Una Campaña de Smishing con SMS Spoofing usando a la Dirección General de Tráfico con la Operación Salida de Libro

La semana pasada me llegó a mi número de teléfono personal un ataque de Smishing para capturar mis datos personales y, por supuesto, mi tarjeta de crédito. El gancho, que la Dirección General de Tráfico (DGT) me había puesto una multa durante la Operación Salida de Agosto y, cumpliéndose el mes, se me acababa el tiempo para pagarla con Descuento.

Figura 1: Una Campaña de Smishing con SMS Spoofing usando

a la Dirección General de Tráfico con la Operación Salida de Libro

El mensaje me vino por SMS, como he dicho, y utilizaba técnicas de SMS Spoofing para que se colara dentro del flujo de mensajes que recibo de la DGT cuando utilizo su app, así que los atacantes prepararon bien la campaña.

Figura 2: El Smishing con el el dominio de Phishing

haciendo SMS Spoofing con el número de la DGT

Ví el mensaje desde el iPhone, sin tener mis gafas a mano y pensé... ¡porras! una multa. El SMS Spoofing, añadido a que alguna vez de eses muy raras he sufrido una "multilla" con mi Malignomóvil, hacía que esa posibilidad estuviera dentro del universo de lo posible. Pero no sólo eso, sino que cuidaron todos los detalles como manda el manual del buen Ciberestafador, como bien nos cuenta Juan Carlos Galindo en su pedazo de libro.

Figura 3: "Ciberestafas: La historia de nunca acabar" (2ª Edición).por Juan Carlos Galindo en 0xWord.

Si me has visto utilizar el iPhone cuando no tengo las gafas a mano, habrás visto que golpeo con mis tres deditos para hacer uso de la lupa. Sí, ver de cerca bin sin gafas no es una de mis capacidades hoy en día, así que uso las opciones de accesibilidad para aumentar el contenido de la pantalla, así que hice clic en el enlace - que veréis que está claro que es un sitio de phishing -, y entré a ver la web.

Figura 4: La web de phishing para mobile

No saltó ninguna protección de Apple Safari para iOS de sitio fraudulento, y la multa describía el hecho el día 1 de Agosto, en plena Operación Salida. Ese fin de semana yo tenía que viajar, que me incorporaba, como ya os conté, al lunes siguiente en Cloudflare, así que viajaba ese día. 

Figura 5: La web de phishing pide datos y los valida

Era fin de mes, había pasado todo el mes de Agosto y caducaba la Reducción del 50% así que decidí que mejor pagarla cuanto antes, pero como no tenía gafas a mano, copie el SMS y me lo envíe por Telegram a los Saved Messages para hacerlo desde el ordenador, a gran pantalla.

Figura 6: Y tras los datos, debes dar los datos de tu tarjeta de crédito.

Si lo haces, te va a salir caro el "descuento" de la multa.

Me puse las gafas, y confiado por todo el proceso, hice clic, y en ese momento me saltó un error de NGINX en el navegador  - Google Chrome para MacOS -, y fue cuando acabó la magia. Ahí ya me fijé en la URL, y como os podéis imaginar, me di cuenta de todo. El Cloacking que hacía ese sitio para evitar conexiones que nos fueran desde USER-Agents de móviles evitaba que se viera el sitio de Phishing desde el escritorio.

Figura 7: Dominio detectado como Phishing en Chrome

Hice las capturas, para contaros esta historia, y a día de hoy el sitio ya está caído, y bloqueado en los filtros antiphishing de Google Chrome, pero me quedé pensando en cuánta gente habrá entregado su tarjeta de crédito y sus datos a una campaña que estaba tan bien preparada. Había hecho.

• Un sitio de Phishing para mobile, con una típica URL de phishing.
• Habían hecho cloacking con el USER-Agent para evitar "curiosos" o "no provenientes del Smishing"
• Una campaña de envío masivo de SMS Smishing
• Habían utilizado SMS Spoofing para meterse en el hilo de DGT de los mensajes
• Habían enviado la campaña a finales de mes con el la urgencia del pago con descuento
• Habían puesto el motivo con algo que podría ser factible: Una multa el día 1 de Agosto.
• Habían conseguido saltar los filtros antiphishing de los navegadores. Apple Safari para iOS lo marca como caído, pero no como marcado.

En mi caso funcionó todo, a excepción de que lo que se había convertido en una ventaja para ellos - que no veía bien sin gafas y no me pude fijar en la URL en el móvil - se convirtió en una protección cuando lo intenté hacer desde el ordenador con mis gafas. 

Figura 8: Libro de Hacking iOS:iPhone & iPad (2ª Edicón) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

Por ponerle alguna pega a la campaña, le faltó poner un precio mas realista ya que una multa de 35€ no es ni de aparcamiento en España, y si hubieran hecho la versión web solo para links con redirect usando algún parámetro de tracking, as lo mejor hubiera sido más efectiva incluso. Pero estoy seguro de que esta campaña habrá generado más de algún "premio" para los cibercriminales que la lanzaron. Así que, no hay que relajarse nunca y hay que evitar que la vida ajetreada nos haga bajar las defensas, que por quitarnos las cosas cuanto antes, podemos saltarnos alguna comprobación. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)