La suplantación en internet es una de las estafas más comunes hoy en día. Muchos usuarios inocentes caen en este tipo de ataques que, a mi modo de ver, en la mayoría de las ocasiones se puede evitar prestando un poco de atención a lo que recibimos. Obviamente necesitamos estar informados sobre cómo funcionan estas amenazas previamente, para poder repelerlas.
En esta entrada analizo una estafa real realizada con una técnica muy utilizada por los atacantes llamada smishing, para que puedas ver cómo funciona y así evitar que te engañen.
¿SMISHING? ¿PHISHING? ¿QUÉ ES TODO ESTO?
Si no estás familiarizado con estos términos no te preocupes. En las últimas décadas la tecnología ha llenado las lenguas no anglosajonas de todo el mundo, de sus anglicismos. Muy brevemente la definición de estos términos sería:
PHISHING Y SMISHING
«El phishing es una técnica que consiste en el envío de un correo electrónico en el que los ciberdelincuentes suplantan la identidad de entidades, como nuestro banco, una red social, una entidad pública, una empresa reconocida o un servicio que utilicemos, y su objetivo es obtener toda la información personal y bancaria que puedan conseguir de nosotros, como usuarios y contraseñas, direcciones, datos de tarjetas de crédito, etc., realizar un cargo económico o infectar el dispositivo. Para ello, adjuntan archivos infectados o enlaces a páginas fraudulentas»
«El smishing consiste en el envío de mensajes de texto (SMS) a las víctimas, haciéndose pasar por todo tipo de entidades de confianza, como bancos, empresas públicas de la Administración, tiendas o comercios, familiares o amigos. El objetivo es obtener toda la información personal (usuario y contraseñas, correos, número de teléfono, domicilio…) y bancaria para llevar a cabo nuevos fraudes o hacerse con nuestro dinero.»
Fuente: Oficina de Seguridad del Internauta (OSI)
En esta entrada planteo un escenario real donde el usuario es estafado mediante un SMS. Hablamos por lo tanto de un ataque tipo smishing.
ESCENARIO: una empresa de paquetería nos envía un sms
La primera fase de esta conocida estafa comienza cuando recibes un SMS. En la mayoría de las ocasiones no funcionan porque, o no eres cliente de la compañía suplantada, o no estás recibiendo servicios de esa empresa. Pero cuando tus circunstancias personales coinciden, no adviertes que podría ser una estafa. Y es lo que les ocurre a los usuarios que caen en ella.
Este verano ha habido una campaña de smishing real, en el que el atacante se hace pasar por una conocida empresa pública de mensajería española, Correos (también te muestro un SMS de otra campaña real con la empresa de paquetería SEUR). El ataque comienza cuando el usuario recibe un SMS como los que te muestro a continuación:
Si estás esperando un paquete de un país que tenga aduana, puede ser que tengas la desagradable situación de tener que pagar un peaje por tu mercancía. Esto suele ocurrir cuando hacemos algún pedido a China, por ejemplo. Si es tu caso, este mensaje colaría perfectamente. Entonces ¿qué pasa si picamos en el enlace?
Antes de continuar, quiero que sepas que para enseñarte esta estafa he utilizado un entorno seguro de pruebas, con una herramienta que levanta una máquina virtual temporal que puede ser infectada si es necesario, sin comprometer de esta forma, mis dispositivos personales.
Siguiendo con el análisis, si hacemos clic en ese enlace se nos abriría el navegador del dispositivo y nos mostraría la siguiente pantalla:
La página que se nos muestra es aparentemente legítima, pero esconde algunas pistas que nos permiten deducir que es una estafa.
En primer lugar, nos debería parece extraño que desde un SMS nos lleve directamente a una página de pago. No es la forma de proceder en estas empresas. Además, en la página, no vemos por ningún sitio nuestro número de pedido. Este detalle es bastante indicativo, puesto que vamos a pagar algo sin que se nos indique mediante un número de pedido, seguimiento o algún tipo de identificador, que es nuestro paquete.
