El smishing no es algo nuevo. Hemos estado advirtiendo a los lectores de WeLiveSecurity sobre los ataques de phishing por SMS (también conocidos como smishing) durante años.

Pero incluso aunque no sean nuevos, siguen siendo una amenaza para muchos dueños de smartphones y, en algunos casos, han evolucionado para que los estafadores logren engañar a más usuarios y convencerlos de que proporcionen sus valiosas credenciales.

La gran popularidad de la tecnología de Apple, particularmente sus iPhone y iPad, ha convertido al smishing que busca contraseñas de Apple ID en un objetivo central para algunos criminales.

En una campaña típica, los mensajes se envían en forma masiva y como spam a usuarios de smartphones, con un enlace en su interior.

smishing ejemplos

A menudo estos mensajes sugieren que tu Apple ID ha expirado, o que tu cuenta ha sido temporalmente suspendida como medida de seguridad hasta que confirmes que eres el verdadero dueño.

La táctica del scammer es siempre la misma: hacer que hagas clic en un enlace que te lleva a una página falsa de login de Apple ID, que puede lucir bastante similar a la original. En esa página de phishing, si los ingresas, se extraerán tu Apple ID y tu contraseña, y en algunos casos, los atacantes darán un paso más pidiéndote los datos de tu tarjeta de crédito y otra información personal.

Como puedes ver en la siguiente captura, los sitios de phishing no están diseñados para captar solo a usuarios de Apple que hablen inglés, sino también otros idiomas:

icloud-phishing-site

Aún si solo un pequeño porcentaje de usuarios son engañados y siguen las instrucciones del mensaje, los beneficios para el atacante pueden ser considerables, ya que acceden a cuentas y podrían obtener el acceso a tus fotos y mensajes privados.

Pero esto no significa que quienes están detrás de los ataques de smishing de Apple ID se olvidaron de seguir pensando nuevas variaciones para sus engaños.

Por ejemplo, en el siguiente ejemplo compartido por el usuario de Twitter Simon Rae-Scott, los estafadores parecen haber intentado que su página parezca más convincente incluyendo instrucciones para desuscribirse de futuras alertas:

sms-engaño

Algunos casos de smishing, como el ejemplo de abajo enviado vía iMessage a un usuario de iPhone basado en Alemania, usa como gancho un mensaje que dice que se encontró un iPhone perdido.

SMS phishing campaign targeting German phone user

Claro que hacer clic en el enlace no te lleva a una página de Apple real.

Lo que se necesita, por supuesto, es que haya más concientización sobre el problema del smishing de Apple ID sobre campañas similares. Solo educando al público respecto a qué podría pasar podemos esperar prevenir que víctimas inocentes vean sus cuentas comprometidas.

Es por eso que me agradó ver al comediante de la TV británica Al Murray, mejor conocido por su personaje de “Pub Landlord”, usando Twitter para advertir a sus más de 400.000 seguidores sobre un mensaje de texto sospechoso que había recibido, en el que le pedían hacer clic en un enlace ofuscado e ingresar sus credenciales de inicio de sesión en Apple ID.

Afortunadamente, Murray fue lo suficientemente cauto como para no seguir las instrucciones del mensaje:

Al Murray tweet

Entonces, si recibes un SMS engañoso, ¿qué deberías hacer?

  • Reporta la URL incluida en el scam al equipo Safe Browsing de Google. Si encuentran que es engañosa, se asegurarán de que Google Chrome y otros navegadores sean actualizados para advertir a los usuarios del riesgo.
  • Si es posible, reporta el número que te ha enviado el SMS a tu compañía proveedora de telefonía móvil. Algunas han creado números específicos a través de los cuales se pueden reenviar mensajes de phishing y spam recibidos. De nuevo, esto ayuda a proteger a todos los usuarios.
  • ¡No respondas y no hagas clic!

Mi recomendación para todos los que tienen cuentas de Apple ID es que habiliten la autenticación en dos fases, para tener una capa adicional de protección.

apple id

De esa forma, para los criminales, aunque hayan logrado robar tu contraseña, será mucho más difícil irrumpir en tu cuenta. Para saber más sobre el tema, lee nuestro artículo sobre doble autenticación y por qué la necesitas.

Aunque probablemente siempre haya más cosas que las compañías de telefonía podrían estar haciendo para reducir la prevalencia de las campañas de smishing, todo lo que podamos hacer, como difundir información entre los usuarios y ayudarlos a ser más cuidadosos antes de hacer clic en mensajes no solicitados, me parece un gran avance.