Las campañas de SMISHING consisten en SMS que buscan engañar al usuario con el objetivo de que el mismo revele información confidencial. Dichos SMS constan de enlaces que dirigen al usuario a una página que posee a su vez un formulario el cual intentará capturar la información confidencial del usuario.
Indicadores
Las campañas de simulación de Smishing recolectan los siguientes indicadores:
- Enviados: Se envió el SMS al usuario.
- Entregados: Se entregó el SMS al usuario.
- Click sobre el enlace: El usuario hizo click en un enlace dentro del SMS de simulación de Smishing.
- Datos ingresados: El usuario ingresó datos en el formulario de la página de destino de la simulación de Smishing.
- Momentos educativos enviados por email: El usuario realizó una acción que activó el envío del Momento Educativo por email.
- Momentos educativos abiertos: El usuario visualizó el Momento Educativo en su correo electrónico o de manera instantánea en su navegador.
- Momentos educativos contestados correctamente: El usuario contestó correctamente la pregunta del Momento Educativo utilizada para validar la lectura del mismo.
- Momentos educativos contestados incorrectamente: El usuario contestó incorrectamente la pregunta del Momento Educativo utilizada para validar la lectura del mismo.
Calendarización
Esencialmente, las campañas de Smishing requieren los siguientes datos para ser calendarizadas:
Grupos
Los destinatarios de una campaña pueden ser Grupos, Áreas funcionales, Niveles jerárquicos, Grupos inteligentes y/o usuarios individuales.
Por defecto, SMARTFENSE permite seleccionar Grupos como destinatarios de una campaña. El resto de opciones pueden ser desplegadas haciendo clic en el botón Más opciones ubicado en la parte inferior de la pantalla.
La plataforma requiere seleccionar al menos un destinatario para calendarizar una campaña.
Importante: Tenga en cuenta que una vez iniciada una campaña, si se agregan nuevos usuarios a las agrupaciones seleccionadas, no serán asignados a la misma.
Escenario
El escenario de una campaña de Simulación de Smishing determina su temática. Es posible seleccionar más de un escenario.
Si elige más de un escenario, al momento de enviarse la campaña, cada usuario recibirá un escenario puntual, que se seleccionará de manera aleatoria sobre el conjunto de escenarios elegido.
Por lo tanto, esto significa que si bien es posible seleccionar muchos escenarios por campaña, cada usuario participará únicamente en uno.
No es posible enviar múltiples escenarios al mismo usuario en una única campaña.
Fecha de inicio
Fecha en la cual la campaña comienza a realizar el envío de los SMS pertinentes y a recolectar estadísticas acerca de la interacción de los usuarios destinatarios. Llegada su fecha de inicio, una campaña ya no podrá ser editada o eliminada.
Fecha de expiración
Fecha en la cual la campaña finaliza la recolección de estadísticas de los usuarios destinatarios.
La duración máxima de una campaña de simulación de Smishing es de 4 días
Esto permite simular ataques más ajustados a la realidad, logrando resultados similares a las campañas realizadas por ciberdelincuentes.
Duración en días
Permite definir la cantidad de días que va a durar la campaña para cada usuario. Dependiendo de la fecha en la cual cada usuario sea asignado, se calculará su fecha de expiración particular teniendo en cuenta la duración en días definida en este campo.
Más opciones
Los campos mencionados en esta sección pueden ser desplegados haciendo clic en el botón Más opciones ubicado en la parte inferior de la pantalla.
Modalidad
Permite definir la modalidad de la campaña. Existen dos posibles opciones:
- Asignación inicial única y fecha de expiración específica.
- Asignación recurrente y duración relativa.
Asignación inicial única y fecha de expiración específica
Todos los usuarios destinatarios de la campaña serán asignados al llegar la fecha de inicio de la campaña.
Si luego de la fecha de inicio edita una agrupación que ha sido seleccionada como destinataria de la presente campaña, los cambios realizados no se considerarán.
Por ejemplo, si quita de la agrupación un usuario que ya fue asignado, el usuario seguirá asignado a esta campaña. Si añade un usuario nuevo a la agrupación, el usuario no será asignado a esta campaña.
