Los ciberdelincuentes están explotando un truco para desactivar la protección contra phishing incorporada de Apple iMessage para un mensaje de texto y engañar a los usuarios para que vuelvan a habilitar los enlaces de phishing deshabilitados.
Dado que gran parte de nuestras actividades diarias se realizan desde nuestros dispositivos móviles, ya sea pagar facturas, comprar o comunicarnos con amigos y colegas, los actores de amenazas realizan cada vez más ataques de smishing (SMS phishing) contra números móviles.
Para proteger a los usuarios de tales ataques, Apple iMessage desactiva automáticamente los enlaces en los mensajes recibidos de remitentes desconocidos, ya sea una dirección de correo electrónico o un número de teléfono.
Sin embargo, Apple le dijo a BleepingComputer que si un usuario responde a ese mensaje o agrega al remitente a su lista de contactos, los enlaces se habilitarán.
Engañar a los usuarios para que respondan
En los últimos meses, BleepingComputer ha visto un aumento en los ataques de smishing que intentan engañar a los usuarios para que respondan a un mensaje de texto para que los enlaces se habiliten nuevamente.
El texto de los mensajes viene en todas las variaciones que a los phishers les encanta usar:
- Paquetes que no se pueden entregar de USPS, EVRI, Royal Mail, DHL, Fedex, Correos, etc.
- Peaje de carretera no pagado
- Gastos de envío adeudados
- Otros pagos pendientes que desconoce
«Responda S, luego salga del mensaje de texto, vuelva a abrir el enlace de activación del mensaje de texto o copie el enlace al navegador Safari para abrirlo», se lee en los mensajes.
Investigaciones adicionales muestran que esta táctica se ha utilizado durante el año pasado, con un aumento desde el verano.
A medida que los usuarios se han acostumbrado a escribir DETENER, Sí o NO para confirmar citas o cancelar la recepción de mensajes de texto, los actores de amenazas esperan que este acto familiar lleve al destinatario del texto a responder al texto y habilitar los enlaces.
Al hacerlo, se habilitarán los enlaces nuevamente y se desactivará la protección contra phishing incorporada de iMessage para este texto.
Incluso si un usuario no hace clic en el enlace ahora habilitado, el acto de responder le dice al actor de la amenaza que ahora tiene un objetivo que responde a los mensajes de texto de phishing, lo que lo convierte en un objetivo más grande.
Desafortunadamente, este tipo de personas suelen ser el objetivo de este tipo de mensajes de phishing, lo que les lleva a introducir su información personal, información de tarjetas de crédito u otros detalles que luego los atacantes roban.
Si recibe un mensaje cuyos enlaces están deshabilitados o de un remitente desconocido que le pide que responda al texto, le recomendamos encarecidamente que no lo haga.
Cómo evitar estafas de smishing
Desde Malwarebytes, dejan una serie de recomendaciones interesantes:
- Nunca respondas a mensajes sospechosos, incluso si es solo una «S» o un «1». Les dirá a los phishers que tienen un número activo y lo bombardearán con más intentos.
- Nunca agregues un número que no conoces a tus contactos, ya que eso también desactivará la protección de iMessage.
- No asumas que ningún mensaje es real. Si te piden que haga algo, comuníquese directamente con la empresa a través de un método conocido en el que confíes. Si resulta ser falso, deberías poder informarles en ese mismo momento.
- Si vives en algún lugar con una lista de No llamar o un servicio de informes de spam, aprovéchelo al máximo. Informar mensajes y números falsos.
- Es posible que tu dispositivo móvil ya tenga habilitado algún tipo de ID de mensaje «seguro» sin que usted lo sepa. Es complicado dar consejos específicos aquí debido a la gran diferencia de opciones disponibles en los modelos de teléfono, pero los menús Opciones/Seguridad/Protección/Privacidad son un buen lugar para comenzar.
- Verifica el enlace antes de hacer clic en él o cópielo en su navegador. ¿Es exactamente lo que esperarías que fuera? Los estafadores suelen utilizar técnicas de typosquatting (por ejemplo, evri[.]top en lugar del legítimo evri[.]com, o crear un enlace que utiliza el subdominio para que parezca legítimo (por ejemplo, usps.com-track.infoam[.] xyz). Si no parece real, no hagas clic en él.
- Si un mensaje suena demasiado bueno (o malo) para ser verdad, probablemente lo sea.