Redacción.- Barcelona (España), martes 2 de mayo de 2023. Se ha detectado una campaña de Smishing suplantando a la Seguridad Social en la que solicitan actualizar la tarjeta sanitaria por medio del enlace proporcionado para evitar perder los derechos que dicha tarjeta ofrece. Así han informado hoy desde la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de de Ciberseguridad (INCIBE).
A través del formulario al que se accede desde el enlace, se solicitan datos personales del usuario, para robarlos y utilizarlos de forma fraudulenta.
Recursos Afectados
Aquellos usuarios que hayan recibido un SMS con las características mencionadas y hayan introducido y enviado sus datos en el formulario.
Solución
Si has recibido un SMS como el comentado anteriormente, pero no has hecho clic en el enlace ni has proporcionado tus datos, borra el mensaje y bloquea el remitente de este.
Por el contrario, si has entrado en el enlace y has cumplimentado el formulario, sigue las pautas que dejamos a continuación:
1.- Recopila evidencias del fraude , por si necesitas interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
2.- En los próximos meses, realiza egosurfing, y busca los datos que se hayan podido publicar sobre ti en la Red. En caso de que necesites que sean eliminados, recurre al derecho al olvido. Puedes utilizar herramientas para realizar búsquedas avanzadas, como Google Dorks.
3.- Mantén vigilado tu correo electrónico o cuentas de las que hayas proporcionado información en el formulario de phishing.
4.- Puedes solicitar ayuda a la Seguridad Social para contrastar la información.
5.- Aprende a evitar este tipo de fraudes y otros similares siguiendo nuestros consejos de prevención.
Detalle
Ha sido localizada una nueva campaña de fraude, la cual suplanta a la Seguridad Social, haciendo uso de una técnica de ingeniería social conocida como smishing. Los SMS indican a la potencial víctima que la tarjeta sanitaria necesita ser actualizada y que para ello debe hacerlo a través del enlace que se adjunta en el cuerpo de este.
El objetivo de esta estafa es robar los datos personales de las víctimas a través de una página web fraudulenta que contiene un formulario.
Los SMS que han sido reportados hasta ahora contienen errores ortográficos en su redacción, lo que hace sospechar de su veracidad.
Se muestra un SMS el cual solicita al usuario que actualice la información de su tarjeta sanitaria a través de un enlace. SEGURIDAD SOCIAL: Tu tarjeta sanitaria requiere una actualizacion. Actualizala para mantener tus servicios: [URL fraudulenta]
Se muestra un SMS el cual solicita al usuario que realice la solicitud de su tarjeta sanitaria a través de un enlace. Seguridad Social: Su nueva tarjeta sanitaria está disponible. Para seguir beneficiándose de sus derechos realice su solicitud a través de: [URL fraudulenta]
Si se pulsa en la URL, esta redirigirá a la siguiente web maliciosa, la cual solicitará a través de un formulario la siguiente información: apellido, nombre, fecha de nacimiento y correo electrónico.
Se muestra una página web, la cual contiene un formulario, para actualizar la tarjeta de la seguridad social.
Una vez introducida dicha información, el ciberdelincuente tendrá a su disposición dichos datos. Estos datos puede ser utilizados cara cometer futuros ataques dirigidos a personas concretas y de esta forma engañar fácilmente a la víctima.
No se descarta que existan otras campañas similares también a través de correos electrónicos solicitando la misma información.
¿Qué es el smishing?
Aviso móvilDentro de las herramientas con las que cuentan los ciberdelincuentes para engañarnos, una de las más populares en los últimos años ha sido el envío de mensajes de texto fraudulentos a nuestros dispositivos móviles.
Basándose en técnicas de ingeniería social consiguen suplantar la identidad de empresas de confianza para engañarnos.
Este tipo de estafa se conoce como smishing y consiste en el envío de mensajes de texto (SMS) a las víctimas, haciéndose pasar por todo tipo de entidades de confianza, como bancos, empresas públicas de la Administración, tiendas o comercios, familiares o amigos.
El objetivo, como siempre, es obtener toda la información personal (usuario y contraseñas, correos, número de teléfono, domicilio…) y bancaria para llevar a cabo nuevos fraudes o hacerse con nuestro dinero.
¿Cómo funciona el smishing?