En segundo lugar, observamos el enlace y el certificado de la página.
En este caso vemos que el certificado es seguro, puesto que no nos sale ninguna advertencia en rojo.
No obstante, el enlace es muy sospechoso. Si nos fijamos bien, vemos que no procede de una web de la empresa de paquetería. El enlace es de una página totalmente distinta. Está claro que la página que estamos viendo no pertenece a la empresa de paquetería.
En tercer lugar, notamos en los textos errores gramaticales y faltas. Uno de ellos es el texto del campo donde nos pide insertar el nombre del titular de la tarjeta. En vez de pedirnos el titular nos indica textualmente «El nombre en la tarjeta«. Esto es una señal clara de que el creador de la página ha traducido literalmente los textos con un traductor automático y nos revela que el atacante, ni si quiera es hispanohablante.
Otro error en los textos lo encontramos en el botón de pagar, al que le han puesto «pay«, cuando toda la página está traducida al español.
Si llegados a este punto introducimos nuestros datos en esta página… estamos perdidos, puesto que le acabamos de entregar al atacante nuestra tarjeta de débito o crédito. Como estaba en un entorno de pruebas metí datos falsos para ver hasta dónde llegaba la estafa y pulsé sobre «pay«.
La siguiente página que me muestra a continuación era para validar el pago mediante un SMS. Obviamente como se trata de una estafa ese SMS nunca me iba a llegar. En esa página al introducir cualquier número y pulsando en «Validar» nos redirige continuamente a la misma página de validación. Un bucle infinito demostrando, una vez más, que es una estafa.
CONSEJOS FINALES
Ya has visto lo fácil que resulta caer en este tipo de estafas que nos pueden costar un disgusto. Para terminar, te dejo una serie de recomendaciones personales para que hagas tus compras y que ¡no te engañen!
1. NO PINCHES EN VÍNCULOS DEL CORREO O SMS
Si quieres comprobar si tu paquete tiene aduanas o quieres hacer el seguimiento de tu envío, ve directamente a la página web o a la app de tu empresa de mensajería. No entres nunca desde enlaces de correos electrónicos o SMS. No es la forma de proceder que suelen tener las empresas de paquetería, bancos o suministradores de luz, agua o gas.
2. HAZ COMPRAS DESDE UN ORDENADOR
Si vas a hacer una compra o un pago, mi recomendación es siempre hacerlo desde un ordenador o una app, nunca desde el navegador del teléfono. Lo hago así porque en el teléfono, los navegadores tienden a ocultarnos la barra de direcciones para mostrarnos más contenido. Esto lo hacen así debido a que las pantallas de los móviles son pequeñas. Por eso siempre que hago compras desde el móvil, me aseguro que las haga desde una aplicación y no desde el navegador.
3. REVISA EL CERTIFICADO Y EL ENLACE
Revisa el certificado web como te he mostrado antes y asegúrate de que el enlace pertenece a la empresa que te ha enviado la notificación. Esto puedes hacer buscando en Google la página web de la empresa que en cuestión.
4. UTILIZA HERRAMIENTAS PARA SALIR DE DUDAS
Si sigues teniendo dudas sobre un enlace utiliza alguna herramienta que ayude a deducir si es fraudulento o no, como por ejemplo Virus Total. Con esta herramienta solo tienes que pegar la URL sospechosa y darle a analizar. La página comprobará con más de 30 motores de antivirus si el enlace que has introducido es malicioso. En el escenario anterior 1 motor de antivirus detectó la página como fraudulenta, como puedes ver en la siguiente imagen:
5. ANTE LA DUDA ¡NO HAGAS CLIC!
Y, para terminar ante la duda ¡no hagas clic! Ser prudente es la mejor opción cuando no estás seguro o te pidan datos confidenciales.
Tecnógrafos 