Z7_3OKIGJ82OG8D50QPUQJ9485LG5

Què és el Smishing?

L'smishing és una variant del phishing per aconseguir informació confidencial (contrasenyes, dades bancàries...) d'usuaris. L'Institut Nacional de Ciberseguretat d'Espanya (INCIBE), a través de la seva Oficina de Seguretat de l'Internauta (OSI), i el Banc d'Espanya, han alertat d'un notable augment dels atacs de smishing contra els clients bancaris. T'expliquem què és i algunes recomanacions de seguretat bàsiques per protegir-te.

Què és i per a què serveix?

LL'smishing és un tipus d'atac d'enginyeria social que es fa a través de la missatgeria del telèfon mòbil o per SMS. L'objectiu és obtenir informació personal, contrasenyes, números de targetes de crèdit o números de comptes bancaris i, en general, qualsevol tipus d'informació sensible o confidencial que permeti als ciberdelinqüents cometre estafes o fraus electrònics.

Per aconseguir el seu propòsit, l'atacant farà servir la suplantació d'identitat de persones i organitzacions. Per tant, si volen obtenir la informació bancària de les seves víctimes per cometre una estafa o frau, els atacants enviaran missatges SMS fent-se passar per l'entitat bancària de la víctima (SMS Spoofing) per obtenir les credencials d'accés a la seva banca electrònica (usuari i contrasenya) i el codi d'un sol ús que s'envia al mòbil d'usuari per confirmar l'accés.

Com es duu a terme?

Els atacants envien missatges a través de la missatgeria instantània o per SMS en els quals es fan passar per una organització o entitat de confiança de les seves víctimes i comuniquen, per exemple, un càrrec no autoritzat, una operació fraudulenta, un accés no permès o, fins i tot, la necessitat d'una autenticació o millores de seguretat. L'objectiu d'aquests missatges és alarmar l'usuari perquè faci alguna acció sense pensar-s'ho massa.

La comunicació pot induir l'usuari perquè truqui a un determinat número de telèfon per fer la gestió, on se li sol·licitaran les dades que necessita l'atacant, o perquè premi un enllaç que el redirigirà a un lloc web maliciós, on es demanarà a l'usuari que introdueixi les seves credencials de la banca electrònica (usuari i contrasenya) o altres dades sensibles.

L'smishing és la variant més simple d'aquest tipus d'atacs, tot i que els ciberdelinqüents poden fer estafes més elaborades, com ara l'SMS Spoofing, perquè són més difícils de detectar per als usuaris.

A l'SMS Spoofing, els atacants aconsegueixen que els missatges es rebin en nom del Banc mateix, aconseguint que fins i tot arribi al nostre fil de missatges legítim amb l'entitat. Això ho poden fer gràcies a serveis que donen forma al remitent. És a dir, a l'usuari que envia el missatge. Per tant, la recomanació és desconfiar sempre de missatges que sol·liciten informació personal o bancària i posar-se en contacte amb l'entitat mitjançant canals oficials per confirmar la veracitat del missatge, i també per comunicar a l'entitat la suplantació.

Frau mitjançant SMS amb redirecció de trucades

Hi ha una nova modalitat de frau SMS que, mitjançant un problema de seguretat, els cibercobtes demanen a l’usuari que introdueixi un codi al telèfon amb el qual configuraria una redirecció de trucades. El nombre del presumpte codi serà el que rep les trucades dirigides als usuaris.

Les conseqüències d’aquest tipus de fraus són que l’atacant confirma les operacions financeres com a autorització de transferències, assumint importants pèrdues econòmiques per al client.

Recomanacions de seguretat: com evitar la pesca per SMS

Davant de l'elevat nombre d'atacs de smishing i SMS Spoofing, el més recomanable és adoptar algunes recomanacions i hàbits de seguretat:

  • Mantenir una actitud de reserva cap a missatges o SMS en què se sol·licitin dades sensibles, accedir a un enllaç web o fer servir un codi QR. En cas de dubte, és preferible posar-se en contacte amb l'entitat remitent pels canals oficials per assegurar-nos que no es tracta d'una activitat fraudulenta.
  • No introduïu codis de configuració al teclat.
  • No proporcionar mai informació d'accés: usuari i contrasenya, codi d'accés que arriba per SMS al telèfon mòbil per confirmar operacions o gestions, ni qualsevol altra informació personal o bancària
  • No fer clic en els enllaços a llocs web ni fer servir codis QR que ens envien a través de missatgeria instantània o SMS, igual que en correus electrònics. Ves directament al lloc al qual vols anar a través del navegador o d'un cercador i no a través d'enllaços sospitosos o codis QR. 
  • Activar les alertes a l'aplicació de banca electrònica per detectar accessos o operacions no autoritzats. 
  • En cas de dubte, posar-se en contacte amb l'entitat bancària o organització a través dels canals de comunicació oficials (telèfon d'atenció al client, contacte a través del lloc web o correu electrònic). 
  • Recorda que, com a entitat bancària, des de Banco Santander mai no et demanarem a través de missatges de text ni trucades inesperades la teva informació bancària

A Banc Santander disposem d'un número de telèfon per a aquest tipus de reports. Si sospites que has rebut un Smishing o SMS Spoofing, reenvia el SMS al 638 444 542.

Recorda que també pots reportar emails sospitosos a la bústies phishing@gruposantander.es. Si has donat dades confidencials, claus, contrasenyes o detectes moviments no desitjats en els teus comptes truca a Superlínia 915 123 123.

Z7_3OKIGJ82OG8D50QPUQJ9485L84

Et pot interessar

×
${loading}
×