Para cada usuario asignado, la fecha de expiración específica de la campaña es idéntica, y se define en el apartado Planificación.
Número de teléfono
Número del destinatario
Para enviar los mensajes de Smishing se utilizará el número de teléfono configurado en el perfil del usuario.
Asegúrese de que este número esté guardado en el formato correcto, incluyendo el código de país.
Por defecto se recomienda que el código de país se añada sin un signo + ni tampoco dobles ceros al inicio.
Por ejemplo, un destinatario válido podría ser el número 34541498675. En este caso:
- 34 es el código del país
- 54 es el prefijo
- 1498675 es el número de teléfono
Si existen problemas con el delivery entonces pueden realizarse las siguientes pruebas:
- Reemplazar el código de país por +34
- Reemplazar el código de país por 0034
- Añadir un punto luego del código de país: +34.541498675
Cuestiones a tener en cuenta para la Importación de usuarios
Los procesos de importación de usuario permiten importar el número de teléfono del usuario. Para los métodos de importación mediante archivo CSV o API el teléfono es un campo más que debe rellenarse con la información en el formato correcto. Para la importación desde Microsoft Entra ID y Google tener en cuenta lo siguiente:
Microsoft Entra ID
- Se obtiene el teléfono desde el campo mobilePhone del usuario. Si es null, se busca el primer número que haya en la lista de businessPhones.
- Se utiliza la lista de teléfonos del campo phones. Si hay uno marcado como primary se toma ese. Sino, se utiliza el primer teléfono de la lista.
Además se tiene en cuenta la siguiente lógica: Si el usuario final o bien el administrador han establecido manualmente un teléfono, no se sobrescribe con los datos de la importación.
El usuario puede establecer un teléfono desde el perfil, o bien un administrador puede modificarlo desde la tabla de Usuarios.
Asignación recurrente y duración relativa
Al llegar la fecha de inicio de la campaña, se asignarán a todos los usuarios pertinentes que formen parte de las agrupaciones seleccionadas como destinatarias en ese momento.
Si luego de la fecha de inicio añade nuevos usuarios en alguna de las agrupaciones seleccionadas como destinatarias de la presente campaña, los usuarios en cuestión serán asignados automáticamente a ésta. Dicha asignación automática no es inmediata sino que se realiza al día siguiente de la edición, en el mismo horario seleccionado como fecha de inicio de la campaña.
Si se eliminan usuarios ya asignados en la presente campaña de alguna de las agrupaciones seleccionadas como destinatarias, dichos usuarios seguirán asignados.
Para cada usuario asignado, la fecha de expiración específica de la campaña es diferente, ya que se calcula de acuerdo a la Duración en días establecida en el apartado Planificación.
Número de teléfono
Número del destinatario
Para enviar los mensajes de Smishing se utilizará el número de teléfono configurado en el perfil del usuario.
Asegúrese de que este número esté guardado en el formato correcto, incluyendo el código de país.
Por defecto se recomienda que el código de país se añada sin un signo + ni tampoco dobles ceros al inicio.
Por ejemplo, un destinatario válido podría ser el número 34541498675. En este caso:
- 34 es el código del país
- 54 es el prefijo
- 1498675 es el número de teléfono
Si existen problemas con el delivery entonces pueden realizarse las siguientes pruebas:
- Reemplazar el código de país por +34
- Reemplazar el código de país por 0034
- Añadir un punto luego del código de país: +34.541498675
Cuestiones a tener en cuenta para la Importación de usuarios
Los procesos de importación de usuario permiten importar el número de teléfono del usuario. Para los métodos de importación mediante archivo CSV o API el teléfono es un campo más que debe rellenarse con la información en el formato correcto. Para la importación desde Microsoft Entra ID y Google tener en cuenta lo siguiente:
Microsoft Entra ID
- Se obtiene el teléfono desde el campo mobilePhone del usuario. Si es null, se busca el primer número que haya en la lista de businessPhones.
- Se utiliza la lista de teléfonos del campo phones. Si hay uno marcado como primary se toma ese. Sino, se utiliza el primer teléfono de la lista.
Además se tiene en cuenta la siguiente lógica: Si el usuario final o bien el administrador han establecido manualmente un teléfono, no se sobrescribe con los datos de la importación.
El usuario puede establecer un teléfono desde el perfil, o bien un administrador puede modificarlo desde la tabla de Usuarios.
Destinatarios
En esta sección pueden seleccionarse distintos tipos de agrupaciones como destinatarios de la campaña, a saber: Grupos, Áreas funcionales y Niveles jerárquicos.
La manera en que se combinan los distintos tipos de agrupaciones depende del valor seleccionado en el campo: ¿De qué manera desea combinar las agrupaciones seleccionadas?
Los usuarios deben pertenecer al menos a una agrupación de cada tipo
Serán asignados a la campaña aquellos usuarios que cumplan con cada uno de los siguientes puntos:
- Formar parte de al menos uno de los Grupos seleccionados.
- Además, formar parte de al menos una de las Áreas funcionales seleccionadas.
- Adicionalmente, formar parte de al menos uno de los Niveles jerárquicos seleccionados.
- Y finalmente, formar parte de al menos uno de los Grupos inteligentes seleccionados.
Los usuarios deben pertenecer a cualquiera de las agrupaciones seleccionadas
Serán asignados a la campaña aquellos usuarios que cumplan con cualquiera de los siguientes puntos:
- Formar parte de al menos uno de los Grupos seleccionados.
- O bien, formar parte de al menos una de las Áreas funcionales seleccionadas.
- O bien, formar parte de al menos uno de los Niveles jerárquicos seleccionados.
- O bien, formar parte de al menos uno de los Grupos inteligentes seleccionados.
Además en esta sección, es posible seleccionar usuarios de manera individual. Los usuarios seleccionados individualmente son independientes de la configuración mencionada.
Ejemplo
Usuarios | Grupos | Áreas funcionales | Niveles jerárquicos |
---|---|---|---|
Juan | Usuarios de riesgo | Finanzas | Directivo |
María | Usuarios de riesgo | Finanzas | Directivo |
Esther | Usuarios de riesgo | Logística | Mandos medios |
Campaña de ejemplo 1
Destinatarios:
- Áreas funcionales: Finanzas y Logística
Usuarios asignados: En este caso ambas opciones generan el mismo resultado.
- Los usuarios deben pertenecer al menos a una agrupación de cada tipo: Juan, María y Esther.
- Los usuarios deben pertenecer a cualquiera de las agrupaciones seleccionadas: Juan, María y Esther.
Campaña de ejemplo 2
Destinatarios:
- Grupos: Usuarios de riesgo
- Niveles jerárquicos: Directivo
Usuarios asignados: En este caso ambas opciones generan diferentes resultados.
- Los usuarios deben pertenecer al menos a una agrupación de cada tipo: Juan y María.
- Los usuarios deben pertenecer a cualquiera de las agrupaciones seleccionadas: Juan, María y Esther.
Campaña de ejemplo 3
Destinatarios:
- Grupos: Usuarios de riesgo
- Niveles jerárquicos: Directivo
- Áreas Funcionales: Logística
Usuarios asignados: En este caso ambas opciones generan diferentes resultados.
- Los usuarios deben pertenecer al menos a una agrupación de cada tipo: Ningún usuario.
- Los usuarios deben pertenecer a cualquiera de las agrupaciones seleccionadas: Juan, María y Esther.
Planificación
Además de la elección de fecha de inicio y expiración, las campañas de simulación de Smishing permiten seleccionar el método de envío.
Las campañas con envío normal envían los SMS de simulación de Smishing a todos los usuarios destinatarios al llegar la fecha y hora de inicio de la campaña.
Las campañas con envío aleatorio realizan el envío de los SMS en diferentes momentos del día a cada usuario. Concretamente, el envío se realiza en la primera mitad del rango de fechas conformado por la fecha de inicio y fecha de expiración seleccionadas, entre las 09:00 y las 18:00 horas.
La plataforma garantiza que todos los usuarios asignados a la campaña reciben el correo durante los días de envío. La campaña continúa vigente y recolectando estadísticas hasta el día seleccionado como fecha de expiración.
Datos de la campaña
Nombre
Permite asignar un nombre para identificar la campaña de manera sencilla dentro de la plataforma.
Descripción
Permite asignar una descripción a la campaña que podrá ser visualizada en el calendario, al posar el mouse sobre ésta.
Campaña de prueba
Si se configura una campaña como campaña de prueba, al ejecutarse no afectará los reportes, ni creará registros dentro de auditoria de usuarios ni de campañas.
Acciones derivadas
Esta sección permite añadir un Momento Educativo a la campaña de simulación de Smishing.
Los Momentos Educativos se utilizan para concientizar al usuario en el momento justo en que realiza un comportamiento inseguro dentro de una simulación de Phishing, Smishing o Ransomware. Esto, aumenta el grado de asimilación del mensaje.
Para añadir un Momento Educativo, debe seleccionarse el tópico del mismo.
Hecho esto, debe decidirse qué acción del usuario final activa el Momento Educativo. Las acciones pueden ser:
- Hacer clic en el enlace de Smishing recibido por SMS
- Introducir datos en la página de Smishing
El Momento Educativo se puede mostrar instantáneamente al ocurrir la acción o bien puede enviarse luego al usuario mediante correo electrónico. En este último caso, se debe seleccionar la fecha y hora de envío, la cual debe ser posterior a la fecha de expiración de la campaña en cuestión.
Avanzado
Ingreso de contraseña
Esta opción permite cambiar el comportamiento del formulario de login que se encuentra en la página de destino de las campañas de simulación de Smishing.
Opción por defecto: Permitir al usuario introducir su contraseña
En el caso de permitir el ingreso de credenciales en el formulario de la página de destino del Smishing simulado, se destaca que sólo se registra si se ingresaron o no datos en el formulario, pero no se guardan, analizan ni manipulan dichos datos en ningún momento.
El formulario de login de una trampa de simulación de Smishing puede contar con una cantidad indeterminada de campos, pero sólo se tienen en cuenta dos de ellos para decidir si un usuario ingresó sus credenciales. Dichos campos son user y password, identificados mediante el atributo name.
Ejemplo de un formulario básico en una trampa de simulación de Smishing
<form action="$smishing_landing_action_url" method="POST"> <span style="display: none;">$csrf_token</span> Usuario: <input name="user" type="text" /> Password: <input name="password" type="password" /> <input value="Ingresar" type="submit" /> </form>
Una vez enviado el formulario, la plataforma verifica que los campos en cuestión posean datos. Si el usuario ha ingresado datos en ambos campos, se registra la estadística de “Datos ingresados”, sin importar qué datos ingresó.
Si alguno de ambos campos no posee datos ingresados, entonces se recarga la página de Smishing simulado.
Opción avanzada: Impedir al usuario introducir su contraseña
En el caso de impedir el ingreso de credenciales, el usuario final que llegue hasta la página de destino del Smishing simulado tendrá deshabilitado el campo de texto correspondiente al ingreso de su password en el formulario de login, por lo que no podrá escribir en el mismo. Sólo tendrá habilitado el campo correspondiente al nombre de usuario, el cual sólo permitirá ingresar un carácter. Al realizar esta acción, el formulario se enviará automáticamente y se registrará la estadística de Datos ingresados para el usuario en cuestión.
URL de Smishing
Opción por defecto: Utilizar URLs de SMARTFENSE
Los correos de simulación de Smishing poseen un enlace que se encuentra formado, por defecto, por el subdominio de la plataforma y un dominio seleccionado aleatoriamente de una lista de dominios de SMARTFENSE destinados a alojar las trampas de Smishing simulado.
Opción avanzada: Utilizar URL personalizada
Para personalizar la URL utilizada por defecto, es posible seleccionar un subdominio (nombre de Host) personalizado, el cual reemplazará al subdominio de la plataforma. Los nombres de Host personalizados se gestionan en la sección de Configuración > Nombres de host.
Además, es posible seleccionar explícitamente un dominio a utilizar en el enlace, eligiendo el mismo desde la lista de dominios disponibles.
Envío muestral
Las campañas con envío muestral, al ejecutarse, envían el SMS de simulación de Smishing sólo a una muestra del total de destinatarios seleccionados.
Si se elige esta opción, se debe ingresar el tamaño de la muestra mediante un porcentaje. La campaña será enviada sólo al porcentaje de usuarios establecido. Los mismos serán elegidos aleatoriamente sobre el total de usuarios destinatarios de la campaña.
Enviarme Prueba
Si se utiliza el botón Enviarme prueba, el SMS de simulación de Smishing enviado tomará en cuenta los parámetros configurados en:
- Escenario: La prueba se envía con el escenario configurado.
- Ingreso de contraseña: El formulario de la página de destino de la simulación permitirá o no el ingreso de la contraseña según lo configurado.
- Momento Educativo: El Momento Educativo cumplirá con los parámetros configurados. Si se seleccionó que el Momento Educativo se envíe posteriormente mediante correo electrónico, el mismo será enviado en el instante posterior a realizar la acción seleccionada como medio de activación del Momento Educativo.
Otros parámetros como URL de Smishing no tienen efecto en el uso del botón Enviarme prueba, pudiendo verse su efecto únicamente en una campaña calendarizada.
Problemas conocidos
A continuación se listan los problemas más frecuentes que pueden ocurrir a la hora de trabajar con campañas que hacen envíos de SMS.
Suplantación de identidad
Problemas con algunos países
En algunos países directamente no es posible enviar SMS realizando suplantación de identidad.
En casos puntuales, esta clase de SMS serán entregados únicamente si el número del remitente utiliza un código de país diferente al código de país del número receptor. En una situación como esta el número del remitente puede ser reemplazado por un número genérico (como por ejemplo “1234”).
Suplantación de identidad con el mismo operador de telefonía
Enviar un SMS de suplantación de identidad dentro del mismo operador de telefonía móvil y dentro del mismo país puede no funcionar.
Por ejemplo: si intenta enviar un SMS de suplantación de identidad desde un número que utiliza el operador “o2” hacia un número que utiliza el mismo operador, el SMS no será entregado. Sin embargo, si el SMS se envía desde un número que utiliza el operador “Telecom” hacia un número que utiliza el operador “o2” sí funcionará.
Problemas con el remitente del SMS
En SMARTFENSE es posible personalizar el remitente de los SMS. En este campo es posible colocar una cadena alfanumérica de hasta 11 caracteres, o bien un número de teléfono.
Por ejemplo, un destinatario válido podría ser el número 34541498675. En este caso:
- 34 es el código del país
- 54 es el prefijo
- 1498675 es el número de teléfono
Es posible que el remitente deseado no sea aceptado. En este caso se recomienda probar con distintas variantes hasta lograr que el remitente sea aceptado. Por ejemplo:
- Reemplazar el código de país por +34
- Reemplazar el código de país por 0034
- Añadir un punto luego del código de país: +34.541498675
Si no encuentra ninguna variante que funcione, puede utilizar un remitente vacío. En tal caso el operador de telefonía móvil utilizará un valor de remitente por defecto.
Si funciona correctamente el envío utilizando el remitente por defecto, se recomienda entonces utilizar como remitente una cadena alfanumérica (por ejemplo “José Vicente”) en lugar de un número telefónico.
Problemas de crédito
Para utilizar la funcionalidad de Smishing es necesario poseer la suficiente cantidad de disparos. Cada SMS enviado consume un disparo.
Problemas con el número del receptor
Es posible que un mensaje no sea entregado porque el número del receptor no se encuentra guardado con el formato correcto. Asegúrese de que el número de teléfono de los usuarios esté guardado en el formato correcto, incluyendo el código de país.
Por defecto se recomienda que el código de país se añada sin un signo + ni tampoco dobles ceros al inicio.
Por ejemplo, un destinatario válido podría ser el número 34541498675. En este caso:
- 34 es el código del país
- 54 es el prefijo
- 1498675 es el número de teléfono
Si existen problemas con el delivery entonces pueden realizarse las siguientes pruebas:
- Reemplazar el código de país por +34
- Reemplazar el código de país por 0034
- Añadir un punto luego del código de país: +34.541498675
Problemas con enlaces
Algunos operadores bloquean los enlaces presentes en los SMS. En estos casos se pueden realizar algunas pruebas como eliminar el protocolo (http o https) de la URL.