Smishing es un equivalente al Phishing pero a través de SMS, consiste en el envío de SMS a celulares con el fin de obtener información privada de los usuarios. Como en el caso del Phishing, un ataque de smishing está diseñado para que la víctima se vea obligada a dar una respuesta inmediata a un problema que le afecta directa o indirectamente.
El Smishing es un problema creciente para todos los sectores bancarios, y se está volviendo una metodología de preferencia para los hackers porque cada vez es más frecuente conectarse a Internet a través del teléfono móvil.
Un tipo de ataque y el más común, todo comienza con un SMS supuestamente enviado desde un banco al usuario. Este dice que su cuenta ha sido bloqueada porque alguien ha intentado acceder introduciendo el PIN erróneo tres veces seguidas. Se proporciona además un número de teléfono donde se puede «verificar» el estado de la cuenta. Cuando el usuario llama, en realidad está cayendo en la trampa. Un sistema de voz automático pregunta por datos de acceso a la cuenta bancaria y datos personales, como número de la tarjeta de crédito, PIN, DNI etc.
La tasa de éxito del Smishing es mayor que la del Phishing estándar porque los usuarios no están acostumbrados a recibir SPAM en el celular. Tendemos a pensar que los SMS que nos llegan al móvil son más legítimos que los e-mails pero esto es falso. Además, mientras que la mayoría de e-mails de Phishing acaban bloqueados por los filtros de spam, no hay mecanismos extendidos para protegerse contra la llegada de SMS maliciosos.
Como con otros tipos de Phishing, hackers pueden aprovecharse de servicios legítimos para atacar a los usuarios de teléfonos móviles. Por ejemplo, existen servicios para enviar grandes cantidades de mensajes desde una computadora hacia miles de celulares. Los criminales incluso ofrecen estos servicios a otros criminales, cobrándoles un precio fijo por una cantidad dada de SMS enviados (40 ó 50 dólares por cada 1000 SMS enviados, por ejemplo).
¿Porqué ocurre esto?
Por la mala seguridad que tienen nuestras empresas de telefonía y el desconocimiento del usuario.
Por ejemplo a través de Whatsapp es posible conocer todos los usuarios de Campeche que cuentan con este servicio el cual sería el primer paso.
Si creamos un script por PHP por cuRL o un script en perl mediante uso de credenciales POST es posible (con un bucle) extraer todos los usuarios de WhatsApp para Campeche (código 981+numaleatoreo) si aparece el nickname de la persona significa que usa Whatsapp en caso contrario aparecerá un error.
Otro ejemplo es el caso del proveedor TIGO (de Colombia) el cual es vulnerable, ya que es posible tener un data fresh para iniciar una secuencia de SPAM por medio de SMS.
http://mensajito.tigo.com.co/mensajito/client.php?orden=2
TYPE: Information Disclosure
Mis recomendaciones son simples, SMS o aplicaciones que no conozcas, no las respondas y no las instales.
No Responses