Recibir un SMS con malas intenciones (suplantación del Banco de Sabadell)

El smishing es un tipo de ataque de ingeniería social  que se realiza a través de la mensajería del teléfono móvil o SMS. El objetivo es obtener información personal, contraseñas, números de tarjetas de crédito o números de cuentas bancarias y cualquier tipo de información sensible o confidencial que permite a los ciberdelincuentes cometer estafas o fraudes electrónicos. Por otra parte, el phishing es una forma muy común de ingeniería social, con la intención de engañar, presionar o manipular a las personas para que faciliten información o activos a ciberdelincuentes. Los ataques de ingeniería social basan su éxito en tácticas de error humano y la presión. El atacante normalmente se hace pasar por una persona u organización en la que la víctima confía (por ejemplo, una entidad bancaria en la que se tiene cuenta corriente) y crea una sensación de urgencia que lleva a la víctima a actuar precipitadamente. Los ciberdelincuentes utilizan estas tácticas porque es más fácil y menos costoso engañar a las personas, que atacar un sistema o una red. En este artículo, vamos a mostrar un caso práctico, que hará más fácil la comprensión de estos métodos dirigidos a diario contra millones de personas en todo el planeta, unas caen en la trampa y otras no.

A día de hoy, muy poca gente habrá que no haya recibido un SMS en su móvil, mediante el cual le avisan de un paquete extraviado, un servicio que va a ser anulado por impago o una cuenta bancaria que por diversas razones va a ser bloqueada. En todos estos casos influye la casualidad, es decir si nos avisan de que nuestra cuenta de Netflix va a ser bloqueada por una razón determinada, siempre haremos más caso al mensaje si somos clientes de dicha plataforma de streaming, que si no lo somos y por lo tanto hacemos poco o ningún caso a dicho «aviso».

Lo mismo ocurre cuando es un paquete lo que estamos esperando o somos usuarios de una cuenta corriente en el banco que se nos indica en el mensaje, en ese caso, la urgencia del mensaje y la magnitud de las consecuencias sobre las que nos advierten si no hacemos caso, nos llevan a pinchar en el enlace facilitado y entrar en la web a la que se nos dirige, para intentar solucionar el problema. En este caso, probablemente estemos facillitando información personal a ciberdelincuentes, que la van a usar con fines maliciosos.

A día de hoy, es muy fácil conseguir nuestro número de teléfono, el cual muchas veces es facilitado por la propia operadora, empresas con las que hemos contratado algún servicio y a su vez lo «ceden» a sus socios, o bien, es conseguido por los ciberdelincuentes de bases de datos que han sido atacadas. Ni la Lista Robinson, en la que tras apuntarnos se nos debería garantizar que dejemos de recibir llamadas comerciales o spam, ni la última ley aprobada por el gobierno. A muchas empresas les sale más rentable pagar las posibles sanciones, si las hubiera, para seguir intentando captar clientes, y a los ciberdelincuentes les sale gratis utilizar estos métodos, ya que es mayor el beneficio que van a obtener.

En este artículo, vamos a analizar un SMS real, cuya información contenida vamos a explicar, para que en la medida de lo posible, quienes hayan tenido la suerte de no recibir ninguno, puedan estar prevenidos ante esta situación en el futuro.

EL MENSAJE RECIBIDO

Este mensaje recibido vía SMS, lo vamos a analizar al detalle, para ver aquellos aspectos que a una persona poco recelosa o confiada se le pueden llegar a escapar, haciendo que caiga en la trampa de los ciberdelincuentes.

EL GANCHO

En algún punto de este SMS, aparecerá la entidad, empresa u organismo que los ciberdelincuentes pretenden que de forma creíble, sea la que nos envía el aviso y que en muchos casos, al menos puede despertar curiosidad en nosotros, algunas veces llegando a generarnos indignación o temor, según lo que se nos advierta que puede ocurrir.

