Conoce Atico34 - Solicita presupuesto
Ciberseguridad

¿Qué es el vishing o phishing por voz?

Muchas de las amenazas generalizadas actuales dependen en gran medida de la ingeniería social: técnicas utilizadas para manipular a las personas para que realicen acciones o divulguen información confidencial para aprovechar y explotar las debilidades tecnológicas. En este artículo vamos a examinar específicamente el vishing, los métodos empleados en este ataque, cómo protegernos del mismo y qué hacer en caso de ser víctimas de vishing.

¿En qué consiste el vishing?

Vishing es una práctica de ingeniería social que aprovecha las tecnologías de mensajería de voz basadas en IP (principalmente Voz sobre Protocolo de Internet o VoIP) para diseñar socialmente la víctima prevista para proporcionar información personal, financiera u otra información confidencial con el fin de obtener una recompensa financiera.

El término “vishing” se deriva de una combinación de “voz” y “phishing“.

El uso de sistemas de telefonía fija para persuadir a alguien para que realice acciones involuntarias ha existido desde el nacimiento del teléfono. ¿Quién no hizo bromas a través de llamadas telefónicas?

Sin embargo, los servicios de telefonía fija han terminado tradicionalmente en una ubicación física conocida por la compañía telefónica.

El reciente aumento masivo de la telefonía IP ha significado que muchos servicios telefónicos ahora pueden iniciarse o finalizarse en un ordenador en cualquier parte del mundo. Además, el coste de hacer una llamada telefónica se ha reducido a una cantidad insignificante.

Esta combinación de factores ha hecho que sea financieramente práctico para los phishers aprovechar VoIP en sus ataques. Se espera que Vishing tenga una tasa de éxito mucho más alta que otros vectores de phishing porque:

  • Los sistemas telefónicos tienen un historial de confianza mucho más largo que los más nuevos sistemas de
    mensajería basada en Internet
  • Se puede contactar a un mayor porcentaje de la población mediante una llamada telefónica que a través del correo electrónico
  • Existe una amplia adopción y aceptación general de la automatización de los  sistemas de validación telefónica.
  • El teléfono hace que ciertos grupos de población, como los ancianos, sean más accesibles
  • El tiempo de entrega del mensaje se puede aprovechar para aumentar las probabilidades de éxito
  • El teléfono permite una mayor personalización del mensaje de ingeniería social.
  • El mayor uso de los centros de llamadas significa que la población acepta más de extraños que pueden tener acentos pidiendo información confidencial.

La información más valiosa para el phisher es:

  • Detalles de la tarjeta de crédito (incluidos los datos de vencimiento y los códigos de seguridad de la tarjeta)
  • Números de cuenta y su PIN
  • Fecha de cumpleaños
  • Número de la Seguridad social
  • Números de tarjeta de fidelización del cliente
  • Pasaporte.

¿Qué técnicas se emplean en el vishing?

Las técnicas de vishing incluyen:

Wardialing

Es cuando el visher utiliza un sistema automatizado para llamar a códigos de área específicos con un mensaje que involucra bancos o cooperativas de crédito locales o regionales.

Una vez que alguien contesta el teléfono, comienza una grabación genérica o específica, solicitando que el oyente ingrese los números de cuenta bancaria, tarjeta de crédito o débito, junto con los códigos PIN.

VoIP

Voz sobre Protocolo de Internet, o VoIP, es un sistema telefónico basado en Internet que puede facilitar la visualización permitiendo que múltiples tecnologías funcionen en conjunto. Se sabe que los Vishers usan VoIP para hacer llamadas, así como para explotar bases de datos conectadas a sistemas VoIP.

Suplantación de identidad de llamada

Esta es la práctica de hacer que la red telefónica muestre un número falso en la identificación de llamada del destinatario. Varias compañías proporcionan herramientas que facilitan la suplantación de identidad.

VoIP tiene fallos conocidos que permiten la suplantación de identidad de llamadas. Estas herramientas se usan generalmente para llenar el identificador de llamadas con un banco o cooperativa de crédito específico, o simplemente con las palabras “Banco” o “Cooperativa de crédito”.

Ingeniería social

La ingeniería social es una forma más elegante y más técnica de mentir. Las técnicas de ingeniería social se utilizan para evitar sofisticados softwares de seguridad. Las grabaciones automáticas utilizadas por vishers tienden a ser relativamente profesionales y convincentes.

Buceo en el contenedor

Una forma de “pirateo” es simplemente buscar en el contenedor de un banco y recuperar cualquier lista de números de teléfono de clientes. Una vez que el visher tiene la lista, puede programar los números en su sistema para un ataque más específico.

Para protegerse de estas estafas, infórmate. El conocimiento es la clave para defenderte de vishing. Cuanto mejor lo entiendas, mejor estarás, así que lee sobre los incidentes de vishing y, si tu banco proporciona información sobre vishing en línea o por correo, presta atención. A medida que este crimen se vuelve más sofisticado, querrás estar al día.

¿Cómo detectarlo?

Los vishers enviarán un correo electrónico a miles de personas que parece ser de una organización acreditada, como una compañía de tarjetas de crédito, un minorista en línea, un banco o una agencia gubernamental.

El correo electrónico puede advertirte de una alerta de seguridad y pedirte que llames a un número local o gratuito donde un asistente automático te pedirá que ingreses información personal, como tu número de tarjeta de crédito, número de dNI o contraseña de banca en línea. Después de hacerlo, puede desconectarse sin hablar con nadie, pero los delincuentes tendrán tu información.

Todos recibimos correos electrónicos y llamadas telefónicas de compañías y organizaciones legítimas con las que hacemos negocios, pero aquí hay algunas cosas que debes tener en cuenta al tratar de averiguar si es la compañía legítima o un visher quien contacta contigo:

  • Si estás tratando con una empresa legítima, ellos saben con quién se están contactando y te llamarán por tu nombre en un correo electrónico o llamada telefónica. Los vishers generalmente no saben quién eres y no usan tu nombre.
  • Si un banco sospecha actividad fraudulenta en tu tarjeta de débito o crédito o cuenta, nunca te contactarán por correo electrónico. Si recibes dicho correo electrónico, no respondas y elimínalo.
  • En algunos casos, tu banco puede contactarte por teléfono o dejarte un mensaje de correo de voz si sospecha de actividad fraudulenta. Como parte de una conversación legítima con tu banco, es posible que te hagan preguntas de verificación para que el banco pueda asegurarse de que están hablando con la persona adecuada. Sin embargo, no te pedirá que proporciones verbalmente ningún número de identificación personal (PIN) o contraseña bancaria ni que ingreses tu PIN o contraseña en el teclado de tu teléfono.
  • Es una práctica sensata no utilizar el número de teléfono proporcionado en el correo electrónico o en el mensaje telefónico que recibes. Puedes validar que la llamada es legítima comunicándote con tu banco utilizando el número de teléfono que figura en el reverso de tu tarjeta o en un número publicado que tú mismo hayas buscado.
  • Como regla general, ten cuidado sobre cómo y con quién compartes información personal o financiera.

Diferencias entre vishing, phishing y smishing

Recientemente, Internet se ha convertido en una parte integral de nuestras vidas. La red ofrece muchas oportunidades increíbles, como comunicación, compras, pago de facturas y diversos entretenimientos.

Pero no siempre y no todos usan Internet para el bien de la sociedad. Debido al rápido desarrollo de numerosos recursos, han surgido muchos tipos de fraude que tienen como objetivo obtener datos confidenciales y utilizarlos aún más para beneficio personal.

Los principales son phishing, vishing y smishing. Sin embargo, para proteger tus datos personales en Internet, es suficiente usar reglas elementales de protección de datos y saber cómo reconocer las amenazas comunes y cómo combatirlas.

