La facilidad con la que se puede enviar un SMS falso también ha sido documentada por el Sr. ZP Lee, que se hace llamar «Capitán Sinkie» en su blog.
El Sr. Lee, fundador de la escuela de codificación Upcode Academy, dijo que se preocupó después de leer acerca de las recientes estafas de phishing y decidió descubrir por sí mismo cómo se podría falsificar un SMS.
Mediante el uso de una herramienta de terceros que encontró en línea, logró enviarse un mensaje a sí mismo con el nombre de «DBS Bank».
Estos servicios de terceros se encuentran fácilmente en línea con el código escrito «en solo minutos», dijo el Sr. Lee, quien también es instructor de ciencia de datos.
“Estoy asombrado y extremadamente preocupado por lo fácil que es para cualquiera usarlos para falsificar el nombre del remitente en un SMS”, dijo a CNA.
¿REGISTRO OBLIGATORIO DE ID DE REMITENTE DE SMS?
Los expertos dijeron que hacer que los usuarios registren previamente sus ID de remitente de SMS, o los nombres que aparecen en sus mensajes, con las autoridades es una forma de frustrar los intentos ilegales de los estafadores.
En Singapur, la Autoridad de Desarrollo de Medios de Infocomm (IMDA) lanzó un programa piloto que permite a las organizaciones hacerlo en agosto del año pasado. Después de registrarse, los mensajes se bloquearán cuando haya un uso no autorizado de las ID de remitente registradas.
El programa, sin embargo, no es obligatorio.
Lee, el empresario, ha iniciado una petición en línea pidiendo a las autoridades que hagan cumplir dicho prerregistro y adopten «un enfoque de lista blanca».
“Restringir y bloquear todos los nombres de los remitentes para que no sean cambiados por un tercero. En su lugar, solicite a las empresas que se registren para ciertos nombres de remitentes antes de que puedan usarse para enviar SMS. Esto significa que los piratas informáticos no podrán falsificar los nombres de los remitentes de SMS”, explicó.
Hasta el jueves (20 de enero) por la tarde, casi 2200 personas habían firmado la petición en Change.org.
Este prerregistro ya se requiere en muchos países, dijeron los expertos.
“El registro previo evitaría que los atacantes puedan falsificar las identificaciones de remitentes de SMS de las organizaciones. Definitivamente apoyaría que el Gobierno lo haga obligatorio”, dijo Hall, y agregó que no ve otras regulaciones “que puedan ayudar sin ser dominantes”.
El gobierno también puede desarrollar una plataforma que complemente la aplicación ScamShield existente, lo que permite que organizaciones como los bancos compartan números de teléfono y direcciones URL maliciosas que hayan detectado.
“Esta base de datos abierta de información puede ayudar a las empresas a mantenerse a la vanguardia y defenderse de los estafadores que pueden reutilizar el mismo número o enlaces en futuros ataques”, dijo el Sr. Lee, el experto en seguridad cibernética de F5.
Más allá de la legislación, las organizaciones como las empresas de telecomunicaciones y los bancos también deben desempeñar un papel activo en la protección de los consumidores.
“Si bien las herramientas de suplantación de identidad por SMS desempeñan un papel en permitir estas estafas de suplantación de identidad, el sistema de SMS actual implementado por las empresas de telecomunicaciones también contribuye a que los estafadores puedan explotar fácilmente la confianza de los clientes”, dijo el Sr. Lee de F5.
Cuando CNA se puso en contacto con él, Singtel dijo que desde el auge de la tecnología de enmascaramiento de números hace cinco años, ha estado bloqueando el tráfico de SMS internacional entrante con ID de remitente alfanuméricos que no se enrutan oficialmente a través de agregadores de SMS de nivel 1.
Los agregadores de SMS de nivel 1 son los únicos agregadores con licencia para facilitar el tráfico comercial de SMS.
La empresa de telecomunicaciones estima que bloquea alrededor de 40 millones de mensajes que se originan en operadores móviles en el extranjero cada año.
Un portavoz de Singtel le dijo a CNA que la compañía apoya el programa piloto de IMDA y cree que hacer cumplir el registro previo para las identificaciones de remitentes es una medida importante contra los mensajes fraudulentos.
De manera similar, StarHub dijo que ha implementado medidas de seguridad para bloquear mensajes potencialmente maliciosos enviados desde números comúnmente falsificados.
En M1, las salvaguardas implementadas incluyen trabajar con las autoridades para eliminar los sitios fraudulentos y las líneas móviles asociadas cuando sea posible.
“También hemos estado trabajando en estrecha colaboración con IMDA en medidas de todo el sector, como el bloqueo de números comúnmente falsificados, prefijar todas las llamadas internacionales entrantes con +65 para alertar al público sobre posibles llamadas fraudulentas y educar a los usuarios para que reconozcan y eviten las estafas”, dijo un portavoz. dicho.
La empresa de telecomunicaciones también dijo que el registro de protección de ID de remitente de SMS de IMDA proporciona «una capa adicional de protección» e instó a las organizaciones a participar en el programa piloto «para evaluar su eficacia».