TECNONEWS / AMIC – 19/3/2022
L’smishing és tan perillós com el phishing: són SMS que semblen reals, però que amaguen una estafa per a robar dades personals, contrasenyes o accessos a comptes bancaris. En comparació amb un correu electrònic d’aquest tipus, els missatges de text enganyosos poden suposar una amenaça encara pitjor perquè l’usuari està menys protegit en aquest canal i encara no està acostumat als atacs a telèfons mòbils.
Igual que en el frau per email, se suplanta la identitat d’una entitat bancària, administració pública, ONG, servei de missatgeria o qualsevol gran empresa coneguda de la qual pugui ser usuari el destinatari de l’SMS amb l’objectiu de robar informació personal que els serveixi per a cometre un delicte. El punt de partida del parany és precisament que es reconegui al remitent com de confiança, no es dubti del contingut i es faci el que es demana sense preguntar, alerten des de la plataforma d’email màrqueting Acrelia.
Com protegir-se del smishing
Segons l’experiència d’Acrelia, l’exemple més habitual és que arribi un missatge del banc en línia de l’usuari en el qual es demana confirmar la targeta de crèdit o dèbit, un préstec ràpid o similar fent clic en un enllaç escurçat. Com qualsevol altre missatge de text, segurament s’obrirà sense parar molta atenció a qui ho envia. I la clau per a evitar el frau quan s’ha rebut un SMS dubtós és no clicar a l’enllaç amb la mateixa rapidesa, sinó parar-se un moment a mirar els detalls.
Per a detectar un SMS fraudulent, Acrelia creu que hi ha tres elements clau en els quals fixar-se: l’emissor del missatge, el contingut que es rep i la crida a l’acció que se sol·licita, és a dir, el què es demana al receptor que faci amb aquest missatge.
El remitent. Els SMS que provenen de números sense identificar es veuen fàcilment com a enganyosos i es poden eliminar sense dubtar-ho. Però els ciberdelinqüents poden falsejar-los perquè sí que aparegui un nom conegut. Així, queden entre la cadena de missatges que ja s’han rebut, per exemple, per a confirmar un pagament previ o notificar una compra en línia. Sembla més real, així i tot, no ho és. Per aquest motiu, per a protegir-se no és suficient amb mirar el número de qui l’envia.
El contingut. Encara que el remitent sembla de confiança, cal llegir bé el missatge perquè cap entitat demana les dades bancàries, ni una altra informació privada per SMS (ja la tenen!). Com en el phishing, es busca la reacció ràpida, per la qual cosa sempre hi ha sensació d’urgència per a corregir un problema, d’alarma si no es fa alguna cosa o de pèrdua d’alguna gran oportunitat que sembla una ganga, com algun cupó o regal desitjat. I és possible que hi hagi algun error ortogràfic o fins i tot l’etiquetin com “Publi” per a dissimular la seva procedència.
El que et demanen: gairebé sempre és el clic, però la majoria inclou un enllaç escurçat perquè no pugui veure’s a simple vista que la pàgina de destí no és l’oficial, sinó alguna amb un nom semblant, un domini estranger i sense certificat de seguretat que garanteixi l’intercanvi de dades. Una altra petició pot ser que s’ingressi una donació per Bizum, es telefoni a un número de tarifació especial per a guanyar diners, es modifiquin les dades per al lliurament d’un paquet o s’instal·li una actualització d’una app que en realitat amaga un malware. Els dispositius mòbils disposen d’antivirus, però el millor és la prevenció i no descarregar res, ni fer clic en cap lloc.
Si en rebre un missatge SMS (o un WhatsApp) sorgeixen dubtes per algun dels motius exposats, es pot evitar ser víctima del smishing anant a la font oficial i sense respondre al missatge. És millor trucar al número d’atenció al client, acudir a la botiga per a preguntar o fins i tot es pot consultar alguna xarxa social de l’empresa per a veure si avisen que estan patint atacs. També és possible denunciar aquest tipus d’activitats d’estafa i frau perquè no puguin afectar col·lectius més vulnerables.
Com protegir l’email màrqueting del smishing
A Acrelia són conscients dels beneficis de l’SMS màrqueting, rebutjant per complet aquestes pràctiques fraudulentes. “Des de la nostra plataforma ens prenem molt de debò la seguretat dels nostres clients i de l’usuari final, i fem tot el possible per protegir-los d’atacs contra la seva marca i per a evitar que els robin les seves dades”, explica Lídia Castillejo, responsable de desenvolupament de negoci d’Acrelia.
Amb aquest objectiu, Acrelia ha implantat una sèrie de mecanismes que eviten que s’enviï smishing des de la seva plataforma, com validar la informació de cada nou registre per a confirmar que darrere hi ha una empresa real i no un ciberdelinqüent, així com verificar cada remitent per a assegurar que s’utilitzen marques, noms d’empresa o de serveis propis i no els registrats per tercers. Tampoc permeten fer ús de números de telèfon com a remitents per a evitar la suplantació d’identitat, ni l’ús de remitents amb noms genèrics, com “info”, “avís”, “notificació” o qualsevol altre que no representi clarament a l’empresa. I, per descomptat, es revisa manualment l’SMS abans de trametre’l. “El nostre equip es fixa tant en el contingut del missatge com en els seus destinataris per a defensar-los també a ells”. Castillejo explica que aquestes mesures els permeten controlar que no es fa un mal ús de la seva eina, oferir un millor servei als seus clients i cuidar a l’usuari final.
“Amb la nostra plataforma es poden gestionar enviaments de manera segura i professional, amb garantia de lliurament i estadístiques avançades que ajuden a millorar les accions de màrqueting mòbil”.
Foto: TECNONEWS