Phishing

El phishing es uno de los métodos de fraude en Internet más utilizados en este momento. Es un tipo de obtención de información secreta por parte de un atacante que utiliza los métodos conocidos de ingeniería social para hacer que los usuarios abran ellos mismos sus datos personales. Este puede ser el número y el código de una tarjeta bancaria, número de teléfono, inicio de sesión, contraseña y dirección de correo electrónico de ciertos servicios.

Un usuario recibe un mensaje de phishing en su buzón que, en primer lugar, afecta sus emociones. Por ejemplo, esta puede ser una notificación sobre una gran ganancia o, sobre la piratería de la cuenta con la sugerencia adicional de seguir un enlace de phishing e ingresar los datos de autorización. Un usuario acude al recurso provisto y facilita su nombre de usuario y contraseña al estafador que, por su parte, opera rápidamente con la información recibida.

Vishing

El Vishing o phishing por voz también utiliza métodos de ingeniería social, pero con la ayuda de una llamada telefónica.

El usuario recibe una llamada telefónica, por ejemplo, del empleado del banco y el operador le advierte que su tarjeta bancaria se bloqueará si la información completa sobre la tarjeta, incluido su número, código CVV, etc., no se proporciona por teléfono en este momento. Un cliente que escucha tal ‘amenaza’ inmediatamente entra en pánico y puede entregar todos los datos personales hasta el código de verificación.

Smishing

Otro tipo de trampas a través de los servicios de comunicación es smishing. Este esquema criminal tiene como objetivo hacer que el usuario siga un enlace malicioso desde el mensaje SMS.

Un mensaje Smishing puede tener una forma de notificación de un banco conocido, una compañía familiar o puede ser una información sobre ganar repentinamente una lotería, etc. En el caso de SMS, detectar un truco es más difícil que con phishing por correo electrónico, porque los mensajes son cortos y no tienen tanta información, excepto el enlace en sí.

Entonces, ¿cuál es la diferencia entre phishing, vishing y smishing, estos tipos de fraude en Internet tan similares pero aún diferentes? El objetivo principal es el mismo para todos ellos: obtener información confidencial, principalmente a través de la redirección de los usuarios a sitios web falsos.

Pero esto se hace de diferentes maneras:

  • Por correo electrónico en phishing
  • Por medio de una llamada telefónica en vishing
  • A través de SMS en smishing

Consejos para evitar ser víctima de vishing

Cuando tienes vishers acosándote cada día en tu teléfono móvil o teléfono fijo, ¿qué puedes hacer para poner fin a su reino de terror?

Hay varias cosas que tú y tu empresa podéis hacer para luchar contra el vishing:

  • No contestes tu teléfono cuando recibas llamadas de números desconocidos.
  • No respondas a ventas no solicitadas, marketing o mensajes de divulgación.
  • Evita llamar a los números de teléfono que se proporcionan en anuncios en línea, ventanas emergentes, correos electrónicos, etc.
  • Regístrate con un servicio de bloqueo de llamadas automáticas de pago.
  • Infórmate e informa a tus empleados y familiares sobre posibles amenazas y estafas. Enséñales a colgar y llamar a la persona, departamento o compañía directamente usando números de teléfono oficiales.
  • Informa al departamento de TI de tu empresa sobre posibles llamadas de estafa o correos electrónicos.
  • Presente una queja oficial ante las agencias policiales locales o estatales.

¿Qué hacer en caso de fraudes con tecnología VoIP?

Si recibes un correo electrónico o un mensaje de correo de voz de alguien que sospechas que puede ser un visher, no respondas utilizando el número de teléfono proporcionado. En su lugar, comunícate con esa organización a un número de teléfono que sepas que es correcto, que aparece en una tarjeta de débito / crédito o en un extracto bancario, en una factura o publicado en un sitio web legítimo. Y deja que la organización conozca los detalles del presunto incidente de vishing.

