¿Por qué caemos tan fácilmente en las estafas de phishing por SMS?


A continuación, le mostramos cómo detectar estafas en las que los delincuentes utilizan mensajes de texto engañosos para enganchar sus marcas.

¿Alguna vez ha recibido un mensaje de texto de una empresa de mensajería con la que está familiarizado y ni por un momento lo cuestionó? ¿Por que lo harias? Ahora pedimos mucho en línea y todas esas notificaciones de entrega a menudo se pueden fusionar en una. Incluso si no esperaba nada, a menudo pueden ser tan creíbles que, cuando se incluye un enlace, es posible que incluso se sienta obligado a hacer clic en él y obtener más información.

Recientemente noté que puede haber un aumento en el phishing de SMS (también conocido como smishing) de supuestas empresas de entrega. El otro día, mi suegra me envió un mensaje de pánico:



Le pedí una captura de pantalla del mensaje para ver con qué estaba lidiando.



Claramente, este fue un texto sonriente diseñado para atraer a las víctimas a hacer clic en el enlace y luego atraerlas para que se separen de su efectivo en algún lugar a lo largo de la línea. Pero, ¿por qué empiezo a ver tantos ahora? Justo antes de Navidad, noté que mis líneas de tiempo en las redes sociales se estaban llenando de gente enojada que recibía cantidades cada vez mayores de estos mensajes y algunos se estaban enamorando de ellos con demasiada facilidad.

Hay una cosa en unique en la que los estafadores son buenos: la manipulación. Además, constantemente reforman su oficio, adoptando nuevas técnicas con el fin de tentar a la gente a hacer lo que de otro modo «con suerte» pensarían dos veces. Muchos de nosotros nos hemos acostumbrado a los correos electrónicos de phishing clásicos, y cada vez más personas compartir mejores prácticas y consejos de sensibilización.

Sin embargo, los mensajes de smishing no siempre obtienen la misma cantidad de publicidad, lo que puede favorecer a los delincuentes que están detrás de ellos. Los mensajes SMS no tienen una dirección de remitente que pueda verificar visualmente rápidamente (aunque esto por sí solo no es garantía de que ningún mensaje sea auténtico) y algunos incluso pueden adjuntarse inteligentemente a hilos de chat anteriores dentro de la correspondencia legítima en su teléfono y, por tanto, en primera vista, parece genuino incluso para los profesionales de la seguridad.

Antes de cubrir los consejos sobre lo que debe hacer si recibe uno de estos mensajes, quería compartir con usted una investigación propia sobre algunos de estos mensajes para ver qué podría descubrir. Creo que es importante saber cómo se construyen los mensajes y comprender la psicología detrás de ellos. Después de todo, estas campañas deben estar funcionando de lo contrario, no seguirían inundando nuestras bandejas de entrada.

Decidí ver qué había detrás de los enlaces, así que utilicé una máquina separada en una red separada diseñada para resistir cualquier sitio potencialmente malicioso al que pudiera tener que ingresar. El enlace era una URL abreviada que me llevó aquí:



No hay ningún intento de que la URL sea very similar a ninguna empresa de mensajería conocida, pero contiene palabras que son similares a las esperadas. Primero pensé que el subdirectorio del enlace enviado podría haber sido exclusivo de mi suegra, pero generé muchos otros subdirectorios y no pude encontrar ningún otro que funcionara. Esto me ayudó a aprender que en este caso, los delincuentes no llevaban un registro de qué números habían hecho clic y cuáles no. Esto puede suceder en algunos casos en los que las víctimas se colocan en «listas de tontos».

La primera página me pidió que programe una entrega con la tarifa que se muestra. Intenté visitar esta página utilizando mi pink privada virtual (VPN), como si fuera de diferentes países, pero descubrí que solo funcionaba desde el Reino Unido, una señal de que este phish no period tan sofisticado. Sin embargo, mi parte favorita es que si miras de cerca, los estafadores usaron el nombre de la empresa «IPS» en lugar de UPS, pero se tomaron el tiempo para copiar el logotipo. ¿Por qué no utilizar el logotipo correcto? No es probable que los derechos de autor sean una preocupación en su agenda.



