Un ataque de Smishing es un método más de phishing mediante la cual un atacante intenta obtener información privada a través de un mensaje de texto o SMS. A pesar de que este tipo de mensajería no es muy frecuente de usar, es útil para recibir códigos de verificación de cuentas. Debido a que las personas suelen confiar más en los mensajes SMS que en los correos electrónicos, las amenazas han crecido disparadamente. El SMishing usa elementos de la ingeniería social para ganarse la confianza del usuario. La ingeniería social es un conjunto de técnicas de obtención de información confidencial a través de la manipulación, es el arte del engaño humano. Se basa en habilidades sociales para contemplar el acceso a un sistema, ejecutar cierta acción elaborada, suplantar identidad, entre otras. La ingeniería social es la vulnerabilidad que más provecho se le saca, después de todo, la capa 8 es el eslabón más débil (el usuario).
En resumen, este ataque va de la mano con el phishing tradicional, solo que aquí el ataque se dirige por mensajes SMS a un usuario simulando ser una entidad legítima. Existen servicios en línea que ofrecen envíos de SMS personalizados a cualquier número, por lo tanto, esta técnica suele ir acompañada con SMS spoofing para suplantar la identidad o hacerse el control del propio número (chip) y obtener los códigos de verificación de sus cuentas personales.
La plataforma Twilio es una API que permite la comunicación con el servidor web para enviar y recibir mensajes SMS, MMS y de WhatsApp de manera confiable. El primer paso que debemos realizar es crearnos una cuenta desde su página oficial. Luego de verificar el correo electrónico les va a pedir que ingresen un número telefónico con el cual se va a enviar los mensajes (remitente), aquí lo que hice fue buscar números públicos en línea que no estén registrados en la plataforma y verificarlo. Con prueba y suerte pude encontrar uno no registrado en Twilio.
Les pedirá que verifiquen el número, éste les llegará al servicio que escogieron (recargan la web).
Seleccionan el uso que le van a dar a la API y lenguaje de programación a utilizar, en este caso para enviar SMS a través de Python.
Se generará el identificador de la cuenta y el token para vincular la API.
Tenemos que instalar un módulo llamado twilio para trabajar con el cliente Twilio. Instálelo con el siguiente comando:
pip install twilio
Luego importamos el Cliente desde twilio.rest.
from twilio.rest import ClientCreamos dos variables, la primera para almacenar el identificador de la cuenta y la segunda el token para interactuar con la API.
account_sid = "[SID]"
auth_token = "[TOKEN]"A continuación, creamos una variable llamada cliente para pasarle el SID y el token.
client = Client(account_sid, auth_token)Por último, almacenamos en la variable mensaje el cuerpo del mensaje, el número del emisor y el del receptor al que será enviado.
message = client.messages.create(
body="MENSAJE",
from_="+EMISOR",
to="+RECEPTOR"
)
print(message.sid)Ejecutamos el script y si todo sale sin problemas, el mensaje se enviará al destinario. He utilizado un número público de la misma web que mencioné al principio pero esta vez para el receptor.
from twilio.rest import Client
account_sid = "[SID]"
auth_token = "[TOKEN]"
client = Client(account_sid, auth_token)
message = client.messages.create(
body="MENSAJE",
from_="+EMISOR",
to="+RECEPTOR"
)
print(message.sid)
Lo más recomendable para actuar contra este ataque es no proporcionar datos personales o códigos de privados en respuesta de un mensaje no solicitado. Bloquear y denunciar números telefónicos desconocidos, no ingrese a ningún enlace que le puedan proporcionar, solicite una segunda verificación del remitente para asegurarse de que no se trate de una suplantación de identidad. Dentro de una organización, se aconseja implementar políticas de ciberseguridad que definan cómo deben actuar quienes reciban mensajes sospechosos en su teléfonos. Reducir los privilegios de acuerdo a las funciones de cada persona dentro de la empresa u organización, estó limitará el rango de las consecuencias. Capacitar a los empleados es esencial para reducir los ataques de ingeniería social y estar más prevenidos.