La Jefatura Superior de Asturias, dentro de su continuo ciberpatrullaje en la Red, ha detectado un aumento de correos electrónicos fraudulentos y SMS, conocidos como 'phishing' y 'smishing'. Una gran mayoría de las víctimas son clientes de entidades bancarias que se están fusionando y manifiestan haber recibido mensajes en sus ordenadores y teléfonos móviles que simulan proceder de esas entidades bancarias.
El modus operandi de la modalidad 'smishing', se basa en el envío masivo de miles de SMS a ciudadanos, que los reciben en sus Smartphones, en el que se explica que por motivos de seguridad, mantenimiento o mejora en el servicio, deben actualizar los datos de su cuenta bancaria. Este mensaje imita perfectamente el diseño, apariencia, y logos utilizados por la entidad bancaria para comunicarse con sus clientes.
El mensaje puede incluir un formulario para enviar los datos requeridos o por el contrario incluir en el propio mensaje un enlace a una página donde actualizar la información personal. Una vez que la víctima acepta la descarga, además de la mencionada aplicación simulada se instalará un software de acceso remoto que, en primera instancia, solicitará los permisos para recibir, leer y modificar SMS.
Además, el 'malware' instalado accederá a la agenda de la víctima y mandará a todos los contactos mensajes análogos con la finalidad de maximizar su propagación, además de poder otorgar a los atacantes un virtual control total sobre el dispositivo infectado. Tras analizar el 'malware', los agentes han detectado que los SMS de origen provienen de numeraciones móviles españolas, y que el enlace para descargar la aplicación tiene una apariencia similar a la de entidad que tratan de suplantar, sin que se corresponda con su dominio oficial.
Originalmente, el mensaje se enviaba por SMS (de ahí la palabra Smishing), pero cada vez más los ciberatacantes aprovechan otras plataformas de comunicación más usadas, como Whatsapp o Telegram. En el segundo de los casos 'phishing', se trata de la suplantación del enlace a una página web, donde el diseño de esta es idéntico a la legítima de la entidad suplantada y su dirección (URL) es parecida e incluso puede ser igual, por lo que no sospecha del fraude.
Con toda confianza, la víctima introduce sus credenciales bancarias o la numeración y código CVC de su tarjeta de crédito o debito, pensando que se trata de un mensaje legítimo de su entidad. Una vez introducidas las claves de acceso por el usuario, estas son obtenidas por los delincuentes, siendo utlizadas para realizar compras a través de aplicaciones de pago instaladas en terminales telefónicos, tales como eApple Pay o Samsung Pay, a las cuales vinculan las tarjetas bancarias.