El Vishing se ha convertido en una de las amenazas más comunes hoy en día.
Para comprender qué es el Vishing, imagine que luego de un arduo día de trabajo recibe el siguiente mensaje de texto a nombre de su banco que dice: “Ha recibido una transferencia por $10,000.00 la cual se encuentra retenida por seguridad. Para desbloquearla debe llamar al número…”- ¿Qué haría? ¿Llamaría o generaría sospecha?
Este es un claro ejemplo de lo que es el Vishing, un tipo de ataque muy eficaz en el cual el criminal se comunica vía telefónica o mensaje de voz haciéndose pasar por una empresa de confianza, con el objetivo de engañar y convencer a la víctima de suministrar información valiosa o realizar alguna acción específica, como entregar sus datos o descargar algún programa malicioso.
El nombre vishing nace de la unión de las palabras voice y phishing, es decir, son todos aquellos ataques de phishing que involucran voz, ya sea humana o robótica. La forma más usual de este ataque es mediante llamadas telefónicas masivas, tal como lo haría un call-center empresarial, dejando mensajes de voz y en nuevas modalidades mensajes de texto.
Entre los pretextos elegidos por los estafadores para realizar estas llamadas o mensajes, encontramos situaciones vinculadas a problemáticas financieras o de ciberseguridad de nuestros equipos o dispositivos móviles, o la suplantación de identidad de alguna persona conocida.
El Vishing es mucho más eficiente que el Phishing tradicional ya que involucra un trato personal y puede llegar al extremo de la manipulación emocional para conseguir su objetivo.
Tipos de ataques por Vishing
Los tipos de ataques por Vishing son muy variados, algunos de los más usuales son:
Apoyo técnico remoto:
En este tipo de Vishing, el criminal suplanta la identidad de un técnico de servicio de una compañía de informática o internet, empleando técnicas de ingeniería social. De esta manera el cibercriminal convence a la víctima de permitirle acceso remoto a su equipo para realizar algún tipo de servicio mediante una aplicación como TeamViewer, ya que este tipo de herramientas permiten controlar el dispositivo de manera remota aun y cuando el dueño no esté presente. Usando también herramientas instaladas de fábrica como el Visor de Eventos de Windows, el criminal muestra a la víctima mensajes de advertencia o errores que no suelen afectar la funcionalidad y que son comunes en equipos sanos. Una vez que la víctima está preocupada, se busca que se realice la descarga de un parche que incluye un malware o la compra de un producto de protección, con el fin de robar los datos bancarios.
¡Ha ganado un sorteo!
Otro típico ataque de Vishing es aquella llamada telefónica donde se le comunica que ha ganado un sorteo, pero para poder recibir el premio deberá pagar los gastos de envío o para cobrarlo se piden los datos bancarios. Además, se solicita que se firme un formulario de consentimiento para la domiciliación electrónica. Si lo hace, los ciberdelincuentes pueden domiciliar cobros regulares a su cuenta bancaria, bajo el pretexto de alguna supuesta suscripción, o bien vender sus datos a otros delincuentes.
Ser un ejecutivo de tu banco también funciona…
Las cuentas o tarjetas bancarias son por lo regular el blanco del voice phishing, muchos ciberdelincuentes se hacen pasar por un ejecutivo bancario. En estos casos, el robo de datos suele ocurrir mediante un simple mensaje en el buzón de voz que informa sobre fallos técnicos o hackeos en la cuenta bancaria de la víctima, dejando un numero de contacto para atención. El criminal hábilmente busca con este mensaje que las personas entren en pánico y realicen la llamada de forma urgente. Al llamar a este número se escuchará un mensaje grabado que pedirá los datos de acceso a su plataforma bancaria online o los de su tarjeta de crédito. Además de las pérdidas económicas, los ataques de Vishing pueden traer consecuencias a largo plazo, como la suplantación de la identidad de la víctima para futuros fraudes. CONSEJOS PARA EVITAR EL VISHING Para protegerse del Vishing hay que estar atento en todo momento y aplicar estos consejos siempre que reciba una llamada de un supuesto trabajador de una empresa.
Comprueba el número de donde recibe la llamada
Siempre es recomendable visitar la página oficial de la empresa y revisar si el número de donde marcan es el oficial. Aunque sabemos que la falsificación de números telefónicos es parte de la estratégia del Vishing, comprobar este número puede ser el primer filtro y ayudará a detectar un ataque mal diseñado.
Realice usted la llamada
Ante cualquier duda, corte la llamada y realicela usted mismo, pero ahora al número telefónico oficial de la empresa de donde dicen haberlo contactado. Llame solo al número de servicio de atención al cliente que aparece en el sitio web de la empresa, nunca a los números que recibe en correos o mensajes.
Nunca compartas datos de accesos o cuentas bancarias por teléfono.
Las empresas serias no solicitan datos de acceso a cuentas vía telefónica: si su interlocutor los solicita, debe negarlos, cortar la llamada y comunicarse directamente con la empresa para solicitar información.
Bloquee cuentas temporalmente.
Si sospecha que fue víctima de Vishing, debe bloquear inmediatamente las cuentas bancarias mediante su aplicación móvil o plataforma digital, avisar al banco y realizar una denuncia a la policía.
Mantenga su sistema informático seguro.
Para evitar la instalación de malwares es muy importante mantener su sistema informático actualizado y emplear una solución de ciberseguridad eficiente. Así también, utilizar el Doble Factor de Autenticación en todos los sistemas donde disponga de esta opción, ya que al requerir de este segundo paso de identificación, el cual debe ser realizado mediante su teléfono celular o correo electrónico, evitará el acceso no deseados a sus datos valiosos.
En SAI nos preocupamos por la seguridad de la información y ponemos a su disposición Soluciones en Ciberseguridad que harán su vida más segura y tranquila.
Comuníquese con nosotros y un asesor experto le ayudará a mejorar la seguridad de sus equipos y accesos.