En este mensaje, pretenden que creamos que sea el Banco de Sabadell quien nos realiza la advertencia. La persona que lo recibió, no tiene cuenta en dicha entidad financiera, por lo que no le preocupaba demasiado. Pero, imaginemos que por casualidad, la entidad elegida sí que es una en la que tenemos nuestra cuenta corriente, empresa de servicios en la que tenemos contratado alguno o un organismo oficial, como podría ser el Ministerio de Hacienda. En ese caso, algo de inquietud nos van a generar.

Las entidades bancarias, organismos oficiales, incluso los expertos en ciberseguridad, nos advierten constantemente que este no es el método adecuado ni habitual, para solicitar o comunicar con el cliente o usuario, pero quienes lo desconocen, cuando reciben un mensaje de este tipo se pueden poner a temblar. Principalmente, personas de edad avanzada.

Como hemos comentado, en este caso, los ciberdelincuentes han decidido introducir en el apartado destinado para ello, en la herramienta de smishing que suelen usar para enviar mensajes masivamente, el nombre de esta entidad bancaria, de ahí que aparezca entre corchetes. Quienes por casualidad sí tengan cuenta en dicha entidad, al leer el motivo de la comunicación, comenzarán a ponerse nerviosos.

Nos facilitan un nº de teléfono

Como se puede apreciar en el mensaje, se nos muestra el número de móvil desde el que se nos envía el SMS. Puede tratarse de un número virtual, al que si llamamos no vamos a obtener respuesta o puede ser un número de prepago, el cual ha pasado ya por varias manos, por lo tanto quien nos envía el SMS, no es el titular de dicho número.

Dicho número de teléfono suele ser una alternativa más para que si el receptor pretende contactar, desde el mismo se le intentará dar credibilidad al mensaje recibido, pudiendo llegar incluso a intentar recabar a través de la llamada, alguna información que los ciberdelincuentes desconozcan y que les pueda llegar a ser de interés.

Las entidades bancarias, nunca van a solicitar o facilitar información vía telefónica, por lo que no es nada recomendable llamar a un nº de teléfono desconocido o que nos solicita información mediante un simple mensaje SMS.

Como ya se ha comentado antes, los atacantes disponen de herramientas para el envío masivo de SMS, por lo que podemos ser una de entre los miles de personas que han recibido el mismo mensaje.

Como se puede apreciar en la imagen anterior, es de gran utilidad la aplicación que incorporan muchos teléfonos móviles hoy en día, y que nos permite distinguir un mensaje potencialmente fraudulento. Con el signo de advertencia que nos aparece a la izquierda del mismo y en color rojo, se nos avisa de que se trata de un mensaje de spam. Esta función está presente en las versiones recientes de Android e iOS. Por lo que nos será de gran ayuda tenerla activada, tanto para la recepción de SMS como de llamadas.

La urgencia

En el texto del mensaje, se nos va a trasladar un asunto o información que genere urgencia y que hará que no nos planteemos demorar la solicitud, evitando que dejemos tiempo para pensar incluso, ya que en este caso, si se nos bloquea la cuenta bancaria, las consecuencias que ello podría tener para nosotros podrían ser catastróficas. Los ciberdelincuentes lo saben.

El enlace a la web

Para «facilitarnos» la solución, los atacantes adjuntan un enlace a una página web, que supuestamente pertenece a la entidad bancaria que ha contactado con nosotros, pero en cuya URL, no vamos a apreciar indicio alguno de que se trate de una web donde figure el dominio del Banco Sabadell, en este caso. En otros, con errores ortográficos incluídos, puede parecernos que la web es real, pero no lo es. Por lo tanto, contando siempre con las herramientas de seguridad necesarias, vamos a ver que pasa si pinchamos en dicho enlace, para acceder a la web. De lo contrario, accederíamos directamente.

Como comprobamos en la imagen anterior, la extensión de Malwarebytes Browser Guard para navegadores, muy recomendable y gratuita, nos advierte de los riesgos que corremos si seguimos adelante. Como ocurre con muchas aplicaciones y extensiones gratuitas, nos pueden hacer un gran papel, pero si pagamos podremos hacer uso de todas las funcionalidades que ofrece. Sólo la versión gratuita, nos puede evitar más de un susto.

