smishing y los ataques progresivos
En 2022, cualquier persona con un teléfono móvil probablemente ha visto un mensaje de texto fraudulento en su pantalla, incluso sin saberlo. El smishing es similar al típico mensaje de phishing (donde intentan obtener ilícitamente los datos privados de la víctima mediante un correo electrónico). En su lugar, utiliza canales móviles como SMS en vez de una dirección de email.
Desafortunadamente, estos esquemas de fraude tienen éxito aún cuando el target son expertos en tecnología. Hay informes regulares en los medios de comunicación sobre empresas de esta área que sufren infracciones, causadas por la divulgación inadvertida de credenciales debido a actos fraudulentos.
Estos ataques son una advertencia: el smishing no solo aumenta sino que también se ha vuelto más sofisticado. Su acierto depende de la capacidad del perpetrador para hacer que el mensaje parezca legítimo. Así como también de las estrategias para hacerlo, pues han evolucionado con el incremento de fraudes por SMS relacionados con la pandemia.
En todas sus formas, el smishing se caracteriza por estos tres pasos:
- Las personas reciben un mensaje en sus dispositivos móviles con un enlace que afirma ser de una fuente legítima.
- El enlace lleva a las víctimas a una página web aparentemente legítima con el fin de que comparta información personal. Podría estar relacionada con su cuenta bancaria o tarjetas de crédito.
- El estafador usa esa información para obtener ganancias delictivas.
Uno de los esquemas más exitosos que ha ganado popularidad masivamente sigue estos pasos: un supuesto cartero enviará un mensaje a la víctima, por ejemplo, “La entrega programada de FedEx para el número de paquete 2374619381 está retrasada. Inicie sesión en https://fedx-rescheduleasap.com para reprogramar la entrega”.
Al seguir el enlace la víctima verá un sitio web parecido a una página web oficial de FedEx, donde se le presentará un formulario para que introduzca sus datos personales.
Los costos crecientes del smishing
Smishing no es solo se ha convertido en un dolor de cabeza para las personas. Es una gran responsabilidad para las empresas y el target en las operaciones internas de las organizaciones. No importa cómo se ejecute el fraude por SMS, todos en el flujo de comunicación sufren.
¿Cuáles son sus consecuencias? El tiempo de inactividad para los usuarios, así como el de reparación para los equipos de TI. Asimismo, el daño a la reputación, el impacto comercial debido a la pérdida de propiedad intelectual, el costo de la respuesta a incidentes, la pérdida de clientes y el posible coste legal.
Si bien el smishing no se considera responsabilidad de una empresa, genera gastos masivos e inevitables en el servicio a las víctimas que han sido atacadas por un smisherman, es decir, un ciberdelincuente que incurre en este tipo de fraudes.
Por ejemplo, observa este ataque al banco OCBC en Singapur. Según Business Times, OCBC tuvo pérdidas valoradas en $13.7 millones tras pagar a 790 víctimas que entregaron la información de su cuenta a un smisherman. Independientemente de las consecuencias, el remitente, proveedor, autoridades y destinatario final, deben prevenir y defenderse de manera proactiva contra el smishing.
Consejos para las empresas que desean mitigar el riesgo de Smishing
- Mejore la seguridad. Enseña a los socios y usuarios cómo reconocer un ataque de smishing e informar sobre ello.
- Envía mensajes de texto simulados de smishing a todos los empleados anualmente. Mide el resultado para hacer ajustes en su capacitación de seguridad.
- Implementa la autenticación de dos factores en las aplicaciones. Esto dificultará que los ciberdelincuentes accedan a los sistemas. Incluso, si tienen el nombre de usuario y la contraseña del empleado.
- Restringe el acceso a la aplicación utilizando controles de dirección IP con un formulario de verificación adicional.
Prevención Avanzada de Smishing
Cuando CGNET informa que los intentos globales de smishing aumentaron en un 69%, la responsabilidad de reducir el fraude por SMS y evitar las ramificaciones, se convierte en una prioridad para cualquiera en el negocio de las comunicaciones móviles.
Soprano recomienda seguir estos dos pasos clave: educar a la organización sobre los riesgos actuales y asociarse con un experto para orquestar los mensajes críticos.
Suponga que está evaluando cómo mejorar la seguridad de su comunicaciones. En ese caso, Soprano ofrece un conjunto de funciones que ayudan a proteger a los clientes y destinatarios finales. Una de esas características es el Servicio de Detección y Prevención de Fraudes (API), recientemente lanzado. Una API independiente dedicada a detectar e indicar posibles números móviles fraudulentos en la plataforma.
En Soprano Connect los usuarios pueden filtrar números fraudulentos estableciendo parámetros configurables, que asignan valores a tres indicadores de riesgo: cambio de SIM, red confiable y desvío de llamadas.
A estas verificaciones de fraude se les asigna un valor de puntuación, donde la suma de los tres valores es igual a 100. Los usuarios tienen la opción de verificar los tres, dos o un solo tipo de fraude. Cuando compran esta licencia, junto con HTTP API y Connect API SMS, pueden decidir si enviar SMS o no, en función del umbral de riesgo predeterminado configurado dentro de la plataforma.
Con esta función, aquellos que envían mensajes confidenciales (como contraseñas de un solo uso), pueden retener mensajes de posibles números o dispositivos fraudulentos.
El fraude es un problema generalizado en las comunicaciones móviles. Las empresas tienen la responsabilidad de protegerse a sí mismas y a sus audiencias cuando es posible. Con la API del Servicio de Prevención y Detección de Fraudes, Soprano ofrece mayor protección al cliente y defensa proactiva para los destinatarios de sus mensajes.
Soprano Design
Soprano Design ha entregado mensajes móviles para instituciones financieras, hospitales, gobiernos, aeropuertos y otras industrias preocupadas por la seguridad durante 28 años. Las necesidades de nuestros clientes requieren un mayor nivel de servicio y entrega porque sus mensajes cumplen propósitos comerciales críticos.
Recursos adicionales:
Estamos orgullosos de pertenecer al Mobile Ecosystem Forum (MEF). El MEF es una asociación de comercio mundial. Sus miembros son empresas cuyos productos impulsan servicios móviles como mensajes, contenido, publicidad e IoT. Para leer información relacionada con estos temas en inglés, haz clic a continuación en cualquiera de los enlaces: