Esta semana surgió una nueva alerta entre los usuarios de internet ya que fueron cientos los casos de gente que cayó en un caso de smishing. Ciberatacantes se han hecho pasar por la empresa Payoneer y mandaron mensajes en su nombre pidiendo que entren a un link adjunto, que por supuesto, era malicioso. Generando así perdida de dinero y de datos.
¿Qué es el smishing? El smishing es un tipo de delito o actividad criminal a base de técnicas de ingeniería social con mensajes de texto dirigidos a los usuarios de telefonía móvil. Se trata de una variante del phishing.
Distintos usuarios en twitter/X publicaron imágenes sobre la manera en que también cayeron en el fraude a través de mensajes maliciosos:
A través de ellas podemos ver como los ciberatacantes han replicado la página oficial del sitio, esto sumado a la urgencia del mensaje y el que se trate de dinero lo hace un escenario perfecto para que los usuarios entren al link sin pensarlo dos veces.
A través de la red social Reddit, un hombre hizo público su testimonio donde cuenta cómo fue víctima de esta estafa:
¿Es segura la autenticación de doble factor de autenticación (2FA) con SMS?
Como podemos ver en este caso, un atacante en nombre de Payoneer solicito la autenticación en 2 pasos a través de un SMS, queda en evidencia que este método basado en SMS no es el más seguro. El NIST afirma que la autenticación de dos factores a través de un mensaje de texto es un proceso inseguro porque es más sencillo para cualquier cibercriminal obtener el número de teléfono y, a su vez, el problema radica en que el operador del sitio Web no tiene forma de verificar si la persona que recibe el código 2FA es el destinatario correcto. Esto es lo que se lee en el párrafo pertinente del último proyecto DAG
Por eso recomendamos que siempre que debamos realizar una autenticación sea a través de otros métodos, como la biometría o token.
Buenas prácticas para protegerte del smishing:
1) Detectar errores gramaticales en el mensaje.
2) Revisar que el enlace coincide con la dirección a la que apunta.
3) Comprobar el remitente del mensaje.
4) Contactar inmediatamente con la organización para verificar que el correo o mensaje que has recibido sea verídico.
5) No contestar nunca el mensaje y eliminarlo.
Los casos de phishing, y todas sus variantes, también podrían afectar a su organización. No comprometa los datos ni la seguridad de su empresa.
Programe su próxima prueba de phishing de manera gratuita
