Por Mid 
Smishing Triad utiliza más de 194.000 dominios para fraudes globales de SMS – Una Al Día
Tiempo estimado de lectura: 5 minutos | Dificultad técnica: Media
Conclusiones clave
- Smishing Triad ha desarrollado una extensa campaña de smishing utilizando más de 194,000 dominios maliciosos.
- Los ataques se dirigen a servicios bancarios, cuentas de usuario y entidades gubernamentales, buscando obtener credenciales y datos sensibles.
- La infraestructura descentralizada y el ciclo de vida corto de los dominios complican la identificación y clausura de estos ataques.
- Se han reportado pérdidas superiores a $1.000 millones debido a ataques de manipulación en mercados bursátiles.
- Se recomienda precaución ante mensajes de SMS sospechosos y la implementación de sistemas de alerta contra dominios fraudulentos.
Índice
- 1. ¿Qué es Smishing Triad?
- 2. Métodos utilizados por Smishing Triad
- 3. Riesgos para usuarios y empresas
- 4. Recomendaciones para la prevención
- 5. Conclusiones finales
- 6. Referencias
1. ¿Qué es Smishing Triad?
Una nueva ola de smishing, atribuida al grupo conocido como Smishing Triad, ha explotado a nivel global, utilizando más de 194,000 dominios maliciosos para llevar a cabo ataques dirigidos a servicios bancarios, cuentas de usuario y entidades gubernamentales. Este grupo, presuntamente asociado con China, ha desarrollado una de las campañas de phishing por SMS más significativas en los últimos años, según informes de Unidad 42 de Palo Alto Networks.
2. Métodos utilizados por Smishing Triad
Utilizando técnicas de creación y rotación de cientos de miles de dominios, los atacantes logran suplantar a una variedad de servicios, que van desde bancos hasta empresas de paquetería, agencias gubernamentales y plataformas financieras. El objetivo es conseguir credenciales y datos sensibles de los usuarios. La ofensiva se apoya en una arquitectura descentralizada que involucra a desarrolladores de kits de phishing, vendedores de información, proveedores de alojamiento y grupos dedicados al spam.
Los dominios generados en esta operación tienen un ciclo de vida que rara vez supera una semana; se registran principalmente en Hong Kong y se alojan en servicios en la nube de Estados Unidos, como Cloudflare. Los atacantes utilizan plantillas que imitan a servicios como USPS y diversas instituciones financieras, redirigiendo a los usuarios hacia páginas falsas con el propósito de recopilar contraseñas, códigos de autenticación y detalles bancarios.
Además, tácticas como ‘ClickFix’ son implementadas para incitar a los usuarios a ejecutar código malicioso al presentar motivos engañosos. La abrumadora cantidad de dominios efímeros complica drásticamente la identificación y clausura de estas infraestructuras, permitiendo que la campaña se expanda a nivel mundial de manera sostenida.
3. Riesgos para usuarios y empresas
En el transcurso de tres años, Smishing Triad ha logrado obtener más de $1.000 millones y ha manipulado mercados bursátiles a través de ataques a cuentas de inversores, conocido como ‘ramp and dump’. El riesgo es alarmante tanto para usuarios como para empresas, ya que puede resultar en pérdidas financieras, robos de identidad y la exposición de información confidencial a través de canales que son difíciles de rastrear.
4. Recomendaciones para la prevención
Por ello, organismos e individuos deben ser extremadamente cautelosos ante mensajes de SMS que parezcan sospechosos o que generen un sentido de urgencia. Se aconseja no hacer clic en enlaces ni proporcionar información personal por medio de SMS, así como verificar directamente la autenticidad de los mensajes con los proveedores pertinentes. Es fundamental mantener sistemas de alerta que identifiquen dominios fraudulentos. Las organizaciones también deberían monitorizar registros DNS, invertir en soluciones de protección contra smishing y brindar formación a sus equipos sobre ingeniería social avanzada.
5. Conclusiones finales
El caso de Smishing Triad pone de manifiesto la sofisticación y el alcance de las campañas de smishing en la actualidad. Para hacer frente a este fenómeno que continúa creciendo y que tiene un impacto multimillonario, las respuestas de los equipos de ciberseguridad deben incluir vigilancia proactiva, sensibilización y colaboración internacional.
6. Referencias
- Unidad 42 de Palo Alto Networks
- Cybersecurity and Infrastructure Security Agency (CISA)
- Federal Bureau of Investigation (FBI)