Simulaciones de ataques de Smishing

Componente

Ataques de Smishing

SMARTFENSE permite crear campañas de Smishing en las que se simulan SMS de suplantación de identidad, ya sea de reconocidas empresas, personas u organismos o internas de su misma organización.

Estas campañas permiten evaluar cuántos usuarios confían en este tipo de mensajes de texto y ponen en riesgo tanto su información personal como la información confidencial corporativa.

Con esta información es posible conocer el nivel de riesgo actual que la organización tiene frente a un ataque de Smishing y establecer objetivos y metas para llevarlo a un nivel aceptable mediante acciones de concientización.

Galería de contenidos de simulación de Smishing

Acerca de los contenidos de Simulación de Smishing

multicatálogo

Contenidos predefinidos

SMARTFENSE brinda una amplia galería de trampas de Smishing que se encuentra en constante actualización y crecimiento.

editar

Contenidos personalizados

Como en todos los componentes, en las simulaciones también es posible editar los contenidos predefinidos o crear nuevos desde cero.

filtro

Contenidos adaptados

Los contenidos predefinidos de SMARTFENSE no son genéricos, sino que se ajustan a cada organización mediante el uso de variables.

Feedback que aparece luego de responder a una pregunta de Momentos Educativos

Integración con Momentos Educativos

Las simulaciones de Smishing pueden ser también una herramienta de concienciación muy efectiva. Por un lado, porque mantienen a los usuarios atentos a los engaños que reciben por SMS. Esta ventaja es más evidente si se realizan campañas de simulación periódicas.

Por otro lado, porque permiten concienciar al usuario en el momento justo en que realiza un comportamiento de riesgo, como ingresar a un enlace acortado dentro de un SMS. Esto se logra configurando Momentos Educativos en las campañas de simulación.

Conocer más

Estadísticas de Smishing

A partir de los SMS de simulación de Smishing que se entregan en cada campaña es posible medir la la apertura de enlaces acortados y el ingreso de datos en sitios web de Smishing simulado.

Además, si la campaña ha sido configurada con Momentos Educativos, se dispone también de métricas relacionadas con la apertura, lectura y comprensión de los contenidos provistos.

Por último, es posible conocer los usuarios que reconocieron la campaña y la reportaron al equipo de respuesta a incidentes.

Ya sea mediante grupos inteligentes o mediante una acción asistida, es posible crear agrupaciones con los usuarios que realizaron - o no - cierta interacción, para luego lanzar acciones de concienciación específicas.

Detalle de campaña de una campaña de simulación de Smishing
Reporte evolutivo sobre el comportamiento de los usuarios

Reportes y auditoría

Todas las interacciones de los usuarios en las campañas de Smishing quedan guardadas en forma de registros de auditoría inalterables con información útil como la dirección IP, User Agent e información de Whois.

Estos registros están preparados para ser presentados frente a auditorías y demostrar el cumplimiento de normativas en forma sencilla.

Conocer más

Scoring de riesgo

El resultado de las campañas de simulación de Smishing influye en el scoring de riesgo de los usuarios. El scoring de riesgo permite evaluar y medir el nivel de riesgo que el usuario posee de sufrir un incidente de seguridad de la información asociado a sus hábitos y comportamientos.

Conocer más

Representación del scoring de riesgo en SMARTFENSE
Advertencia en el detalle de una campaña acerca de falsos positivos detectados

Falsos positivos

En la actualidad virtualmente todas las organizaciones experimentan falsos positivos dentro de sus campañas de simulación. Pero no todas son conscientes de este problema.

Un falso positivo es una estadística que ha sido generada por un software pero que ha sido registrada a nombre de un usuario.

SMARTFENSE detecta automáticamente estos casos, los oculta y brinda resultados limpios y confiables.

Conocer más

Campañas de prueba

SMARTFENSE permite el envío de campañas de Smishing de prueba. Este tipo de campañas son realmente útiles a la hora de gestionar un programa de simulaciones.

Por un lado, permiten comprobar la correcta recepción de mensajes antes de lanzar la simulación real. Por otro lado, permiten realizar ajustes en la detección automática de falsos positivos para adaptarla a la organización.

Las campañas de Smishing de prueba no afectan los reportes de la plataforma, por lo que no interfieren de ninguna manera con las mediciones reales de la capa humana.

Interfaz de creación de una campaña de simulación de Smishing de prueba en SMARTFENSE
Detalle de campaña de una agrupación de campañas de phishing

Agrupación de campañas

Una buena práctica en la creación de campañas de Smishing consiste en lanzar simulaciones de manera periódica. Esto permite una medición más representativa al evaluar a los usuarios por períodos, lanzando distintos tipos de escenarios, con diferente grado de personalización, en distintos días y horarios, etc.

De todas formas, es difícil luego gestionar un calendario plagado de simulaciones. Para esto existe la agrupación de campañas. Al agrupar todas las campañas de un período es posible ver los resultados sumarizados, como si se tratase de una campaña única.

Configuraciones avanzadas

Las campañas de Smishing de SMARTFENSE se pueden configurar de muchas maneras. A continuación se listan solo algunos ejemplos que ilustran la flexibilidad de la herramienta y la gran capacidad de adaptación a las necesidades de su organización:

Dominio personalizado para una simulación de phishing

Preguntas frecuentes

¿Qué es el Smishing?

Todos los informes de ciberseguridad coinciden en que la Ingeniería Social es la puerta de entrada de la gran mayoría de ciberataques.

