Investigación · Threat Intel

Campañas de SMS maliciosas en Chile: tras la pista de Smishing Triad

Las estafas telefónicas evolucionaron. Hoy enfrentamos SMS fraudulentos que suplantan a Correos de Chile para robar datos de tarjetas, distribuidos a través de servicios legítimos de mensajería masiva. Analizamos cerca de 80 muestras con fuentes públicas y rastreamos el origen hasta una red internacional de cibercrimen como servicio.

Campañas de SMS maliciosas en Chile — Investigación Twoko
Resumen de la investigación

Lo que encontramos

  1. Una red internacional de cibercrimen como servicio (CaaS) conocida como Smishing Triad está detrás de las campañas en Chile.
  2. Cruzando los números de origen con la base pública de numeración de SUBTEL, identificamos que los SMS se distribuyen vía proveedores legítimos de telefonía IP.
  3. El kit de phishing/smishing es desarrollado por un actor de origen chino apodado "Chenlun" y se vende por Telegram.
  4. La falta de un antispam para SMS deja al usuario final sin protección y traslada toda la responsabilidad sobre él.

De la llamada falsa al SMS fraudulento

Las estafas telefónicas han sido una preocupación constante en la sociedad y, a lo largo del tiempo, han evolucionado en sus modalidades. Mientras que las llamadas de urgencia o los falsos secuestros de familiares solían ser los métodos más comunes, hoy las estafas telefónicas se han sofisticado. Nos enfrentamos a delincuentes que se hacen pasar por ejecutivos bancarios, solicitan códigos de verificación de WhatsApp para realizar secuestros virtuales y utilizan SMS fraudulentos con diversas finalidades.

En los últimos meses observamos un aumento alarmante en las campañas de smishing que suplantan a Correos de Chile, con el objetivo de sustraer datos de tarjetas de crédito. Estas campañas demostraron tener un alcance significativo, lo que plantea una seria preocupación respecto de la seguridad de los usuarios del territorio nacional.

Una de las principales problemáticas asociadas a esta creciente ola de estafas es la falta de mecanismos de protección efectivos para el usuario final. A diferencia del correo electrónico, donde existen sistemas antispam bien establecidos, el ámbito de los SMS maliciosos carece de una protección equivalente. Esto deja a los usuarios en una situación vulnerable, expuestos a las amenazas sin una capa de seguridad sólida que los resguarde.

Detección con fuentes públicas de información

Para llevar a cabo este proceso investigativo analizamos muestras obtenidas de diferentes fuentes, con el objetivo de identificar patrones o información relevante que ayudara a determinar la fuente de origen de estas estafas.

Recolectamos alrededor de 80 muestras, organizadas según su número de origen, fecha de envío, contenido del mensaje y URL, entre otros campos. Una vez agrupados los datos, analizamos las URLs y los números emisores de los mensajes de texto, para luego cruzar esa información con fuentes públicas.

Los resultados indican que nos enfrentamos a un grupo de ciberdelincuentes internacionales. En este contexto recomendamos establecer comunicación, a la brevedad, con los proveedores nacionales afectados, que están permitiendo la entrega de mensajes de texto maliciosos a través de servicios legítimos.

Muestra de SMS fraudulento suplantando a Correos de Chile Muestra de SMS fraudulento con URL maliciosa
Muestras reales de SMS recolectadas durante la investigación.

1 · Análisis de los números de origen

Para comenzar buscamos patrones en el número de origen del SMS, donde identificamos dos patrones. El primero: el número "44", que según la información encontrada corresponde a la zona primaria de telefonía IP (ejemplo: 56 44 XXX XXXX).

Patrón en los números de origen de los SMS

El segundo patrón son los tres números que siguen al identificador 44 de telefonía IP:

Para seguir obteniendo información del origen de los SMS fraudulentos buscamos en fuentes públicas el plan de numeración de telefonía IP. En este caso, SUBTEL mantiene pública y actualizada la base de numeración telefónica asignada a cada proveedor en Chile.

Base pública de numeración de telefonía IP de SUBTEL

Cruzando los SMS analizados con la base de numeración de telefonía IP pudimos determinar el origen de los mensajes, lo que dio como resultado que ciertas organizaciones están siendo utilizadas para distribuir SMS maliciosos.

Organizaciones utilizadas para distribuir los SMS maliciosos

2 · Investigación de las URLs

Tras identificar el origen de los SMS, analizamos el código fuente del formulario web que suplanta a Correos de Chile.

