Phishing a través de SMS – estafadores dirigen a los usuarios de banca móvil de Australia

Para bien o para mal, la mayoría de nosotros estamos familiarizados con el phishing relacionados con los bancos.

Ahí es donde un ladrón engaña al usuario hacer clic en un enlace que parece que pertenece a su banco, y entonces se presenta con una o más pantallas de inicio de sesión que se parecen a su banco .

La idea es que al hacer la experiencia parece bastante familiar, y mira lo suficiente, simplemente realista "hacer lo que normalmente hace," rellenar los campos solicitados y haciendo clic en [Siguiente>].

Hemos escrito muchas veces sobre este tipo de engaños , junto con un montón de consejos para ayudarle a evitar la misma.

Es fácil dejarse atrapar en si no está prestando atención, porque es fácil para los ladrones para clonar el aspecto y la sensación del sitio inmobiliario del banco, simplemente copiando y modificando ligeramente propias páginas web del banco.

En el ataque de phishing que se ve aquí, por ejemplo, contra el banco sudafricano ABSA, los ladrones crearon un clon de píxel perfecto de los campos de inicio de sesión, y se replicaron las advertencias de prevención del fraude del sitio real:

Incluso aviso anti-phishing de ABSA fue clonado, y, en una ironía ordenado, le tomaría a la página anti-phishing de bienes del banco si ha hecho clic en él:

ABSA-estafa de alerta-490

La buena noticia es que a pesar de que el phishing sigue siendo lucrativo para los delincuentes, nos estamos mucho mejor en no caer en ella, al menos por phishes de la vieja escuela que se entregan en los correos electrónicos y le obliguen a hacer clic a través en una ventana del navegador.

¿QUÉ PASA CON LOS MÓVILES?

Pero ¿qué pasa con los dispositivos móviles?

La Autoridad Australiana de Comunicaciones y Medios de Comunicación (ACMA) ha advertido recientemente que los ciberdelincuentes se hacen lo que parece ser un esfuerzo concertado para orientar las instituciones financieras australianas a través de una ruta bastante diferente.

En vez de recibir un correo electrónico que le lleva a un sitio en su navegador de escritorio, el phishing comienza con un simple SMS que se vincula a un nombre de servidor de aspecto creíble, muy parecido a éste (hemos cambiado los enlaces para que no se parecen sospechosas) :

 Notificación de la cuenta: http://yourbank.example.com
1 nuevo correo electrónico seguro http: //mobile.bank.example
Su estado de cuenta en línea está listo http: //m.bank.test/

Usted debe ser sospechoso ya, no sólo porque la mayoría de los bancos simplemente le dicen que su estado de cuenta está listo, y usted Leve utilizar un marcador de su preferencia para llegar allí, pero también porque todos los sitios utilizan HTTP, en lugar de su primo de seguro, HTTPS.

Pero todas las señales de phishing habituales que se pueden buscar en un correo electrónico faltan, especialmente si usted sabe cómo mirar a las cabeceras de un correo electrónico, que le dan consejos sobre dónde realmente vino, en lugar de en el que dijo que venía de .

Y en los estrechos confines de un SMS, hay pocas posibilidades de que los delincuentes para cometer errores de ortografía o errores gramaticales.

Un mensaje que dice nada más que "Notificación de la cuenta" parece inusualmente brusco y poco profesional sospechosamente en un correo electrónico, sin embargo, se lee perfectamente de forma natural en un SMS.

Si se va a hacer clic a través de uno de los muchos dominios Phishy los ladrones se han registrado para estos ataques (ACMA tiene una extensa lista en su sitio), que había puesto a sí mismo en peligro.

¿QUÉ HACER?

  • No lanzar la precaución por la ventana cuando se cambia desde su escritorio o portátil a su dispositivo móvil.
  • Evitar hacer clic en enlaces de mensajes SMS, sobre todo si son solicitados.
  • Aprende a decir cuando una página está utilizando HTTPS en su navegador móvil de la elección.

El dispositivo móvil no es más seguro, simplemente porque no es lo mismo que, o posterior a, o se ejecuta un sistema operativo diferente a, su escritorio o portátil.

Ya sea que usted está en su teléfono o su computadora portátil, tablet o su escritorio, si usted pone su información personal o la contraseña en el sitio equivocado, que va a terminar en las manos de las personas equivocadas …