Cómo detectar y bloquear el Smishing


El smishing está en auge. En junio de este año, hubo una serie de ataques de smishing dirigidos a los clientes del Banco de Irlanda. En agosto, el centro nacional de ciberseguridad de Bruselas alertó de un tsunami de intentos de smishing que estaba a punto de sacudir el país.

El repunte de este tipo de engaño no se produce por accidente y es necesario prestar más atención a estos hechos y a cuáles son los factores que propician ese aumento.

¿Qué es el smishing?

El smishing, también conocido como phishing o pesca por SMS, es un tipo de ataque de ingeniería social que va dirigido a los teléfonos móviles de las víctimas. Se aprovecha de la confianza que las personas tienen en sus bancos y les envían mensajes falsos que pretenden engañarles para que revelen información confidencial que luego los fraudsters utilizarán para tomar posesión de sus cuentas.

En otros casos, el simple hecho de hacer clic en un enlace fraudulento de uno de esos mensajes puede provocar la instalación en el teléfono de la persona de un malware diseñado para permitir a los fraudsters controlar el dispositivo y poner en peligro la información confidencial.


Los ataques de smishing suelen utilizarse para sortear las autenticaciones de dos factores al engañar a los clientes y hacer que les entreguen sus códigos de autenticación reforzada.



De esta manera, los atacantes pueden burlar estas medida de seguridad y son capaces de tomar posesión de sus cuentas o de modificar sus transacciones.

Como en todos los ataques que implican ingeniería social, el elemento humano hace que sean extremadamente difíciles de detectar para los bancos, porque permiten a los atacantes suplantar la identidad de los clientes.

smishing-scam-behavioral-biometrics-03

¿Qué sucedió en Irlanda?

Los fraudsters se marcaron como objetivo dirigirse a los clientes del Banco de Irlanda insertando textos fraudulentos dentro de hilos de mensajes legítimos entre el banco y sus clientes.

En el mensaje fraudulento se afirmaba que la tarjeta del cliente había sufrido un skimming o copia fraudulenta durante una compra o en un cajero automático y, como consecuencia había quedado desactivada. Se pedía a los clientes que siguieran un enlace y que introdujeran los datos de su tarjeta para solicitar una nueva.

Creyendo que el mensaje era verdadero, muchos clientes siguieron las instrucciones e hicieron clic en el enlace, lo que les llevó a un sitio web falso del Banco de Irlanda en el que, sin saberlo, entregaron los datos de su tarjeta bancaria a los ciberdelincuentes.

En total, se cree que, con estos ataques de retirada de dinero mediante robo de cuentas, consiguieron pescar más de 800.000 euros sustraídos de unos 300 titulares de cuentas. Algunos clientes afirmaron haber perdido hasta 20.000 euros.

Para evitar futuros ataques de smishing y ayudar a la seguridad de sus clientes, el Banco de Irlanda ha lanzado una campaña de concienciación específica sobre la amenaza que supone el smishing y cómo detectarlo.

smishing-scam-behavioral-biometrics-02

¿Por qué es tan efectivo?

En primer lugar, la mayor parte de la gente que utiliza los servicios de la banca online posee un teléfono móvil y tiende a usarlo gran parte del tiempo, por lo que los fraudsters tienen línea directa con los desprevenidos clientes.

Los teléfonos móviles tampoco son habitualmente un elemento que los clientes consideren una amenaza: es un dispositivo tan personal que la idea de que un fraudster pueda vaciar tu cuenta bancaria a través de él resulta impensable.

Además, la pandemia nos ha generado más confianza que nunca en nuestros teléfonos y en internet, lo que da a los fraudsters una mayor ventana de oportunidad para sus campañas de ingeniería social.

Los ataques descritos también resaltan el hecho de que las personas suelen confiar más en un mensaje de texto que en otras formas de comunicación, como los correos electrónicos.

Uno de los motivos sería que actualmente existe mucha concienciación sobre las campañas de correos electrónicos fraudulentos, incluido el riesgo de hacer clic en enlaces de correos electrónicos no solicitados.

Por lo que parece, las personas bajan mucho la guardia cuando se trata de los peligros de los mensajes de texto, seguramente también porque los fraudsters se las han arreglado para insertar esos textos en hilos de mensajes legítimos entre los clientes y sus bancos.

Es ese nivel de sofisticación lo que obligó al Banco de Irlanda a lanzar una campaña de concienciación y a reembolsar a sus clientes, sentando así todo un precedente dentro del sector.

smishing-scam-behavioral-biometrics-04

La responsabilidad del banco: concienciar y prevenir el fraude

El concepto de asumir la responsabilidad por las pérdidas ocasionadas debido a un fraude es una idea que recogen varias iniciativas establecidas en distintos países del mundo para aumentar la confianza de los clientes en los bancos; es el caso del modelo de reembolso propuesto en el Reino Unido, el Contingent Reimbursement Model.

Esto significa no solo que los bancos tienen un incentivo para concienciar respecto al fraude sino que también han de priorizar la prevención del fraude en su conjunto, para eludir una costosa remuneración además de la inevitable pérdida de confianza por parte del cliente, añadido además al perjuicio asociado para la marca que conlleva la divulgación del ataque.

Para detectar y prevenir técnicas de ingeniería social como el smishing es necesario un enfoque único.

Ese requisito se basa en el hecho de que, si el perpetrador de un ataque de smishing se sale con la suya, poseerá los datos legítimos del cliente y podrá suplantar su identidad y cometer el fraude. Y los métodos tradicionales de prevención del fraude no son capaces de identificar fácilmente los ataques en los que se suplanta la identidad con credenciales robadas.

 

smishing-scam-behavioral-biometrics-01

El uso de la biometría del comportamiento para evitar el smishing

La biometría del comportamiento es la solución más adecuada para evitar el fraude basado en la suplantación de la identidad, porque no estudia qué se introduce sino cómo se introduce.

Si las acciones de un cliente no coinciden con sus acciones habituales en el pasado a la hora de introducir la misma información (por ejemplo, el ritmo y cadencia del tecleado), se enviarán alertas de fraude para que el banco pueda tomar medidas.

Incluso cuando el ataque de smishing haya tenido éxito y el cliente haya revelado sus datos legítimos, al analizar la biometría del comportamiento del fraudster el banco podrá detectar si ha habido algún tipo de robo de cuenta o manipulación del cliente e impedirá que tenga lugar la transacción fraudulenta.

Al integrar la biometría del comportamiento en sus soluciones de ciberseguridad, los bancos pueden detectar en tiempo real cualquier anomalía en el comportamiento del usuario y así identificar las que puedan ser resultado de la ingeniería social y alertar de las conductas sospechosas antes de que se produzca el daño.

 


Si te interesa saber como podemos solucionar este problema y las ventajas que te ofrece nuestra solución aquí tienes más información:

Download WHITEPAPER


Comprueba como puede ayudarte nuestra solución a resolver los problemas de fraude online de tu empresa, solicita gratuitamente una DEMO ahora y te explicamos en detalle.

Solicita una DEMO

 

 

Publicado por Ricardo Riveira Rubio

Ricardo has about 18 years of experience in IT and Cybersecurity acting in roles as presales, management and consulting. He has a deep technical background in cloud, network, endpoint and information security. Throughout his career, he has been strongly linked to the financial sector, delivering best practices and acting as a trusted advisor for many banks in Latin America. Before joining Buguroo, Ricardo worked in Symantec as Senior Sales Engineer helping the growth of the business in the financial sector and previously in McAfee as Manager of Professional Services for LATAM and Caribbean. He is a self-learner and has always been focused on results and goals achievement.


¿Te ha gustado? Comparte en tus comunidades sociales

 
 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo