Plaza de Santa María, 2, Mérida       924 38 71 78
InicioEspecialesÚltimas estafas detectadas por sms

Últimas estafas detectadas por sms

Últimas estafas detectadas por sms

 


 

 

Cuidado con la última estafa por sms que utiliza a Correos como cebo

Hoy en día,  son muchísimas las técnicas que utilizan los ciberdelincuentes para realizar estafas e  intentar sustraernos nuestros datos personales o financieros. Existen diferentes vías para hacerlo como a través de una llamada telefónica, un SMS o por Internet. Una de técnicas más usadas para hacer estos robos es el phishing, que consiste en engañar a otra persona para tratar de sacarle información valiosa. La creación de páginas webs falsas es otro método muy usado por los ciberdelincuentes para robar nuestras credenciales. Estos estafadores pueden ser personas sueltas, pero también existen grandes redes de estafas en las que pueden participar muchas más personas. En esta ocasión, la Policía Nacional ha denunciado una nueva estafa de phishing que está circulando a través de muchos dispositivos móviles y no, no es la primera vez que la Policía Nacional denuncia estas situaciones en las que los ciberdelincuentes recurren al phishing para tratar de extraer al mayor número de personas posible diferentes datos privados.

Esta vez ha sido a través de un SMS como los estafadores nos hacen creer que nos falta por pagar una pequeña cantidad económica (1,79 euros) para finalizar el pago de un pedido que hemos realizado.

En concreto, se hacen pasar por Correos, ya que de esta forma parece aún más fiable el SMS y de esta forma más personas pueden caer en la trampa.

Es lo que caracteriza al phishing, que el ciberdelincuente se hace pasar por alguien que no es para pedirles a sus víctimas tanto sus datos personales como cuentas de correo o bancarias. Junto al texto se nos pedirá hacer click en un enlace que nos llevaría a la hipotética página web que nos permitiría terminar de pagar el pedido.

Sin embargo, de esta forma nos pueden robar nuestros datos o incluso instalarnos un troyano, tal y como informa la Policía. Un troyano es un virus que, si se ejecuta, puede proporcionar al estafador acceso directo al dispositivo que está infectado.

Por todo ello, ten cuidado y si recibes este SMS bórralo y ni se te ocurra acceder al enlace que aparece adjunto al mensaje. Una forma de comprobar si el enlace se trata realmente de un engaño o no es escribir nosotros mismos a mano la URL en el navegador. Los dominios de estos enlaces falsos suelen ser muy parecidos a otros que sí son de verdad para que parezcan reales.

 


 

Bancos advierten de un nuevo método de estafa conocido como “SIM Swapping”

Si tu móvil deja de tener cobertura, ten miedo: un nuevo fraude telefónico conocido como ‘SIM swapping’ está siendo utilizado para que un ciberatacante duplique nuestro número de teléfono y utilice ese sistema para usurpar nuestra identidad, se autentique en nuestro banco y nos robe todo el dinero.

Ya hay víctimas de un fraude que ha sido utilizado para otros propósitos: a Jack Dorsey, cofundador de Twitter, le robaron su cuenta en el servicio con ese mismo sistema, lo que una vez más deja en evidencia la debilidad de mecanismos como el de los mensajes SMS para los sistemas de autenticación en dos pasos. Eran buena opción originalmente, pero como ya dijimos en el pasado, es mucho más recomendable utilizar aplicaciones independientes de autenticación, y no los SMS que cada vez son más vulnerables en este ámbito.

En El País contaban recientemente un caso en el que un usuario se quedó sin cobertura repentinamente. Apagó el móvil, volvió a encenderlo y nada. Al volver a casa llamó a su operadora desde otro móvil, y resultó que alguien se había hecho pasar por él para solicitar un duplicado de su tarjeta SIM en una tienda de la operadora en otra ciudad.

Eso alertó al usuario, que fue rápidamente a comprobar su cuenta bancaria y detectó que estaba bloqueada. Su entidad había detectado movimientos extraños, miles de euros habían desaparecido y tenía un préstamo solicitado a su nombre por valor de 50.000 euros. Un verdadero desastre que según responsables de la Guardia Civil responde perfectamente a esa tendencia al alza de los casos de SIM swapping.

Ayer volvía a surgir un nuevo y preocupante caso de este tipo de casos: un usuario de Twitter, Otto Más (@Otto_Mas) relataba sucesos muy parecidos. Dejó de tener línea en su móvil con contrato de Vodafone y al volver a casa conectó el móvil a la WiFi y se dio cuenta de que “me habían vaciado mi cuenta corriente” en el Banco Santander.

Alguien había duplicado su línea móvil y con los SMS de confirmación había hecho diversas transferencias “sacando el dinero poco a poco”. Pudo cancelar las transferencias y bloquear la cuenta tras varias horas al teléfono con ellos, aunque se quejaba de la mala respuesta de su operadora, de la que criticaba las pocas medidas de seguridad que exigían para quien pedía un duplicado de tarjeta SIM.