Si en algún momento no te sientes cómodo con las preguntas que te hacen por teléfono, no respondas y dile a la persona que llama que está interrumpiendo la llamada para verificar que sea legítima. Ninguna organización acreditada tendrá problemas con eso. Luego, vuelve a llamar a la organización al número de teléfono que has buscado tú mismo.

Si crees que has proporcionado información personal a un visher, comunícate de inmediato con la organización involucrada. Si has proporcionado parte de tu información bancaria o de tarjeta de crédito, comunícate con tu banco o institución financiera de inmediato y te asesorarán sobre lo que debes hacer. También puedes llamar a  la policía local.

Ejemplos de vishing

Existen muchos tipos de phishing de voz que existen. Aquí, desglosaremos cuatro de las estafas vishing más comunes:

Fraude de telemárketing

El telemarketing es algo con lo que toda persona está familiarizada. Esta categoría abarca muchos tipos de llamadas telefónicas no deseadas, incluidas las que le informan que:

  • la garantía de tu vehículo está a punto de caducar;
  • han estado tratando de comunicarse contigo acerca de una promoción de reducción de la tasa de interés para tu tarjeta de crédito;
  • una organización benéfica necesita tu ayuda y que puede marcar la diferencia incluso con una pequeña donación;
  • tienes una increíble oportunidad de inversión comercial;

Estos tipos de estafas de vishing se encuentran entre los tipos de fraude más persuasivos y generalizados. Por lo general, consisten en llamadas telefónicas no solicitadas que prometen algún tipo de beneficio, algo que la víctima obtendrá o se beneficiará de alguna manera. Estas estafas se dirigen con mayor frecuencia a personas mayores.

Suplantaciones gubernamentales

Somos del gobierno y estamos aquí para ayudar, al menos, eso es lo que algunos visitantes quieren que creas.

Estos tipos de estafas de robo de identidad pueden venir en forma de alguien que finge ser:

  • Hacienda: esta estafa implica un actor malicioso que finge trabajar en Hacienda. Te dirán que debes impuestos y, si no paga inmediatamente, te impondrán una sanción. Estas estafas implican tratar de hacer que la víctima proporcione su información personal.
  • Seguridad social: esta estafa en particular involucra a alguien que llama y finge ser de la Seguridad Social. Te pedirán que confirmes tus datos personales para recibir los beneficios a los que tienes derecho. La Seguridad social no funciona así.

Fraude de soporte técnico

Otro tipo de estafa vishing involucra a personas que fingen trabajar para una empresa de soporte técnico. Los supuestos “representantes de soporte técnico” a menudo llaman y afirman ser de una compañía reconocida. Con frecuencia, este actor informará a su víctima que hay algo mal con su ordenador y que necesitan darles acceso remoto para solucionarlo.

Su objetivo final es lograr que pagues por un servicio de soporte técnico que no necesitas para solucionar un problema que en realidad no existe.

Pero no todas las llamadas telefónicas de fraude de soporte técnico implican que el criminal te llame a ti. A veces, te atraerán para que los llames. La forma en que lo hacen es mediante el uso de mensajes emergentes en la pantalla de tu ordenador.

Estas advertencias, diseñadas con frecuencia para que parezcan que provienen de tu software antivirus o sistema operativo, te informan que se han detectado amenazas en tu máquina y te indican que llames a un número de teléfono específico para hablar con un técnico de inmediato.

Suplantaciones de instituciones bancarias o financieras

Las estafas financieras de vishing a menudo involucran a un actor que se hace pasar por tu banco, compañía de tarjetas de crédito u otra institución financiera para obtener información sobre ti.

Pueden llamar diciendo que hay cargos fraudulentos en tu cuenta, o pueden llamarte con una “oferta especial”, ¡pero debes actuar ahora o te lo perderás! De cualquier manera, al igual que con las otras formas de vishing, su objetivo es lograr que compartas tu información personal, financiera o de credenciales de cuenta por teléfono.