Cómo los estafadores "colaboran" con proveedores y explotan infraestructura legal.
Un grupo de investigadores de la Universidad de Carolina del Norte estudió en detalle los mecanismos del SMS phishing. Su trabajo arroja luz tanto sobre la magnitud general del problema como sobre la estructura interna de las operaciones criminales de phishing en todo el mundo.
Según un informe de la organización Anti-Phishing Working Group (APWG), en 2023 el número de ataques de phishing de este tipo alcanzó niveles sin precedentes. En el SMS phishing, los delincuentes envían mensajes falsos haciéndose pasar por organizaciones confiables, como bancos, entidades gubernamentales, etc. Su objetivo es engañar a las víctimas para obtener datos confidenciales, incluidos inicios de sesión, contraseñas y detalles de tarjetas bancarias.
Hasta hace poco, los investigadores tenían muy poca información sobre el funcionamiento de los grupos de phishing. Los proveedores temían violar la privacidad de los suscriptores al analizar el tráfico de SMS y eran reacios a ayudar en las investigaciones. Para superar este obstáculo, los especialistas recurrieron al uso de puertas de enlace SMS, servicios en línea para obtener números de teléfono virtuales desechables.
Después de obtener más de 2000 de estos "cebos", el equipo liderado por el estudiante de posgrado Alex Nahapatyan esperó a que llegaran mensajes fraudulentos. En 396 días de monitoreo, registraron 67.991 SMS de phishing, que se pueden dividir en 35.128 campañas únicas con contenido prácticamente idéntico. Un análisis posterior permitió vincular estas campañas con 600 operaciones criminales separadas.
Los resultados de la investigación resultaron muy interesantes. Se descubrió que para implementar sus esquemas ilegales, los estafadores utilizan ampliamente la misma infraestructura web legal y servicios en la nube públicos que las organizaciones legítimas. Estamos hablando de servicios de hosting principales, acortadores de enlaces, "nubes" y más.
Los detalles en el texto de los propios SMS lo confirman. Al final de muchos mensajes hay anotaciones como "ruta 7" o "ruta 9". Presumiblemente, los estafadores usan estas etiquetas para probar diferentes rutas de entrega de mensajes e identificar las estrategias más efectivas.
Los académicos también descubrieron que algunos estafadores no solo usan infraestructura de acceso público, sino que también crean la suya propia. Por ejemplo, algunos grupos registran nombres de dominio únicos exclusivamente para alojar sus propios servicios "privados" de acortamiento de enlaces. Según los expertos, este enfoque podría usarse para proporcionar protección adicional a las operaciones criminales o incluso indicar la existencia de un mercado negro de tales servicios.
Los especialistas también decidieron verificar qué tan bien están protegidos los proveedores y sus clientes contra amenazas similares, y qué tan difícil es para los estafadores lograr sus objetivos. Enviaron SMS de phishing inofensivos a 10 números directamente desde sus dispositivos y a través del popular servicio de mensajería masiva Pavlok. Todos los mensajes se entregaron con éxito a los destinatarios, pero luego la cuenta de los investigadores en Pavlok fue bloqueada.
Sin embargo, las búsquedas mostraron que existen otros servicios de mensajería masiva de SMS que anuncian abiertamente sus servicios en Internet y no se avergüenzan de colaborar con delincuentes.
En algunos casos, era posible interceptar mensajes que contenían direcciones URL maliciosas antes de que los delincuentes pudieran implementar completamente los recursos web falsos correspondientes. Probablemente, los SMS se enviaron para verificar que los enlaces funcionaran antes de lanzar la campaña a gran escala. Este hecho abre la posibilidad de detectar ataques de phishing en sus primeras etapas mediante el escaneo y análisis constantes del tráfico.
La investigación también arroja luz sobre la economía de la industria criminal del SMS phishing. Resultó que no es difícil para los novatos en este negocio adquirir un conjunto de phishing listo para usar con toda la infraestructura necesaria: código, dominios, servicios de mensajería masiva, etc. Y si alguno de los recursos es bloqueado, no es un problema: existe la posibilidad de cambiar rápidamente a una reserva del vasto arsenal criminal.
Los resultados de este trabajo a gran escala se presentaron el 20 de mayo en el simposio IEEE sobre seguridad y privacidad en San Francisco. Los coautores del estudio fueron el estudiante de posgrado Sathvik Prasad, el ex estudiante Kevin Childs, los profesores Alexandros Kapravelos y Brad Reaves, y los empleados de PayPal Adam West e Yeganeh Ladvig. Los hallazgos de los académicos tienen como objetivo ayudar a las autoridades a combatir de manera más efectiva la creciente amenaza del SMS phishing y proteger a los usuarios de filtraciones y pérdidas financieras.