Miles de mensajes arrojan luz sobre estafas por mensajes de texto

Los investigadores han recopilado y analizado una cantidad sin precedentes de datos sobre estafas de phishing por mensajes de texto, arrojando luz sobre el alcance y la naturaleza de las operaciones de phishing por SMS.

El trabajo también describe técnicas que pueden usarse para recopilar datos adicionales sobre actividades de phishing e identifica vías que los funcionarios encargados de hacer cumplir la ley pueden utilizar para abordar las operaciones de phishing.

El problema es el phishing por SMS, que se refiere a ataques en los que los estafadores utilizan mensajes de texto para intentar engañar a las personas para que compartan información privada (como números de tarjetas de crédito o contraseñas) haciéndose pasar por una parte de confianza, como un banco o una agencia del gobierno.

«En 2023, el mundo vio más ataques de phishing que nunca, según datos del Anti-Phishing Working Group», dice Alex Nahapetyan, primer autor de un artículo sobre el estudio y estudiante de doctorado en la Universidad Estatal de Carolina del Norte.

«Estos ataques afectan a la seguridad y la privacidad en línea de los consumidores y pueden resultar muy costosos, pero tenemos muy pocos datos sobre ellos», afirma Nahapetyan. «Esto se debe a que las empresas de telecomunicaciones están preocupadas por la privacidad de los clientes y son reacias a compartir datos privados a través de mensajes de texto».

Para evitar esta limitación, los investigadores utilizaron pasarelas de SMS, que son sitios web en línea que permiten a los usuarios obtener números de teléfono desechables. Los investigadores utilizaron pasarelas de SMS para obtener una gran cantidad de números de teléfono desechables. Debido a que el phishing por SMS está ahora tan extendido, podrían simplemente esperar a que esos números de teléfono desechables comiencen a recibir ataques de phishing.

Utilizando esta técnica, los investigadores monitorearon 2.011 números de teléfono e identificaron 67.991 mensajes de phishing durante 396 días.

Mediante análisis de texto, los investigadores determinaron que esos mensajes de phishing podían dividirse en 35.128 campañas únicas, lo que significaba que utilizaban contenido prácticamente idéntico. Un análisis más detallado encontró que esas campañas estaban asociadas con 600 operaciones distintas de phishing por SMS.

«Por ejemplo, si vimos varias campañas que dirigían a los objetivos a hacer clic en la misma URL, esas campañas eran parte de la misma operación», dice Nahapetyan. «De manera similar, si viéramos una sola campaña que utilizara múltiples URL, podríamos determinar que esas URL eran parte de la misma operación».

Algunos de los hallazgos fueron sorprendentes. Por ejemplo, los investigadores descubrieron que los phishers de SMS utilizan servidores convencionales, aplicaciones de acortamiento de URL e infraestructura web para respaldar sus operaciones.

«Muchas personas asocian el cibercrimen con algún tipo de infraestructura turbia», afirma Nahapetyan. «Pero estas operaciones de estafa de phishing se ejecutan utilizando la misma infraestructura que todos los demás».

Los investigadores también descubrieron que algunos phishers también están creando sus propios dominios, que utilizan para alojar sus propios acortadores de URL.

«Esto plantea la posibilidad de que los servicios privados de acortamiento de URL proporcionen cierta protección adicional a los phishers, o que se trate de un servicio que se vende a los phishers como parte del ecosistema de phishing», afirma Nahapetyan. «Esa es un área para futuras investigaciones».

Los investigadores también probaron las defensas de los servicios de telecomunicaciones enviando sus propios (inofensivos) mensajes de phishing a 10 números de teléfono. Lo hicieron directamente desde un teléfono privado y nuevamente desde un servicio de mensajería masiva. Todos los mensajes de phishing se han entregado correctamente. Sin embargo, el servicio de mensajería masiva prohibió la cuenta del investigador.

Los investigadores también buscaron servicios de mensajería masiva que los phishers pudieran usar repetidamente y los encontraron. Los servicios que permitieron los ataques de phishing no se escondían en rincones oscuros de Internet, sino que se anunciaban abiertamente en plataformas públicas de redes sociales, como LinkedIn.

«En general, los resultados ponen de relieve dos cosas», afirma Nahapetyan. «En primer lugar, ya sabíamos que existía toda una economía de phishing por correo electrónico, y este trabajo deja claro que esto también se aplica al phishing por SMS. Alguien puede entrar y comprar una operación completa lista para funcionar: el código, la URL, los mensajes masivos, todo. Y si cierran su sitio o prohíben su servicio de mensajería, no les importa: simplemente pasan al siguiente.

«En segundo lugar, descubrimos que los mensajes de muchas operaciones de phishing incluyen lo que parecen ser notas para ellos mismos. Por ejemplo, un texto puede terminar con las palabras ‘ruta 7’ o ‘ruta 9’ o lo que sea. Esto sugiere que los phishers están utilizando puertas de enlace de SMS para probar diferentes rutas para entregar mensajes de phishing, con el fin de determinar qué rutas tienen más probabilidades de transmitir su mensaje.

En al menos cuatro casos, los investigadores identificaron estos «mensajes de texto», incluida la URL que estaban usando los phishers, antes de que los phishers hubieran implementado completamente la infraestructura web en la URL.

«Esto nos dice que los mensajes se enviaron antes de que se lanzaran en serio los ataques de phishing», afirma Nahapetyan. “Esto es importante porque sugiere que, al monitorear las puertas de enlace de SMS, podemos identificar algunas URL de phishing antes de que lleven a cabo sus ataques a gran escala. Esto hace que esas campañas de phishing sean más fáciles de identificar y bloquear antes de que cualquier usuario comparta datos privados”.

Los investigadores presentaron su artículo en el Simposio IEEE sobre Seguridad y Privacidad en San Francisco, California.

Otros coautores del artículo son de NC State y PayPal.

El apoyo a la investigación provino de la Fundación Nacional de Ciencias, la Asociación para la Excelencia en Ciberseguridad de Carolina del Norte, la Oficina de Investigación Naval, fondos del Premio de Defensa de Internet 2020 y PayPal.

Fuente: Estado de Carolina del Norte