Este tipo de ataque es el más sencillo a la hora de analizarlo técnicamente; normalmente está vinculado a la copia de un sitio conocido por la víctima, en el cual se cambia la dirección a donde llegan los datos ingresados. De este modo, el ciberdelincuente roba las credenciales ingresadas por la víctima, que pueden estar alojadas en texto plano en un archivo de texto o ser enviadas a alguna casilla de correo electrónico.
En la imagen siguiente, podemos observar un sitio de phishing que afecta a Paypal, el cual ha sido montado sobre otro presuntamente vulnerado, que luego fue utilizado para montar el sitio fraudulento.
Esta clase tiene como principal diferencia que está dirigido a personas o grupos reducidos. De esta manera las campañas son mucho más personificadas y con un porcentaje mayor de víctimas.
Raramente se ven casos que afecten entidades bancarias o redes sociales, debido a que no buscan la masividad sino todo lo contrario; en realidad, este tipo de métodos es utilizado en ataques como los APTs, apuntando a empleados de empresas con perfiles determinados. Esto significa que las víctimas podrían recibir correos personificados con nombre y apellido, incluso falsificando direcciones conocidas para generar una mayor empatía y confianza de un navegante incauto.
Debemos tener en cuenta que si los ciberdelincuentes quisieran adentrarse en los sistemas buscarían el eslabón más débil dentro de la red. De este modo, no debemos esperar que el Gerente de Sistemas sea el blanco principal de este tipo de ataque, sino alguien con menos conocimientos técnicos de informática, como en muchos casos es alguien de áreas no relacionadas (por ejemplo, administración o recursos humanos).
Este tipo de phishing está relacionado con el uso de otro canal digital como son los teléfonos celulares. Normalmente los delincuentes se hacen pasar por entidades conocidas y envían un mensaje de texto alertando a la víctima de que ha ganado un premio. Comúnmente las victimas deben responder con algún tipo de código o número especial para validar su falso premio.
Los smishers usan la Ingeniería Social para que las víctimas hagan una de tres cosas:
- Hacer clic en un hipervínculo
- Llamar a un número de teléfono
- Responder a un mensaje de texto
Como suele ocurrir, el objetivo de esta operación es obtener un redito económico, el cual muchas veces está ligado a estafas de distintas formas. En la región se encontraron campañas en las que luego de algunos mensajes de felicitaciones por haber ganado algún tipo de premio, se pedían datos personales o incluso se instauraban falsos centros de atención telefónica donde de una manera muy profesional, engañaban a las víctimas pidiendo sus datos de cuentas bancarias e incluso los números de sus tarjetas de crédito.
En la siguiente imagen podemos apreciar un típico de caso de smishing, pero ahora utilizando una pequeña variante, la cual se basa en no usar el servicio de SMS sino aplicaciones como WhatsApp o Telegram.
