Què és el Smishing?

L'smishing és una variant del phishing per aconseguir informació confidencial (contrasenyes, dades bancàries...) d'usuaris. L'Institut Nacional de Ciberseguretat d'Espanya (INCIBE), a través de la seva Oficina de Seguretat de l'Internauta (OSI), i el Banc d'Espanya, han alertat d'un notable augment dels atacs de smishing contra els clients bancaris. T'expliquem què és i algunes recomanacions de seguretat bàsiques per protegir-te.

Què és i per a què serveix?

LL'smishing és un tipus d'atac d'enginyeria social que es fa a través de la missatgeria del telèfon mòbil o per SMS. L'objectiu és obtenir informació personal, contrasenyes, números de targetes de crèdit o números de comptes bancaris i, en general, qualsevol tipus d'informació sensible o confidencial que permeti als ciberdelinqüents cometre estafes o fraus electrònics.

Per aconseguir el seu propòsit, l'atacant farà servir la suplantació d'identitat de persones i organitzacions. Per tant, si volen obtenir la informació bancària de les seves víctimes per cometre una estafa o frau, els atacants enviaran missatges SMS fent-se passar per l'entitat bancària de la víctima (SMS Spoofing) per obtenir les credencials d'accés a la seva banca electrònica (usuari i contrasenya) i el codi d'un sol ús que s'envia al mòbil d'usuari per confirmar l'accés.

Com es duu a terme?

Els atacants envien missatges a través de la missatgeria instantània o per SMS en els quals es fan passar per una organització o entitat de confiança de les seves víctimes i comuniquen, per exemple, un càrrec no autoritzat, una operació fraudulenta, un accés no permès o, fins i tot, la necessitat d'una autenticació o millores de seguretat. L'objectiu d'aquests missatges és alarmar l'usuari perquè faci alguna acció sense pensar-s'ho massa.

La comunicació pot induir l'usuari perquè truqui a un determinat número de telèfon per fer la gestió, on se li sol·licitaran les dades que necessita l'atacant, o perquè premi un enllaç que el redirigirà a un lloc web maliciós, on es demanarà a l'usuari que introdueixi les seves credencials de la banca electrònica (usuari i contrasenya) o altres dades sensibles.

L'smishing és la variant més simple d'aquest tipus d'atacs, tot i que els ciberdelinqüents poden fer estafes més elaborades, com ara l'SMS Spoofing, perquè són més difícils de detectar per als usuaris.

A l'SMS Spoofing, els atacants aconsegueixen que els missatges es rebin en nom del Banc mateix, aconseguint que fins i tot arribi al nostre fil de missatges legítim amb l'entitat. Això ho poden fer gràcies a serveis que donen forma al remitent. És a dir, a l'usuari que envia el missatge. Per tant, la recomanació és desconfiar sempre de missatges que sol·liciten informació personal o bancària i posar-se en contacte amb l'entitat mitjançant canals oficials per confirmar la veracitat del missatge, i també per comunicar a l'entitat la suplantació.

Frau mitjançant SMS amb redirecció de trucades

Hi ha una nova modalitat de frau SMS que, mitjançant un problema de seguretat, els cibercobtes demanen a l’usuari que introdueixi un codi al telèfon amb el qual configuraria una redirecció de trucades. El nombre del presumpte codi serà el que rep les trucades dirigides als usuaris.

Les conseqüències d’aquest tipus de fraus són que l’atacant confirma les operacions financeres com a autorització de transferències, assumint importants pèrdues econòmiques per al client.

Recomanacions de seguretat: com evitar la pesca per SMS

Davant de l'elevat nombre d'atacs de smishing i SMS Spoofing, el més recomanable és adoptar algunes recomanacions i hàbits de seguretat:

A Banc Santander disposem d'un número de telèfon per a aquest tipus de reports. Si sospites que has rebut un Smishing o SMS Spoofing, reenvia el SMS al 638 444 542.

Recorda que també pots reportar emails sospitosos a la bústies phishing@gruposantander.es. Si has donat dades confidencials, claus, contrasenyes o detectes moviments no desitjats en els teus comptes truca a Superlínia 915 123 123.