¿Qué es Smishing?
El smishing es un tipo de ataque de ingeniería social que utiliza el engaño, el soborno u otras técnicas para conseguir que la víctima haga lo que el atacante quiere. El smishing se define por el hecho de que utiliza mensajes de texto SMS, que es la fuente de su nombre (SMiShing).
El smishing se ha convertido en una técnica de ciberataque cada vez más extendida en los últimos años debido al creciente uso de dispositivos móviles. Muchas organizaciones permiten el uso de dispositivos móviles para los negocios -ya sean teléfonos propiedad de la empresa o en el marco de un programa " traiga su propio dispositivo " (BYOD)-, lo que convierte a los SMS en una forma habitual de comunicación.
Además, muchas empresas, incluidos proveedores financieros y marcas como Apple, Amazon y Netflix, utilizan cada vez más los SMS para comunicarse con sus clientes. Esto es especialmente cierto para las comunicaciones urgentes, como los problemas con la cuenta del cliente.
Los Smishers se aprovechan de este hecho para hacer más plausibles sus ataques. Los mensajes de smisming suelen hacerse pasar por comunicaciones de un proveedor legítimo y están diseñados para engañar al objetivo para que haga clic en un enlace malicioso. Este enfoque aprovecha algunas características de las comunicaciones por SMS, entre las que se incluyen:
- Acortamiento de enlaces: Muchas marcas legítimas utilizan servicios de acortamiento de enlaces (como bit.ly) en los mensajes SMS debido a la duración restringida de los mensajes. Los estafadores se aprovechan del hecho de que estos servicios ocultan al usuario la URL de destino, lo que facilita engañar a un usuario para que visite un sitio de phishing.
- Sin enlace al pasar el ratón por encima: En una computadora, pasar el cursor sobre un enlace puede revelar su objetivo. Este no es el caso de los dispositivos móviles, lo que hace más difícil que un usuario valide un enlace antes de hacer clic en él.
- Mentalidad siempre activa: La mayoría de las personas están constantemente conectadas a sus teléfonos y acostumbradas a leer y responder instantáneamente a los mensajes SMS. Esta mentalidad significa que es más probable que los mensajes de smishing hagan que el objetivo actúe sin pensar.
¿Qué es el phishing?
Al igual que el smishing, el phishing es un ciberataque basado en la ingeniería social. Sin embargo, no se limita a los mensajes SMS, sino que utiliza una variedad de plataformas de mensajería diferentes para enviar mensajes maliciosos al usuario.
En general, el phishing utiliza una de las dos técnicas principales para engañar al usuario. Al igual que el smishing, puede utilizar enlaces maliciosos que dirijan al objetivo a sitios web de phishing que podrían estar diseñados para robar las credenciales del usuario u otros datos confidenciales o instalar malware en el dispositivo del usuario. Alternativamente, los mensajes de phishing pueden incluir archivos adjuntos maliciosos diseñados para infectar el ordenador con malware.
Aunque el phishing se asocia más comúnmente con el correo electrónico, es un término general para cualquier ataque de este tipo. Algunas formas de ataques de phishing incluyen:
- Smishing: Phishing a través de mensajes SMS.
- Vishing: Ingeniería social realizada por teléfono ("phishing de voz").
- phishingde lanza: Los ataques de phishing se dirigen con precisión a un individuo o a un pequeño grupo.
- Ballenera: Ataques de spear phishing dirigidos a ejecutivos de alto nivel dentro de una organización.
- Business Email Compromise (BEC): phishing ataques en los que el atacante se hace pasar por un director general u otro ejecutivo para engañar a los empleados para que envíen dinero o datos al atacante.
La diferencia entre los ataques de smishing y phishing
El smishing es un tipo particular de ataque de phishing que utiliza mensajes SMS para entregar contenido malicioso. Aunque el phishing se asocia a menudo con el correo electrónico malicioso, este ataque puede realizarse utilizando cualquier plataforma de mensajería, incluidos el correo electrónico, las redes sociales y las aplicaciones de comunicación corporativa como Slack, y los SMS.
Prevención de phishing y smishing con Check Point
El phishing y el smishing son dos de las ciberamenazas más comunes a las que se enfrentan las organizaciones. Dado que estos ataques se basan en la ingeniería social -engañar, sobornar o coaccionar al objetivo para que haga algo- en lugar de explotar la vulnerabilidad, suelen ser más fáciles de realizar para los atacantes. Como resultado, los ciberdelincuentes suelen utilizar estos ataques para robar información confidencial o como primera etapa de un ciberataque de varias fases.
La educación de los empleados es importante para prevenir el phishing y el smishing, pero no es suficiente por sí sola. Los ataques de phishing son cada vez más sofisticados -especialmente con el auge de la IA Generativa- e incluso el empleado más cuidadoso podría no ser capaz de identificar y responder adecuadamente a todos ellos.
Check Point ofrece soluciones de seguridad diseñadas para proporcionar una protección integral contra todas las amenazas de phishing, independientemente del medio utilizado para enviar el contenido malicioso. Check Point Harmony Email and Office proporciona una sólida protección contra los ataques de phishing basados en el correo electrónico y ha sido nombrado líder en la ola Forrester Wave 2023 para la seguridad del correo electrónico empresarial. Para gestionar la amenaza del smishing, Check Point proporciona Harmony Mobile, que puede abordar este riesgo de ingeniería social, así como otros vectores de ataque centrados en los dispositivos móviles. Para obtener más información sobre cómo Check Point puede proteger contra el phishing y el smishing, regístrese hoy mismo para obtener una demostración gratuita de Check Point Harmony Email and Office y Harmony Mobile .
Comentarios