Para comprender cómo funciona este tipo de ataque y que seamos capaces de identificarlo en nuestro día a día, vamos a verlo a través de un ejemplo:
La abuela de la familia Cibernauta, nuestra protagonista, es usuaria de un teléfono móvil desde hace ya varios años. Con él puede enviar y recibir mensajes de sus familiares y amigos, recibir correos electrónicos o ver películas y series. Su familia se ha asegurado de ayudarla para aprovechar todas las ventajas que esta tecnología puede ofrecerla.
Nuestra protagonista se encontraba viendo la televisión cuando recibió una notificación en su teléfono. Resultó ser un SMS que llamó su atención, ya que no solía recibir este tipo de mensajes. Al parecer, se trataba de una nueva campaña de ayudas a familias afectadas por la pandemia a causa del COVID-19, organizada por una ONG muy conocida. El mensaje decía lo siguiente:
Mensaje smishing
Como sabía que la situación estaba siendo muy dura, no perdió el tiempo. Sin embargo, no sabía muy bien cómo realizar pagos a través de esa aplicación, por lo que pidió ayuda a sus nietos. Cuando les llamó y les explicó la situación, sus nietos se extrañaron y decidieron contrastar toda la información sobre esta campaña de ayuda. Para su sorpresa, la web oficial de la ONG no hacía referencia a ninguna campaña de ayuda relacionada con el mensaje recibido.
Tras indagar un poco en la Red, nuestros protagonistas descubrieron que todo era un fraude. Los ciberdelincuentes habían enviado estos SMS de forma masiva a numerosos números de teléfono que se habían filtrado por la Red. La abuela reconoció que había estado registrándose en varios concursos y promociones, facilitando su número de teléfono, y los atacantes podrían haberlo obtenido de esta forma.
Por suerte para nuestra protagonista y sus nietos, pudieron reaccionar a tiempo y no realizaron ninguna donación ni contestaron al mensaje, directamente lo eliminaron.
Este tipo de fraudes son muy comunes y se basan en la suplantación de identidad a todo tipo de entidades. En la mayoría de casos utilizan un enlace fraudulento para redirigirnos a una web falsa, con la que obtener nuestros datos, que nos descarguemos algún archivo malicioso o nos engañan para que realicemos alguna transferencia o contactemos con un número de teléfono malicioso de tarificación especial, así como suscripciones a este tipo de servicios.
Mensaje móvil
A continuación, veremos algunas pautas que debemos seguir para comprobar la autenticidad de estos mensajes y detectar si se trata de un fraude:
1.- Por norma general, aunque en el mensaje digan que pertenecen a una entidad de confianza, siempre podremos comprobar el remitente del mismo. Si no aparece el nombre de la empresa y solo vemos un número de teléfono, lo más probable es que se trate de un fraude.
2.- Los enlaces también deben ser revisados. Una empresa de confianza nunca utilizará una URL no segura, es decir, que comience por «http», aunque las URL que comienzan por «https» pueden haber sido también manipuladas por un ciberdelincuente.
3.- También es importante leer detenidamente el mensaje en busca de errores ortográficos y gramaticales o fallos en la traducción.
4.- Por último, debemos recordar que este tipo de entidades ya disponen de toda la información que necesitan, por lo que si tratan de obtener algún dato personal, podemos desconfiar de su autenticidad.
¿Qué hacer si somos víctimas de un smishing?
Si creemos estar ante un mensaje de texto fraudulento, lo mejor que debemos hacer es ignorarlo y eliminarlo. Además, debemos tener mucho cuidado de no hacer clic en ningún enlace o adjunto sospechoso para descargar. Si tenemos la sospecha de haber sido víctimas de uno de estos SMS, lo primero que debemos hacer es:
1.- Escanear nuestro dispositivo con un antivirus actualizado.
2.- Eliminar cualquier archivo que hayamos descargado desde el SMS o un enlace adjunto en el mensaje.
3.- Cambiar nuestras contraseñas de las cuentas implicadas, que hayan podido ser vulneradas.
4.- Activar la verificación en dos pasos en las cuentas que lo permitan para evitar la suplantación de identidad.
5.- Contactar con el banco para cancelar cualquier pago no autorizado o nuestra tarjeta, en caso necesario.
6.- Bloquear los mensajes de texto que consideremos spam.
7.- Recopilar todas las pruebas posibles y denunciarlo ante las Fuerzas y Cuerpos de Seguridad del Estado.