El Smishing es un tipo de ataque de phishing que utiliza mensajes de texto (SMS) que parecen ser de fuentes legítimas, como bancos, empresas o servicios conocidos, para engañar a las víctimas. El objetivo es que compartan información confidencial, como contraseñas o datos financieros, o que hagan clic en enlaces maliciosos.

La información confidencial robada puede ser utilizada luego para cometer fraudes o robos de identidad.

Al dirigir a las víctimas a sitios que están bajo su control pueden provocar también la descarga e instalación de malware.

Los SMS se perciben como un canal más confiable que los correos electrónicos, lo que hace que muchas personas no estén tan alertas al riesgo de phishing en este formato. 

Las simulaciones de Smishing permiten medir cómo reaccionan las personas ante SMS sospechosos en un entorno seguro, identificar los usuarios y áreas de mayor riesgo y mejorar la cultura de ciberseguridad. 

A su vez, ayudan a las organizaciones a mejorar la capacidad de sus empleados para detectar mensajes de texto sospechosos, fortaleciendo así la seguridad general.

Una ventaja extra es que los SMS contienen enlaces acortados, por lo que las simulaciones y concientización relacionadas a este tipo de ataques enseñan a los usuarios cómo manejar este tipo de enlaces.

En definitiva, las simulaciones son una forma proactiva de reducir el riesgo de que un verdadero ataque tenga éxito.

Para gestionar un riesgo primero hay que medirlo. El nivel de exposición de la organización frente a un ataque de Smishing se mide a través de simulaciones.

A la primera medición que se realiza sobre la organización se le suele llamar “Línea base”. Esta línea base representa el nivel de riesgo actual de la organización frente a un ataque de Smishing y a partir de allí se pueden plantear objetivos y metas para llevar ese nivel de riesgo a uno aceptable.

La línea base no se mide con una simulación de Smishing única y aislada. Lo más aconsejable es tomar un período y lanzar múltiples simulaciones que varíen en los usuarios destinatarios, días y horarios de envío, escenarios de simulación utilizados, etc.

Para llevar el nivel de riesgo actual a uno aceptable deben realizarse acciones de concientización. Estas acciones idealmente deben ser continuas y combinarse con nuevas tandas de simulación de Smishing que permitan conocer si los objetivos y metas propuestos se están logrando.

Una vez que se alcanzó el nivel de riesgo aceptable, las acciones de concientización y simulación deben mantenerse en forma continua a lo largo del tiempo. Esto permite que el nivel de riesgo se mantenga estable en el nivel deseado.

Cada simulación de Smishing que se envía está sesgada por numerosos factores, entre los cuales se incluyen:

  • El nivel de interés que el usuario tenga en el remitente y el contenido del mensaje de texto recibido.
  • Las técnicas de persuasión utilizadas en la trampa (las cuales son muy diversas). No todas pueden estar presentes en un solo SMS y pueden tener distintos impactos en cada persona. Cada usuario es más o menos susceptible a la técnica empleada, lo que influye en si cae o no en la simulación.
  • La cantidad de SMS sin leer que tiene el usuario.
  • La carga de trabajo del usuario, como si está en un día lleno de actividades o si es un día más tranquilo, o si está de vacaciones o en un viaje de trabajo, por citar algunos ejemplos.
  • La situación personal de cada usuario, que puede incluir su situación económica, sentimental, estado emocional, entre otros.
  • La conformidad y satisfacción del usuario con la organización donde trabaja.
  • El nivel de atención y conciencia del usuario.
  • El grado de interacción que el usuario tenga con sus compañeros de trabajo.
  • Y otros factores adicionales.

 

Por todos estos motivos (y más) debemos pensar en las simulaciones de Smishing por período más que por campaña. Lo mejor que podemos hacer es lanzar múltiples simulaciones en un mes y luego agruparlas para ver sus resultados como una única evaluación.

Cada campaña de Smishing del período debe variar en cuanto a su temática, día, horario, grupo de usuarios destinatarios, tipo de engaño, grado de personalización, etc.

De esta manera todas las simulaciones van a tener algún sesgo de los mencionados arriba, pero cada una habrá sido sesgada por diferentes factores. En su conjunto, brindarán un resultado mucho más representativo de la realidad.

Esta forma de trabajar permite además obtener métricas valiosas sobre los usuarios, como los escenarios a los cuales son más sensibles o los horarios en los cuales son más propensos a caer en un engaño, por mencionar sólo algunas.

Como punto extra, los usuarios se encontrarán más atentos, debido a que estarán recibiendo simulaciones de Smishing con una frecuencia suficiente como para desarrollar el hábito de pensar dos veces antes de realizar una acción dentro de un mensaje de texto.

Quiero más información:

Más información sobre SMARTFENSE en las siguientes secciones:

simulacion de phishing

Herramientas
de Simulación

Phishing, Ransomware, USB Drop, Smishing, Momentos Educativos, Scoring de Riesgo y más...

Conocer más

multicatálogo

Herramientas
de Concienciación

Todas las herramientas que necesitas para llevar adelante tu programa de concienciación.

Conocer más

integraciones

Integraciones
de SMARTFENSE

La plataforma SMARTFENSE brinda diversas opciones de integración con otros fabricantes.

Conocer más

Artículos relacionados en nuestro blog

Por qué tus simulaciones no sirven para nada

¿Cuáles son las posibilidades de lanzar una simulación de Phishing y que salga bien a la primera?

Trampas de Smishing: un clásico.

¿Más vigente que nunca? En este artículo se discute la relevancia de los ataques de Smishing en el mundo actual.

Workshop: Campañas de Simulación de Smishing

Este workshop te permitirá conocer las características del componente de simulaciones de Smishing en SMARTFENSE.