Un hacker es como el cardiólogo de las nuevas tecnologías… un humano de inteligencia avanzada, no un ciberdelincuente. El sms scaming o smshing estándar quedaría fuera de sus intenciones, simplemente por ser asignatura de parvulario para los que presumen de pañales en su arte. Sin embargo, el ejército de la medianía es lo que gobierna el mundo hoy en día y, por lo tanto, en un smartphone cualquiera, pescará hasta el Pato Donald.
¿Qué tal público?
Smartphone.
El nuevo astro sobre el que orbita un planeta al que llamaban Tierra.
Es la era del internet hasta en el WC.
No puedes priscindir de su digestión si no quieres quedarte aparte del futuro más cercano.
La cantidad de datos que almacenan sobre su dueño, sabe más del mismo que su propio padre.
Smishing o SMS scam es una técnica similar al phishing sin caña
En lugar de envolver la putada en un email, Donald la remitirá a su víctima vía SMS en mensaje de texto.
Recibes un SMS urgente en el teléfono con un link o vínculo externo adjunto.
Puede tratarse del banco, por ejemplo, expresando que es necesario que accedas a tu cuenta para actualizar algún tipo de info importante.
He aquí uno de los pañales a los que aludimos en el encabezado del artículo… bit.ly es un link shortener acortador de urls u ocultador que camufla cualquier otra dirección web.
NO cliques en el link.
Serás redirigido a un sitio malicioso desde el que intentarán extraer cualquier dato valioso.
El artículo Ocultar el link de afiliado para acortar la libertad un rato explica un poco más de los link shortener o acortadores.
Según la Empresa de Ciberseguridad Norton by Symantec, covertir ciertas pautas en rutina es la mejor manera de evitar el SMS Scaming.
Técnicas utilizadas en el SMS Scaming por el ciberdelincuente
Esta sección es de una importancia vital y, para no meter la pata en asuntos de mayor inteligencia que la mía, es una Traducción directa de la Wikipedia inglesa
Utiliza algún tipo de engaño técnico diseñado para que un enlace en un correo electrónico (y el sitio web falsificado al que conduce) parezca pertenecer a la organización falsificada.
Las URL mal escritas o el uso de subdominios son trucos comunes utilizados por los phishers.
En la siguiente URL de ejemplo,
http://www.yourbank.example.com/
Parece que la URL lo llevará a la sección de ejemplo del sitio web de yourbank.
En realidad, esta URL apunta a la sección “yourbank” (es decir, phishing) del sitio web de ejemplo.
Otro truco común es hacer que el texto mostrado para un enlace (el texto entre las etiquetas <A>) sugiera un destino confiable, cuando el enlace en realidad va al sitio de los phishers.
Muchos clientes email de escritorio y navegadores web mostrarán la URL de destino de un enlace en la barra de estado mientras pasan el mouse sobre él.
Sin embargo, este comportamiento puede ser anulado en algunas circunstancias por el phisher.
Las aplicaciones móviles equivalentes generalmente no tienen esta función de vista previa.
Los nombres de dominio internacionalizados (IDN) pueden explotarse a través de ataques homógrafos o falsificaciones de IDN para crear direcciones web visualmente idénticas a un sitio legítimo, que en su lugar conducen a una versión maliciosa.
Los phishers se han aprovechado de un riesgo similar, utilizando redirectores de URL abiertos en los sitios web de organizaciones confiables para disfrazar URL maliciosas con un dominio confiable.
Incluso los certificados digitales no resuelven este problema porque es muy posible que un phisher compre un certificado válido y luego cambie el contenido para falsificar un sitio web genuino o para alojar el sitio de phish sin SSL.
Los phishers a veces han utilizado imágenes en lugar de texto para dificultar que los filtros antiphishing detecten el texto que se usa comúnmente en los correos electrónicos de phishing.
En respuesta, los filtros anti-phishing más sofisticados pueden recuperar texto oculto en imágenes mediante el reconocimiento óptico de caracteres (OCR).
Para evitar las técnicas anti-phishing que escanean los sitios web en busca de texto relacionado con el phishing, los phishers a veces usan Adobe Flash (una técnica conocida como phlashing).
Se parecen mucho al sitio web real, pero ocultan el texto en un objeto multimedia.
Algunas estafas de phishing utilizan comandos de JavaScript para alterar la barra de direcciones del sitio web al que conducen.
Esto se hace colocando una imagen de una URL legítima sobre la barra de direcciones o cerrando la barra original y abriendo una nueva con la URL legítima.
Un atacante también puede potencialmente usar fallas en los propios scripts de un sitio web confiable contra la víctima.
Este tipo de ataques, conocidos como cross-site scripting (XSS), son particularmente problemáticos, porque dirigen al usuario a iniciar sesión en la propia página web de su banco o servicio, donde todo, desde la dirección web hasta los certificados de seguridad, parece correcto.
En realidad, el enlace al sitio web está diseñado para llevar a cabo el ataque, por lo que es muy difícil de detectar sin conocimientos especializados.
Este defecto se utilizó en 2006 contra PayPal.
Los Ataques Smishing suelen invitar al usuario a hacer clic en un enlace, llamar a un número de teléfono o ponerse en contacto con una dirección de correo electrónico proporcionada por el atacante mediante un mensaje SMS.
La redirección encubierta es un método sutil para realizar ataques de phishing que hace que los enlaces parezcan legítimos, pero en realidad redirigen a la víctima al sitio web de un atacante.
La falla generalmente se disfraza bajo una ventana emergente de inicio de sesión basada en el dominio de un sitio afectado.
Esto a menudo hace uso de redireccionamiento abierto y vulnerabilidades XSS en los sitios web de aplicaciones de terceros.
Los usuarios también pueden ser redirigidos a sitios web de phishing de forma encubierta a través de extensiones de navegador maliciosas.
Los intentos normales de phishing pueden ser fáciles de detectar porque la URL de la página maliciosa generalmente será diferente del enlace del sitio real.
Para la redirección encubierta, un atacante podría utilizar un sitio web real corrompiendo el sitio con un cuadro de diálogo emergente de inicio de sesión malicioso.
Esto hace que la redirección encubierta sea diferente a otras.
Por ejemplo, supongamos que una víctima hace clic en un enlace de phishing malicioso que comienza con Facebook.
Una ventana emergente de Facebook le preguntará a la víctima si desea autorizar la aplicación.
Si la víctima opta por autorizar la aplicación, se enviará un token o señal al atacante y la información personal confidencial de la víctima podría quedar expuesta.
Esta información puede incluir la dirección de correo electrónico, la fecha de nacimiento, los contactos y el historial laboral.
En caso de que el “token” tenga mayores privilegios, el atacante podría obtener información más confidencial, incluido el buzón de correo, la presencia online y la lista de amigos.
Peor aún, el atacante posiblemente pueda controlar y operar la cuenta del usuario.
Incluso si la víctima no decide autorizar la aplicación, será redirigida a un sitio web controlado por el atacante.
Esto potencialmente podría comprometer aún más a la víctima.
Esta vulnerabilidad fue descubierta por Wang Jing, un Ph.D. en matemáticas. estudiante de la Facultad de Ciencias Físicas y Matemáticas de la Universidad Tecnológica de Nanyang en Singapur.
La redirección encubierta es una falla de seguridad notable, aunque no es una amenaza para Internet que merezca una atención significativa.
Se puede alentar a los usuarios a hacer clic en varios tipos de contenido inesperado por una variedad de razones técnicas y sociales.
Por ejemplo, un archivo adjunto malicioso puede hacerse pasar por un documento de Google vinculado benigno.
Alternativamente, los usuarios pueden sentirse indignados por una noticia falsa, hacer clic en un enlace e infectarse.
Otro ataque utilizado con éxito es reenviar al cliente al sitio web legítimo de un banco, luego colocar una ventana emergente solicitando credenciales en la parte superior de la página de una manera que haga que muchos usuarios piensen que el banco está solicitando esta información confidencial.
Tabnabbing aprovecha la navegación con pestañas, con múltiples pestañas abiertas.
Este método redirige silenciosamente al usuario al sitio afectado.
Esta técnica funciona a la inversa de la mayoría de las técnicas de phishing, ya que, no lleva directamente al usuario al sitio fraudulento, sino que carga la página falsa en una de las pestañas abiertas del navegador.
Consejos para evitar el SMS Scam aunque ya los sabes
Son los de siempre.
No la jodas respondiendo a un texto disfrazado de afecto.
Simplemente, eliminar mensaje y bloquear remitente.
Si acaso, asegurar la legitimidad averiguando la info correcta de la empresa o el banco en cuestión.
Evita la descarga de APPs vía mensaje de texto.
Es todo.
Ahora ya estoy un poco más preparado.
Pido disculpas a cualquier aludido.