¿Qué es el “Smishing”?
Tras haber explicado en TIPS anteriores el Phishing y Vishing vamos con la última de las técnicas de ingeniería social; el Smishing.
El término “Smishing” está formado por la unión de las palabras “SMS” o “short message” (mensaje de texto corto en inglés) y “Phishing”. Por lo que los ciberdelincuentes utilizan los servicios de mensajería instantánea como pueden ser los SMS, pero también aplicaciones como Whatsapp, Line, Telegram, etc., para llevar a cabo la estafa.
También hay que incluir en este fraude el uso de los chat de plataformas como Skype, Teams, Zoom o redes sociales, es decir, cualquier medio que permita que un tercero (conocido o desconocido) pueda ponerse en contacto.
En la mayoría de mensajes de este tipo solicitan:
-
- Realizar un pago relacionado con, por ejemplo:
-
- Un paquete o envío retenido en una aduana
- El pago de una multa o impuesto
-
- Pinchar en un enlace para desbloquear una cuenta bancaria, una tarjeta o un perfil online.
- O descargar alguna imagen/video nuestro. Pueden ser mensajes inofensivos (“esto es muy gracioso, tienes que verlo”) y otras veces nos amenazan directamente con publicar imágenes nuestras en situaciones comprometidas, para que piquemos (aunque luego resulte ser mentira).
- Realizar un pago relacionado con, por ejemplo:
¿Cómo podemos evitar esto?
-
- Volvemos a mencionar la regla de oro; desconfiar siempre y realizar una “doble comprobación”. Es decir, contactar al remitente, por otros medios.
- No hacer nada de lo que nos solicitan, hasta no haber comprobado lo anterior (ni pinchar en enlaces, ni descargar archivos, ni realizar pagos). Aunque parezca un mensaje de un familiar, amig@, compañer@, una entidad de confianza o cualquier otro contacto personal o profesional.
- Si el mensaje está relacionado con el seguimiento de un paquete, con el bloqueo de una cuenta o tarjeta, o con una notificación oficial de una entidad pública (multas, impuestos, etc.) comprobar su veracidad a través de aplicaciones, página web o teléfonos de contacto oficiales. Por ejemplo:
-
- En el caso de las tarjetas de crédito hay una recomendación aún más sencilla que es, intentar pagar con ella. Si realmente está bloqueada, esto no será posible.
- En el caso del bloqueo de accesos a perfiles o cuentas online, intentar iniciar sesión para comprobar que realmente no funciona.
- Y por último, en el caso de las cuentas bancarias y de las notificaciones oficiales de entidades públicas. Casi siempre se nos notificará por correo postal y más si se trata de infracciones, impuestos, impagos, etc.
-
Si crees que has facilitado información personal o profesional, que no tenías que haber desvelado por este medio, en el ámbito laboral avisa de ello al Dpto. de IT, CISO o DPO y en el ámbito personal denúncialo ante la autoridad policial.