En este caso ya se nos está avisando de que se trata de una web maliciosa, por lo que podríamos estar poniendo en peligro nuestra seguridad si continuamos.

Como contamos con herramientas de seguridad para no correr riesgos innecesarios, vamos a omitir en este caso la advertencia, lo que nos mostrará otra pantalla aún más llamativa, por si no somos conscientes del riesgo que corremos.

En esta nueva pantalla que nos aparece, el mensaje es más claro y su color ayuda a asociarlo instintivamente a un peligro, aunque el anterior ya lo era bastante, y se nos está advirtiendo de nuevo que estamos intentando acceder a un sitio web engañoso y los riesgos que estamos corriendo. Como contamos con las herramientas y medios de seguridad necesarios, vamos a continuar adelante con la intención de llegar a la web, que ya sabemos de antemano que no corresponde al Banco de Sabadell.

Siguiendo con el proceso y haciendo caso omiso a las advertencias que nos han hecho las herramientas de seguridad, llegamos a la supuesta web principal del Banco de Sabadell. Si pinchamos en el enlace facilitado en este párrafo, la web real del banco, no tiene el mismo aspecto que la preparada por los ciberdelincuentes para obtener nuestra información mediante phising, es decir, que habríamos sido «pescados» si no contamos con herramientas de seguridad antimalware.

Las pantallas de advertencia que nos han ido apareciendo durante el proceso explicado, se han mostrado gracias a contar con software antimalware y conocimientos de ciberseguridad, pero quienes no cuentan con ellos y acceden directamente al enlace facilitado, son dirigidos automáticamente a la supuesta web del banco.

Cuando se nos ha advertido mediante un mensaje SMS que nuestra cuenta va a ser bloqueada, el nerviosismo o la falta de conocimientos, se apoderan de quien recibe dicho mensaje, pinchando sin dudar en el enlace malicioso.

Como se puede apreciar en la última imagen, los ciberdelincuentes logran crear páginas web casi idénticas a las de los bancos, empresas de servicios u organismos, con lo que una vez nos encontramos ante ellas, las víctimas introducen sus datos de acceso, por lo cual estos datos de acceso, así como cualquier otra información facilitada, llegará a manos de los atacantes y serán usados para hacernos mucho daño.

Por lo tanto y para terminar, en caso de recibir un mensaje de este tipo debemos actuar de la siguiente manera:

• Actuar con tranquilidad y sin perder la calma.
• Pensar en primer lugar, si somos usuarios de los servicios de dicha entidad o estamos esperando un envío como se nos indica.
• Si coincide que somos usuarios de dicho servicio, contactar con la empresa o entidad mediante otro medio, que no sea el teléfono, correo electrónico o enlace web que se nos facilita en el mensaje. ¡Nunca!
• Procurar activar detectores de spam, en nuestro ordenador, email, web o teléfono móvil, manteniendo una configuración segura de nuestros dispositivos.
• Nunca descargar archivo alguno que nos llegue, sin conocer realmente su conveniencia.
• En caso de que el engaño se haya efectuado, es recomendable acudir a una comisaría de policía para presentar denuncia o ponerlo en conocimiento de sus unidades especializadas, ellas nos indicarán cómo proceder.

¿Cómo protegerse de la ciberdelincuencia?

• Hay que ser precavidos y sospechar siempre del remitente, especialmente si es desconocido.
• No creer todo lo que leemos, sean promociones, premios o incidentes.
• Ninguna organización solicita a través de llamadas o mensajes claves o códigos dinámicos, no debemos facilitar información, aunque creamos que se trate de una entidad confiable.
• No debemos contestar nunca a este tipo de mensaje y debemos eliminarlos si no vamos a emprender acciones (legales, denuncia, etc.).
• Evitar descargar archivos desconocidos y de remitentes sospechosos.
• No debemos hacer clic en enlaces desconocidos. Si lo hacemos, debemos observar que la URL de la página destino en el explorador es la misma que se indica en el correo.