Después de hacer clic en las indicaciones, llegué a una página que sugería que el «paquete» llegaría en un plazo de 24 a 48 horas. Le di medio punto por ser lo suficientemente inteligente como para que cada vez que hacía clic en el enlace «programar la entrega ahora», las fechas que siguieron eran precisas.



Sin embargo, cuando hice clic en «Ingresar información de envío», me dirigieron a otro sitio por completo y me llevó a una oferta especial de Iphone, que parecía extraña: ¡por solo £ 1, podía comprar un teléfono! Continuó solicitando datos personales, incluidos los datos de la tarjeta de crédito y los números CVV. Lo que me parece extraño es que si los estafadores son capaces de atraer a la gente a esta etapa, ¿por qué cambiar de táctica y ofrecer un teléfono móvil con grandes descuentos en lugar de centrarse en la “entrega” más plausible?

Hacia adelante…

También me enviaron recientemente otro mensaje sonriente con el que me «impresionó» más. Esta vez fue un enlace a un sitio falso de Royal Mail. Aunque la URL ni siquiera intenta parecerse, el sitio world-wide-web tenía una sensación más genuina y auténtica que el sitio anterior de la empresa «IPS».



Como puede ver, el enlace falso de la página principal de Royal Mail al que me llevaron es el que esperaría que se vea:



Después de hacer clic en el enlace «programar una nueva entrega», se me pidió que ingresara mi información personal, como mi nombre, dirección, fecha de nacimiento, datos bancarios y, por supuesto, el apellido de soltera de mi madre. (¿Por qué Royal Mail requeriría esto?)



Luego pude continuar con los detalles del pago. Después de completar todos estos detalles, se mostró una pequeña tarifa (£ 2.95) para que el paquete «se entregara», momento en el que se me pidió que completara algunos detalles de la tarjeta de crédito. Intenté completar esto con varias líneas de datos falsos, pero había comprobaciones por ejemplo, el número de la tarjeta de crédito tenía que ser un número de 16 dígitos. Sin embargo, me di cuenta de que me habían llevado a otro sitio website, que era, de hecho, un sitio website genuino que había sido pirateado y utilizado para esta estafa. Avisé a los administradores del sitio y ahora el sitio no funciona.



Después de investigar un poco, encontré a una víctima que recientemente le dijo a la BBC sobre cómo había recibido un correo electrónico como este que pretendía ser de la empresa de mensajería DPD. Se le pidió que pagara £ 2 por un reenvío y, desafortunadamente, ingresó sus datos bancarios como en las solicitudes que se ven en las capturas de pantalla anteriores. Cuando revisó el saldo de su cuenta dos días después, descubrió una nueva compra de Apple Uk por £ 409 que no había autorizado. Aunque el banco del hombre reembolsó la cantidad complete perdida por esta estafa, no todos tienen tanta suerte.

No se apresure a hacer clic

A medida que estos mensajes aumentan en frecuencia y creatividad, recuerde pensar dos veces antes de cualquier mensaje que le pida que actúe rápidamente, ya sea para asustarlo o porque es un gran negocio. Mensajes que afectar tus emociones te están manipulando sin que tu subconsciente lo sepa. Esta es la psicología inteligente que se utiliza para hacer que use su cerebro rápido antes de que su cerebro lento y razonador se establezca y se haga cargo, cuestionando tales comunicaciones.

Además, necesitamos hacer llegar el consejo y la conciencia a aquellos que pueden ser más susceptibles a tales contras. Aquellos, como mi suegra, que con demasiada frecuencia son muy confiados y propensos a caer en esquemas fraudulentos. Como lector de WLS, probablemente sea un profesional experimentado en la detección de un mensaje falso, pero aquellos que son menos afortunados de poseer esta habilidad son los que necesitamos ayudar y apoyar. RECUERDE: ¡No se apresure a hacer clic!





Enlace a la noticia primary