Código fuente del formulario de phishing — evidencia 1 Código fuente del formulario de phishing — evidencia 2
Comentarios en el código fuente de la plataforma de smishing

Según las evidencias recopiladas desde el código fuente de la URL maliciosa, pudimos determinar que:

Panel de administración del servicio de smishing

3 · El actor malicioso: "Chenlun"

Para conocer la identidad del o de los actores maliciosos, buscamos el nombre de usuario "Chenlun" en distintas redes sociales. Encontramos tres canales de Telegram donde es posible comprar "packs de smishing". Dentro de los canales también hay información técnica de la plataforma de administración de smishing y phishing.

Canales de Telegram donde se comercializan los kits de smishing

La comunidad en torno a los productos de Chenlun parece activa y en crecimiento: cada día se suman nuevos usuarios y diariamente se publican anuncios de servicios de otros individuos. Es importante mencionar que Chenlun sólo proporciona el front-end como servicio, aunque comparte tutoriales y consejos sobre cómo implementar sus productos en una campaña de la vida real.

Conclusiones

La investigación arroja conclusiones significativas sobre las campañas de smishing que se desarrollan en el territorio nacional. Identificamos que son ejecutadas por una red de cibercriminales conocida como "Smishing Triad". Este grupo ofrece una infraestructura de cibercrimen como servicio (CaaS), suministrando kits de phishing y smishing personalizados a otros actores maliciosos.

Encontramos información actualizada en línea sobre las actividades de "Smishing Triad" en varios países, incluyendo España, México, Estados Unidos, Reino Unido, Kuwait, Polonia, Suecia, Italia, Indonesia y Japón.

Los resultados también revelan que la mayoría de los mensajes SMS recopilados corresponden a servicios legítimos de mensajería masiva. Por lo tanto, recomendamos que las empresas chilenas que permiten la distribución de SMS maliciosos sean contactadas de inmediato para alertar sobre esta actividad delictiva. Para las organizaciones afectadas, aconsejamos llevar a cabo investigaciones exhaustivas con el fin de identificar y bloquear posibles accesos no autorizados a sus servicios. Twoko está disponible para entregar los datos procesados y ayudar en la solución del problema.

Elementos clave de la campaña

Antecedentes y tácticas

Las campañas de smishing analizadas no sólo se despliegan en el territorio nacional: se pueden encontrar en los cinco continentes. Si bien la investigación se enfoca en "Smishing Triad", no descartamos que otros actores maliciosos estén involucrados.

Método de envíos masivos de SMS

No es posible determinar cómo obtienen acceso a los servicios de delivery de SMS ni a las bases de datos de números, ya que no controlamos esa plataforma. Sin embargo, encontramos muestras de SMS enviadas por al menos siete proveedores. También está disponible el sistema de pago (desde fuera de Chile) para contratar estos servicios, y se conocen técnicas que buscan utilizar API Keys sin restricciones de permisos para el envío de SMS.

Detalles técnicos

La campaña experimentó un pico en agosto, con casi 30 nombres de dominio diferentes registrados por los atacantes y con reportes de estos mensajes desde varios proveedores autorizados de envío de SMS, lo que confunde aún más al usuario final. Además, ofrecen kits de smishing a través de Telegram, creando un efecto de red de fraude como servicio.

Cibercrimen como servicio (CaaS)

El cibercrimen como servicio es un modelo de negocio en el que los delincuentes ofrecen una variedad de servicios y herramientas para actividades ilícitas a cambio de dinero. Se asemeja al modelo de Software como Servicio (SaaS): los usuarios pagan por servicios en línea sin necesidad de adquirir o desarrollar la infraestructura por sí mismos. En este contexto, los actores maliciosos ofrecen:

El CaaS ha hecho que el ciberdelito sea más accesible para una gama más amplia de personas: ya no es necesario ser un experto en seguridad informática para llevar a cabo actividades delictivas en línea. Este modelo aumentó la sofisticación y la propagación de las amenazas, representando un desafío significativo para la ciberseguridad en todo el mundo.

Alcance del impacto

Los cibercriminales aprovechan vacíos normativos y tecnológicos para distribuir sus campañas: no existe ninguna normativa sobre la distribución de SMS y faltan herramientas tecnológicas (un antispam) que permitan controlar el alto volumen de tráfico. Este contexto les permite alcanzar un alto grado de masividad, con bajos niveles de control y trasladando toda la responsabilidad final al usuario.

¿Tu organización está expuesta al smishing?

En Twoko detectamos smishing en milisegundos, hacemos threat intelligence y assessments ofensivos para bancos, fintechs y retail. Blindamos el eslabón móvil antes que los delincuentes lo exploten.

Hablar con un especialista ofensivo

Copyright Twoko ® — Offensive Prevention