Una vez más tenemos que alertar desde AndroidTR de una nueva y compleja campaña de Phishing cuyo foco se encuentra en usuarios españoles y que pretende obtener los datos de nuestra cuenta bancaria. Para ello los delincuentes hacen uso de datos extraídos de otros ataques como nombre o número de teléfono, para personalizar un SMS que haciéndose pasar por nuestra entidad bancaria, pretende obtener nuestra información bancaria.
¿Qué es el “Phishing”?
“Phishing” es el nombre que se le da a las técnicas que, mediante la suplantación de identidad de un tercero, tratan de engañar a su víctima para que esta revele información personal. En otras palabras, cuando por ejemplo una persona, haciéndose pasar por nuestro banco o Microsoft, intenta acceder a nuestras contraseñas e información personal.
“AVISO PARA [NOMBRE]: un DlSPOSlTIVO no autorizado esta conectado en su cuenta online. Si no reconoce este acceso verifique inmediatamente: [ENLACE MALICIOSO]”
Mensaje SMS de Phishing con el nombre del receptor y un enlace a una web de phishing.
Inicialmente este término se relacionaba con correos electrónicos maliciosos, no obstante, ahora es cada vez más fácil encontrar casos donde el vector que se utiliza para llegar al usuario son los SMS. Ya sea mediante emails o SMS, se trata de ganarse la confianza del usuario para que éste siga un enlace malicioso en el que deberá introducir sus datos personales. Otra variante más simple consiste en mensajes donde se le dice al usuario que conteste al correo con toda su información.
¿Cómo no caer en las campañas de “Phishing”?
A menudo los delincuentes recurren a textos similares a los que nos enviaría una empresa auténtica. Esto hace que si buscamos en Google el texto de un correo para saber si es original, en algún caso lleguemos a conclusiones erróneas.
El mejor truco para que los mensajes de phishing no nos afecten y a la vez no saltarnos SMS importantes es que, si recibimos un SMS importante, en vez de pinchar sobre el enlace que nos aparece en el texto, acudamos al sitio web o a la app oficiales de ese servicio, ya sea un banco o un proveedor de servicio como Netflix, para asegurarnos de que se trata de un servicio legítimo y no de alguien haciéndose pasar por una empresa.
¿Qué soluciones implementa Android para evitar el phishing mediante SMS?
Google lleva años trabajando en minimizar el número de mensajes maliciosos que recibimos en nuestro teléfono, moviendo por ejemplo algunos mensajes SMS a la carpeta de Spam.
No obstante esta no es la única medida en la que trabaja Google. Los RCS, destinados a ser los substitutos de los SMS, cuentan ya con APIs específicas con las que las empresas pueden mandar contenido verificado. El principal problema de esta tecnología es que son pocas las empresas que hacen uso de ella.