Expertos del sector han advertido del creciente riesgo que suponen para los beneficios de las empresas las estafas denominadas “SMS pumping”, que abusan de la generación de contraseñas de un solo uso (OTP) para hacer ganar dinero a los ciberdelincuentes.
Elon Musk puso de relieve la magnitud de la amenaza el mes pasado, cuando afirmó que Twitter estaba siendo “estafado” con 60 millones de dólares al año por mensajes SMS falsos de autenticación de dos factores (2FA).
Mientras el sector de la ciberseguridad se centraba en su respuesta -retirar los OTP basados en mensajes de texto para los no suscriptores-, el verdadero problema sigue sin abordarse, según Henry Cazalet, director de TheSMSWorks.
“Las pequeñas empresas y las startups son especialmente vulnerables al fraude por bombeo de SMS. Es menos probable que dispongan de los recursos necesarios para hacer más seguros sus formularios web”, indicó.
Para llevar a cabo una campaña de bombeo por SMS, un estafador suele registrarse en un servicio o cuenta que requiera 2FA, o generar de otro modo una OTP o enlace para el usuario por seguridad/autenticación. Si el formulario web no tiene suficientes controles incorporados, el atacante puede introducir números de tarificación adicional, que generan fondos para él y para el operador de red móvil (ORM) correspondiente.
A veces, los operadores de redes móviles participan en las estafas y otras veces el fraude se perpetra sin su conocimiento. Los bots suelen utilizarse para generar grandes beneficios para los estafadores.
Según TheSMSWorks, hay varios signos reveladores de que los estafadores están abusando de un formulario web:
-Un fuerte aumento del tráfico web y de los mensajes SMS autogenerados.
-Grandes volúmenes de mensajes enviados a países poco habituales.
-Envío de mensajes de texto a lotes de números en orden numérico.
-Formularios web parcialmente sin rellenar por bots
Hay algunas medidas relativamente sencillas que las organizaciones pueden tomar para reducir el riesgo: Desactive los SMS OTP de países en los que no opera. Establezca límites en el número de SMS que pueden enviarse a cualquier rango de números de móvil, y detecte y disuada a los bots. Además, identifique y controle los picos en los niveles de tráfico de SMS OTP.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian