Una campaña de phishing móvil dirigida a los clientes de más de una docena de bancos norteamericanos, entre los que se encuentran Chase, Royal Bank of Canada y TD Bank, logró enganchar a casi 4.000 víctimas.
En el ataque utilizó una herramienta de SMS automatizada para enviar mensajes de texto de seguridad falsos a los usuarios de teléfonos móviles, entre junio y enero últimos.
La empresa de seguridad móvil Lookout identificó la campaña de phishing “mobile-first” y dijo que se enviaron a las víctimas mensajes de texto en los que se afirmaba que su banco había detectado actividades sospechosas relacionadas con su cuenta. Cada uno de los mensajes de texto incluía un enlace a una de las más de 200 páginas de phishing.
“Las páginas de phishing están construidas para parecer legítimas en el móvil, con páginas de acceso que reflejan el diseño y el tamaño de la aplicación de la banca móvil, así como que incluyen enlaces como ‘Seguridad y Privacidad de la Banca Móvil’ o ‘Activar la Banca Móvil'”, escribieron los investigadores de Lookout Apurva Kumar, ingeniero de inteligencia de seguridad del personal y Kristin Del Rosso, ingeniero superior de inteligencia de seguridad, en un informe.
Los investigadores señalaron que las campañas de phishing basadas en el móvil tienen ventajas sobre sus equivalentes de escritorio. Por un lado, los mensajes de phishing móvil y los sitios falsificados son menos propensos a ser escudriñados, dijeron.
“Dado que los usuarios de móviles suelen estar en movimiento y es menos probable que escruten la autenticidad de un mensaje SMS, los mensajes de texto se han convertido en un nuevo y atractivo vector de ataque”, escribieron los investigadores.
Además, a menudo un sitio móvil condensado no mostrará una URL completa, lo que hace más difícil para un usuario determinar la legitimidad de un sitio.
Algunos de los bancos afectados por la estafa fueron: Scotiabank, CIBC, , Royal Bank of Canada, UNI, HSBC, Tangerine, TD Bank, Meridian, Laurentian, Manulife, BNC y Chase.
Si se enganchaban, las víctimas eran incitadas a divulgar las respuestas a preguntas de seguridad como su fecha de nacimiento, la fecha de vencimiento de la tarjeta de crédito, el número de cuenta, el nombre de usuario y la contraseña. En el transcurso de la campaña de siete meses, los investigadores dijeron que más de 3.900 direcciones IP únicas (usuarios de teléfonos) se conectaron a uno de los servidores de los adversarios.
“Con el aumento de la autenticación multifactorial para muchas aplicaciones, incluidas las utilizadas para la banca móvil, los consumidores están cada vez más acostumbrados a que los bancos se comuniquen mediante mensajes SMS”, escribieron los investigadores.
Un análisis del tráfico de una sola página falsa de banca móvil reveló más de 800 clics únicos en el enlace proporcionado enviado por SMS. Lookout dijo que, según su investigación, determinó que muchas víctimas seguían el enlace, respondiendo sólo a un número limitado de preguntas, antes de abandonar el intento de suplantación de identidad.
Con información de: Threat Post.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian