#MundoHacker: ¿Cómo funcionan los fraudes basados en SMS Premium?

promocion netflix gratis fraude

Esta semana Mauro, un miembro de la Comunidad, me contestaba a una de las últimas newsletter de los lunes para pedirme algunos datos más sobre cómo funcionan los timos basados en SMS Premium, al hilo del artículo tutorial sobre el negocio de los concursos fraudulentos en redes sociales.

En él, explicaba cómo podemos identificar sorteos falsos en la Red, haciendo hincapié en que muchos se basan en la explotación de los datos que el “participante” cede, consciente o inconscientemente, bien fuera de cara a futuras campañas de phishing más dirigidas (si has picado una vez, eres target para picar en siguientes), o utilizando canales de monetización tan lucrativos como son los SMS Premium.

Escribo cada semana en este blog, en la intranet de mecenas, y en el de SocialBrains. Y a eso hay que sumar la newsletter del lunes, disponible para todos los miembros de la Comunidad, y la newsletter exclusiva de ciberseguridad de los miércoles, exclusiva para mis queridos mecenas. Más mi participación en todos los canales sociales donde estoy (LinkedIn, Twitter, Google+, FB, Pinterest, Quora…). Y en cada uno de estos me toca a diario dar solución a algunas de las dudas que me hacéis llegar.

Esta en particular me ha dado pie a pensar que en el tutorial sobre los sorteos fail quizás he pasado por alto lo más obvio: que muchos de los aquí presentes desconocen cómo funciona el negocio de los SMS Premium. Y habida cuenta de que éste es un modelo de negocio bastante habitual en la industria del cibercrimen, ya era hora que le dedicara un artículo en profundidad.

Vamos con ello :).

¿Qué son los SMS Premium y qué tipologías hay?

Lo primero que hay que saber es que los servicios de SMS Premium no son ilegales. Cualquiera de nosotros está en la potestad de montar un servicio y monetizarlo mediante SMS Premium si así lo desea.

Hay por tanto servicios de SMS Premium legítimos. Servicios que por ejemplo ayudan a las personas a mantener contacto con otras que tengan sus mismos intereses, o les permiten estar informados de toda la actualidad política, deportiva o social del momento. Que han conseguido su base de datos a base de ganarse la confianza con el trabajo bien hecho.

Lo ilegal es que muchos de estos negocios recurren a campañas de spam y/o phishing para engañar a sus potenciales clientes, haciendo que estas víctimas no sean conscientes de que se están suscribiendo a un servicio de pago.

Este es el caso de una campaña de phishing vía WhatsApp (ES) que recientemente analizaba en la newsletter exclusiva de ciberseguridad (ya sabe, solo disponible para mecenas de tipo WPA y superior). La campaña, que un servidor recibió de varios de mis contactos, aseguraba ofrecer un año de Netflix gratis simplemente con compartirla a 10 números de nuestra agenda.

Vamos, otra de las típicas estafas de la red.

¿Cómo funcionaba? Muy sencillo.

El enlace, que ya le digo que se enviaba vía WhatsApp, llevaba a una página de aterrizaje que en efecto parecía ser una landing page publicitaria de Netflix. Ahí tenías que crearte la cuenta, en cuyo formulario incluías tu teléfono, y con ello aceptabas la suscripción al servicio… que no era Netflix, sino un servicio de SMS Premium.

Esto es así porque a los SMS Premium uno se puede suscribir de dos maneras distintas:

  • Mediante un mensaje SMS de alta: O bien enviado directamente por nosotros, o bien respondiendo a un email que previamente el servicio nos ha enviado.
  • Mediante la alta en una web del proveedor: Que era el caso de este timo. Al crearnos esa supuesta cuenta de Netflix, realmente estábamos aceptando el alta en un servicio de SMS Premium.

Estos servicios se encargan, en base a nuestras preferencias iniciales (que recalco, en muchos casos se configuran automáticamente engañando a la víctima), de ir enviándonos periódicamente (lo más normal es varias veces al día o a la semana) SMS con la información “pedida”. Pero cada SMS tiene un coste que lo va a pagar el cliente/víctima, que va, según el tipo de número desde el que se envían, desde los 0,18€ a los casi 8€ por SMS.

Por aquí comparto una tabla de los precios del año pasado para España:

  • Números 7954652514125463795543797303 (Servicios de la operadora). Coste entre 0,18€ y 2,42€.
  • Números 25xxx, 27xxx, 280xx (Campañas benéficas). Coste de 1,452€ o inferior.
  • Números 35xxx, 37xxx. Coste de entre 1,452€ a 7,26€.
  • Números 797xxx, 795xxx (Servicios de suscripción). Coste de 1,452€ o inferior.
  • Números 99xxxx (Servicios para adultos). Coste de entre 1,452€ a 7,26€.
  • Números 23xxx (Servicios de juego). Coste de 1,452€ o inferior.
  • Números 33xxx (Servicios de juego). Coste de entre 1,452€ a 7,26€.

fraude sms

Fraudes de SMS Premium más habituales

Por resumir de una forma sencilla las diferentes tipologías de fraudes basados en la suscripción a servicios de SMS Premium que hay en el ciberespacio, podríamos hablar de dos grandes grupos:

Campañas de phishing

Son las más comunes, presentes tanto en sorteos falsos vía email (¡Te ha tocado un iPhone! Para que te llegue a casa, ¡pasa por este link y véndenos tu alma!) como por redes sociales o servicios de mensajería. 

Hace unos años se hicieron muy conocidas las campañas de phishing que utilizaban el propio servicio SMS de WhatsApp para suscribirte a un SMS Premium. La idea era que a la víctima le llegara un SMS avisándole de que le habían escrito por WhatsApp y no sabían si lo había recibido. Si respondías, ya estabas dentro (el sistema lo contaba como un alta en el servicio de SMS Premium):

«Te estoy escribiendo por wasap. Dime si te llegan mis mensajes. Me agregaste el otro día?». Ejemplo de SMS proviene de un número 25XXX.

Troyanos y demás malware móvil

FakeInst (EN/y toda la oleada de apps falsas que le siguieron) fue una campaña que utilizaba una aplicación para ver contenido de adultos que en realidad era un troyano.

Para poder ver el contenido el usuario debía aceptar los permisos de lectura y envío de SMS que le permitiría a la aplicación, supuestamente, hacer la compra de dicho contenido. Pero con los permisos realmente lo que hacía era suscribir al usuario en varios servicios de SMS Premium. SMS que, según la versión, el usuario ni siquiera llegaba a ver (la app se encargaba de ocultar la recepción de SMS borrándolos nada más llegaran), lo que permitía ocultar el timo al menos hasta que la víctima revisara la próxima factura.

¿Qué podemos hacer para evitar ser víctimas de fraudes de SMS Premium?

El éxito de este tipo de fraudes radica en que muchos de estos cibercriminales crean los servicios de SMS Premium en países con una regulación un tanto laxa (no hace falta ninguna documentación), lo que complica pararles los pies.

Afortunadamente, de cara al usuario hay una medida preliminar que evita por completo que en el futuro seamos víctimas de uno de estos fraudes: Todas las operadoras tienen la obligación de ofrecer al cliente el desactivado de dichos servicios.

De esta manera, y aunque piquemos en una campaña de phishing o instalemos una app troyanizada, el alta no se podrá llevar a cabo ya que nuestro número tiene restringido este servicio. Como el uso de SMS Premium afortunadamente no es algo que la mayoría necesitemos para nuestro día a día, podemos hacerlo tranquilamente llamando a nuestro operador y pidiendo que nos lo deshabilite en la cuenta. Y si el día de mañana por lo que sea lo necesitamos, podemos volver a activarlo de forma totalmente gratuita.

Ahora bien, el problema está en qué hacer cuando ya hemos sido víctima de un fraude de este tipo:

  • Lo primero y más obvio es avisar a nuestra operadora para que desactive el acceso a servicios de SMS Premium, y poner una reclamación por escrito a la misma (recuerde que alguien le ha engañado, no es que se haya suscrito usted a ello de forma consciente) y ante las autoridades del país (guardia civil, policía…).
  • Si la operadora no responde en un plazo de 30 días, tenemos la opción de acudir a la Oficina de Consumo de nuestra ciudad.
  • Y como última opción, siempre nos quedará el camino judicial…

Pero mientras seguramente nos toque hacer frente a esa factura, que en algunos casos puede ascender a cientos o miles de euros/dólares. Más que nada porque si no pagas la operadora puede llegar a meterte en una lista de morosos, con los problemas que pudieran desprenderse de ello en un futuro (petición de préstamos, acceso a ayudas y subvenciones…). Y salir de ellas, incluso cuando has demostrado tener razón, no es tan sencillo como debiera ser.

________

Puede ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias