Qué es el vishing: estafa a través de llamadas o mensajes de voz

El vishing es un tipo de ataque a través de llamadas telefónicas o mensajes de voz que utiliza la ingeniería social para engañar a las víctimas y robar información sensible.


Martina López

3 May 2021 - 06:35PM


Para comprender con un ejemplo qué es el vishing, imagina que luego de un largo día de trabajo recibes el siguiente mensaje de voz en tu teléfono celular: “Buenos días, mi nombre es Pedro González y trabajo en la compañía encargada de la seguridad de su ordenador. Dejaremos de ofrecer nuestros servicios la próxima semana, con lo cual le ofrecemos un reembolso por 300 dólares. Por favor, comuníquese a este número de lunes a viernes en horario laboral…”

¿Qué pensarías? ¿Devolverías la llamada o te resultaría sospechoso? ¿Y si no fueran dólares, sino la moneda de tu país? ¿Y si mencionara a una compañía de antivirus cuyo producto utilizas?

Este ejemplo describe qué es el vishing, un tipo de ataque peligrosamente eficaz que se apoya en técnicas de ingeniería social y en el cual el atacante se comunica telefónicamente o vía mensaje de voz haciéndose pasar por una empresa o entidad confiable con la intención de engañar a la víctima y convencerla de que realice una acción que va en contra de sus intereses.

La palabra vishing nace de la unión de voice phishing, es decir, engloba a aquellos ataques de phishing que involucran una voz, ya sea robótica o humana. En estas, los atacantes pueden llegar a la víctima mediante llamadas telefónicas masivas, tal como un call-center corporativo, o dejando correos de voz. Además, entre las temáticas predilectas elegidas por los estafadores para estas comunicaciones encontramos referencias a problemas financieros o de seguridad de nuestro ordenador o dispositivo móvil, o la suplantación de identidad de un supuesto familiar o conocido, etc.

Si bien esta técnica puede representar un mayor costo y trabajo del lado de los cibercriminales, es más efectiva que otras formas de ataque similares como el phishing: a través de una llamada telefónica se logra una comunicación más personal que a través de un correo electrónico, por lo que la manipulación emocional es más fácil de llevar a cabo. En casos extremos, el atacante simula tristeza o llanto ante un supuesto problema que se le presenta y que solo la víctima puede resolver.

Esquemas de engaño que suelen utilizar vishing como método

Al ser un tipo de ataque similar al phishing, el uso del vishing como recurso por parte de los criminales puede observarse en distintos esquemas de fraude. Algunos de los más comunes pueden ser:

Soporte técnico/Infección con un malware:

En este modelo de fraude, quien se comunica con la víctima afirma ser de una compañía con un nombre genérico, supuestamente especializada en seguridad informática, que le asegura a la víctima que presta servicios de protección en su equipo. Utilizando ingeniería social el atacante convence al individuo que le permita el acceso a su equipo mediante herramientas de acceso remoto, como TeamViewer, las cuales permiten incluso controlar el dispositivo al que acceden en todo momento, aun cuando el dueño está ausente.

Luego, ejecutando aplicaciones usualmente instaladas de fábrica en el equipo de la víctima o enseñando archivos supuestamente corruptos, descubren -falsos- indicios de una infección. Un ejemplo de herramienta que pueden utilizar para esto es el Visor de Eventos de Windows: Esta suele contener mensajes de advertencia o errores usuales en un equipo sano, que no suelen afectar su funcionalidad, pero son empleadas por los atacantes para preocupar a la víctima y hacerle creer que su dispositivo fue comprometido.

Una vez los atacantes consideran que el usuario se encuentra lo suficientemente preocupado intiman al mismo a comprar un supuesto antivirus o solución similar por una gran suma de dinero para solucionar los problemas.



Imagen 1. Ejemplo de un visor de eventos en un equipo no infectado, que puede ser empleado para ingeniería social 

Reembolso por servicio informático:

A diferencia del esquema anterior, este modelo de ataque se aprovecha de la buena voluntad de las víctimas. Los criminales establecen una primera comunicación telefónica para informar sobre una supuesta devolución de dinero por un servicio que contrató el usuario hace años y que la supuesta compañía dejó de ofrecerlo. Así, el estafador persuade a la víctima para que primero instale en su equipo un software de acceso remoto que le permitirá al estafador tener acceso al equipo de la víctima, para luego solicitar que acceda desde su computadora a su cuenta bancaria y en paralelo, simular la realización de las transferencias a través de un sitio falso o desde la misma terminal del sistema operativo. Al simular esta falsa transferencia dejan que el usuario ingrese el monto que previamente le indicaron que deben devolverle, y una vez que ingresa la cifra los estafadores rápidamente modifican el monto para que parezca que el usuario se equivocó, ingresó un valor diferente, e hizo que se transfiera más dinero del que le correspondía. De esta manera el usuario se siente presionado a actuar de buena fe y devolver el supuesto dinero transferido de más, y es aquí donde se produce la estafa.

Problemas financieros/Problemas legales/Suplantación de identidad de organismo estatal:

Quizás esta sea una de las formas de vishing más llamativas. Aquí los atacantes no apelan al recurso de contar con grandes conocimientos informáticos, sino que se hacen pasar por la voz de una entidad como la policía, un banco o una firma legal para informar sobre algún problema o movimiento fraudulento asociado a la víctima. Con esta excusa los atacantes solicitan la entrega de información personal y en algunos casos hasta acceso a la computadora del usuario, pudiendo acceder en este último escenario a credenciales sensibles.

 



Imagen 2: Transcripción de un correo de voz alegando la suspensión del Número de Seguridad Social (SSN), identificador en Estados Unidos. Fuente: Twitter

Conocido en problemas:

Finalmente, el último grupo de ataques se centran en apelar a la necesidad de urgencia o vínculos que posea la víctima. Simulando ser algún conocido, los atacantes le solicitan con urgencia al receptor de la llamada la necesidad de entregar dinero, ya sea físicamente o mediante una cuenta bancaria que será proporcionada por el mismo canal de comunicación. En múltiples ocasiones se emplean métodos de manipulación emocional agresivas, como un llanto falso o la apelación a algún incidente sufrido por el supuesto conocido de la víctima, para agregarle credibilidad al engaño.

Recomendaciones

Además de las pérdidas monetarias, los ataques de vishing pueden traer consecuencias no tan obvias para la víctima, como por ejemplo el uso de su identidad para futuros engaños a otros usuarios.

Las principales recomendaciones para evitar ser víctima de este tipo de fraude son: ante la recepción de algún llamado sospechoso verificar la fuente de este. Si se trata de un conocido, contactarse con él, y si se trata de un supuesto banco, chequear el motivo del llamado o si poseemos algún servicio asociado.  Es importante también desconfiar de la procedencia y en caso de ser algo dudoso terminar la comunicación lo antes posible. Si quien nos contactó alegó ser de alguna compañía con la cual estamos asociados, es aconsejable comunicarse con la empresa a través de los canales de comunicación oficiales.

FUENTE: Martina López - https://www.welivesecurity.com/

Comentarios

Publicar un comentario

Entradas populares de este blog

PROCESO PASO A PASO PARA HACKEAR CAJEROS AUTOMÁTICOS USANDO BLACK BOX. JACKPOTTING DE CAJEROS AUTOMÁTICOS

Imagen
  PROCESO PASO A PASO PARA HACKEAR CAJEROS AUTOMÁTICOS USANDO BLACK BOX. JACKPOTTING DE CAJEROS AUTOMÁTICOS Los ataques contra cajeros automáticos en la calle han evolucionado a grandes pasos, dejando atrás los métodos de compromiso físico de estas máquinas para llegar a los ataques empleando tecnología y avanzadas capacidades de hacking. Los análisis más recientes sugieren que el método más sofisticado actualmente es conocido como “Black Box”, basado en el uso de una microcomputadora con una placa única. En esta ocasión, los especialistas en  concientización de ciberseguridad  del Instituto Internacional de Seguridad Cibernética  (IICS)  le mostrarán las características más importantes de estos ataques, que podrían generar pérdidas millonarias a las instituciones bancarias. Como de costumbre, le recordamos que este artículo fue elaborado con fines exclusivamente informativos, por lo que IICS no se hace responsable del mal uso que pueda darse a la información aq...
Leer más

Dictaminan que Facebook Argentina es sujeto obligado por la ley de datos personales en el marco de una acción de habeas data

Imagen
  El procurador fiscal ante la Corte Suprema de Justicia de la Nación Víctor Abramovich dictaminó en un caso en que se había condenado a Facebook Argentina SRL a develar datos del usuario que había creado la publicación bajo análisis. En su dictamen, Abramovich opinó que correspondía hacer lugar parcialmente al recurso extraordinario presentado por la demandada y que se debía revocar la sentencia apelada. En la causa, se hace foco en la aplicación de la ley de datos personales, la legitimación pasiva de la filial local de la empresa en el marco de una acción de habeas data y las reglas constitucionales que rigen el anonimato como forma de participación en asuntos de interés público. La Sala II de la Cámara Federal de Apelaciones de La Plata modificó, en el marco del caso “Quinteros, Héctor Andrés c/ Facebook Argentina SRL s/ amparo ley 16986”, la sentencia de la instancia anterior y revocó la condena a Facebook Argentina SRL, en donde se había ordenado la eliminación de la ima...
Leer más

Suplantación de identidad: condenaron al Banco Provincia

Imagen
  Suplantación de identidad: condenaron al Banco Provincia a pagar más de $1.000.000 por daño material y punitivo Fue a raíz de que un cliente desconociera una serie de operaciones realizadas desde su cuenta. El juez Carlos Catoggio, a cargo del Juzgado Civil y Comercial N°25 de La Plata, consideró que hubo una desatención por parte de la entidad bancaria porque no desplegó medidas de seguridad adecuadas a fin de evitarlo. El juez  Carlos José Catoggio , a cargo del   Juzgado Civil y Comercial Nº 25 de La Plata , hizo lugar a una demanda por  nulidad de contrato y daños y perjuicios , promovida contra el  Banco Provincia , y le ordenó a la entidad a abonarle a un cliente una suma de  $92.717,25 por daño material  y de  $1.000.000 por daño punitivo .  En el caso, la parte actora detalló una serie de  operaciones de crédito y transferencias  realizadas desde su  cuenta bancaria de las que nunca participó . En su presentación...
Leer más