Hay aquí dos problemas claros: en primer lugar, que pedir un duplicado de la SIM es relativamente sencillo. En segundo, que hace tiempo que el uso de los SMS como sistema para plantear la autenticación en dos pasos o de dos factores (2FA) es vulnerable a diversos ataques, y este es solo el último -pero probablemente el más preocupante- de todos ellos.

Esta técnica permite burlar las medidas de seguridad que sitúan al móvil como instrumento de verificación de nuestra identidad, y eso es peligroso como hemos visto en el ámbito económico, sino también en otros muchos escenarios.

Se demostró estos días cuando el cofundador y CEO de Twitter, Jack Dorsey, sufrió un ataque similar que provocó que de repente en su cuenta de Twitter (@jack) aparecieran mensajes ofensivos y racistas que fueron posteriormente eliminados.

El problema se debió a esa suplantación de identidad que hizo que un operador de telefonía en Estados Unidos -no se especifica cuál- permitiera al atacante obtener un duplicado de la SIM de Dorsey, lo que a su vez permitió que este atacante usara la función de publicar en Twitter mediante mensajes SMS que fue una de las características originales del servicio.

Los mensajes ofensivos provocaron una reacción inmediata en Dorsey, que anunció que Twitter deshabilitaba el envío de mensajes a la plataforma a través de SMS.

Como decíamos anteriormente, el problema de este ciberataque es que tiene dos caras muy separadas, ambas con su propia solución interdependiente: si no se solucionan los dos, el problema seguirá presente.

El primero está en quienes manejan esa información, las operadoras, que deberían ser mucho más exigentes a la hora de proporcionar duplicados de una tarjeta SIM. Las verificaciones de identidad aquí deben ser exhaustivas para evitar los problemas que se han producido con estos casos.

También tienen deberes pendientes bancos, entidades financieras y cualquier otra plataforma que sigue usando los SMS como sistema de autenticación en dos pasos. Es un método popular y cómodo, pero como se ha visto es muy vulnerable desde hace ya tiempo, como apuntaba el experto en seguridad Bruce Schneier. Es por esta razón por la que todas estas empresas deberían erradicar el SMS de sus sistemas de autenticación en dos pasos y utilizar otras alternativas.

Entre las más recomendables ahora mismo están las aplicaciones de autenticación que sustituyen a los SMS y que se pueden instalar en nuestros móviles. Microsoft Authenticator, Google Authenticator o Authy están entre las más conocidas, y si podemos usarlas -la plataforma con la que trabajamos debe soportar esa opción- son mucho más seguras que la autenticación vía SMS.

Aún más interesantes son las llaves U2F (Universal 2nd Factor keys), un estándar abierto de autenticación que hace uso de llaves físicas y que tiene como última implementación el estándar FIDO2. Fabricantes como Yubico son muy conocidos por estas soluciones, pero incluso Google se quiso introducir recientemente en este segmento con sus Titan Security Keys, aunque recientemente anunció que un teléfono Android podía convertirse también en una llave de seguridad.

 


La estafa de soporte técnico que busca robar tu cuenta de WhatsApp con un SMS

La compañía de ciberseguridad ESET ha alertado de un nuevo ataque detectado en las últimas horas que busca robar a los usuarios su cuenta en la plataforma de mensajería WhatsApp con el envío de un SMS fraudulento.

Los cibercriminales detrás de la amenaza se hacen pasar por el soporte técnico de WhatsApp y contactan con el usuario a través de un mensaje SMS para comunicarle que su número de teléfono, el que tiene vinculado a este servicio, ha sido registrado en una nueva cuenta.

A continuación, y para comprobar que la persona a la que se están dirigiendo es la propietaria de la cuenta, los cibercriminales le piden que les reenvíe un código de seguridad formado por seis dígitos que va a recibir vía SMS.

Si la víctima envía el código de seis dígitos para verificar su identidad habrá perdido totalmente el control sobre su cuenta de WhatsApp y los cibercriminales podrán iniciar sesión con su número de teléfono. Esto decir, podrán robar su cuenta y suplantar la identidad de la víctima.

Desde ESET instan a los usuarios de esta aplicación que estén atentos por la posible recepción de este tipo de SMS. En caso de verlo en su bandeja de entrada, aconsejan que lo eliminen inmediatamente “con el objetivo de evitar una brecha de seguridad”, como señalan en un comunicado.

También recuerdan que es imposible que se utilice el número de la potencial víctima para registrar una nueva cuenta, ya que WhatsApp solo permite disponer de una cuenta por número de teléfono registrado.


Facebooktwitter
Sin comentarios

Lo sentimos, el formulario de comentarios está cerrado en este momento.