Un estudio arroja luz sobre el turbio mundo de las estafas de phishing por mensajes de texto

Los investigadores han recopilado y analizado una cantidad sin precedentes de datos sobre ataques de phishing por SMS, arrojando luz sobre el alcance y la naturaleza de las operaciones de phishing por SMS. El trabajo también describe técnicas que pueden usarse para recopilar datos adicionales sobre actividades de phishing e identifica vías que los funcionarios encargados de hacer cumplir la ley pueden utilizar para abordar las operaciones de phishing.

El problema es el phishing por SMS, que se refiere a ataques en los que los estafadores utilizan mensajes de texto para intentar engañar a las personas para que compartan información privada (como números de tarjetas de crédito o contraseñas) haciéndose pasar por una parte de confianza, como un banco o una agencia gubernamental.

«En 2023, el mundo vio más ataques de phishing que nunca, según datos del Grupo de Trabajo Anti-Phishing«, dice Alex Nahapetyan, primer autor de un artículo sobre el estudio y estudiante de doctorado en la Universidad Estatal de Carolina del Norte.

«Estos ataques afectan la seguridad y la privacidad en línea de los consumidores y pueden ser extremadamente costosos, pero tenemos muy pocos datos sobre ellos», afirma Nahapetyan. «Esto se debe a que las empresas de telecomunicaciones están preocupadas por la privacidad de los clientes y son reacias a revisar los datos privados compartidos a través de mensajes de texto».

Para sortear esta limitación, los investigadores utilizaron puertas de enlace SMS, que son sitios web en línea que permiten a los usuarios obtener números de teléfono desechables. Los investigadores utilizaron pasarelas de SMS para obtener una gran cantidad de números de teléfono desechables. Debido a que el phishing por SMS está ahora tan extendido, pudieron simplemente esperar a que esos números de teléfono desechables comenzaran a recibir ataques de phishing.

Utilizando esta técnica, los investigadores monitorearon 2.011 números de teléfono e identificaron 67.991 mensajes de phishing en el transcurso de 396 días.

Utilizando análisis de texto, los investigadores determinaron que esos mensajes de phishing podían dividirse en 35.128 campañas únicas, lo que significa que utilizaban contenido prácticamente idéntico. Un análisis más detallado encontró que esas campañas estaban asociadas con 600 operaciones distintas de phishing por SMS.

«Por ejemplo, si vimos varias campañas que dirigían a los objetivos a hacer clic en la misma URL, esas campañas eran parte de la misma operación», dice Nahapetyan. «Del mismo modo, si vimos una única campaña que utilizaba varias URL, podíamos determinar que esas URL eran parte de la misma operación».

Algunos de los hallazgos fueron sorprendentes. Por ejemplo, los investigadores descubrieron que los phishers de SMS utilizan servidores convencionales, aplicaciones de acortamiento de URL e infraestructura web para respaldar sus operaciones.

«La mayoría de la gente asocia el cibercrimen con algún tipo de infraestructura turbia», dice Nahapetyan. «Pero estas operaciones de estafa de phishing se ejecutan utilizando la misma infraestructura que todos los demás».

Los investigadores también descubrieron que algunos phishers también están creando sus propios dominios, que utilizan para alojar sus propios acortadores de URL.

«Esto plantea la posibilidad de que los servicios privados de acortamiento de URL proporcionen cierta protección adicional a los phishers, o que se trate de un servicio que se vende a los phishers como parte del ecosistema de phishing», afirma Nahapetyan. «Esa es un área para futuras investigaciones».

Los investigadores también probaron las defensas de los servicios de telecomunicaciones enviando sus propios (inofensivos) mensajes de phishing a 10 números de teléfono. Lo hicieron directamente desde un teléfono privado y nuevamente desde un servicio de mensajería masiva. Todos los mensajes de phishing se entregaron con éxito. Sin embargo, el servicio de mensajería masiva prohibió la cuenta del investigador.

Los investigadores también buscaron servicios de mensajería masiva que los phishers pudieran utilizar repetidamente, y los encontraron. Los servicios que permitieron los ataques de phishing no se escondían en rincones oscuros de Internet, sino que se anunciaban abiertamente en plataformas públicas de redes sociales, como LinkedIn.

«En conjunto, los hallazgos subrayan dos cosas», afirma Nahapetyan. «En primer lugar, ya sabíamos que existía toda una economía de phishing por correo electrónico, y este trabajo deja claro que esto también se aplica al phishing por SMS. Alguien puede entrar y comprar una operación completa lista para funcionar: el código, la URL, el mensajería masiva, todo. Y si su sitio se cierra o su servicio de mensajería se prohíbe, no les importa: simplemente pasarán al siguiente.

«En segundo lugar, descubrimos que los mensajes de muchas operaciones de phishing incluyen lo que parecen ser notas para ellos mismos. Por ejemplo, un texto puede terminar con las palabras ‘ruta 7’ o ‘ruta 9’ o lo que sea. Esto sugiere que los phishers están utilizando puertas de enlace de SMS probar diferentes rutas para entregar mensajes de phishing, con el fin de determinar qué rutas tienen más probabilidades de dejar pasar su mensaje».

En al menos cuatro casos, los investigadores identificaron estos «mensajes de prueba», incluida la URL que estaban usando los phishers, antes de que los phishers hubieran implementado completamente su infraestructura web en la URL.

«Esto nos dice que los mensajes se enviaron antes de que se lanzaran en serio los ataques de phishing», afirma Nahapetyan. «Eso es importante porque sugiere que, al monitorear las puertas de enlace de SMS, podemos identificar algunas URL de phishing antes de que sus ataques se implementen a gran escala. Eso haría que esas campañas de phishing sean más fáciles de identificar y bloquear antes de que los usuarios compartan datos privados. «

El papel, «Sobre infraestructura y tácticas de phishing por SMS,» se presentó el 20 de mayo en el Simposio IEEE sobre Seguridad y Privacidad, que se celebró en San Francisco, California.

El autor correspondiente del artículo es Brad Reaves, profesor asociado de informática en NC State. El artículo fue coautor de Sathvik Prasad, Ph.D. estudiante de NC State; Kevin Childs, ex estudiante universitario de NC State; Alexandros Kapravelos, profesor asociado de informática en NC State; y Adam Oest y Yeganeh Ladwig de PayPal.