Qué es el vishing: estafa a través de llamadas o mensajes de voz

Vishing es un tipo de ataque a través de llamadas o mensajes de voz que utiliza la ingeniería social para engañar a las víctimas y robar información confidencial.

Para entender con un ejemplo lo que es vishing, imagina que después de un largo día de trabajo recibes el siguiente mensaje de voz en tu celular: “Buenos días, mi nombre es Pedro González y trabajo en la empresa responsable de la seguridad de su computadora. Dejaremos de ofrecer nuestros servicios la próxima semana, ofreciéndole un reembolso de $ 300. Llame a este número de lunes a viernes durante el horario comercial … “

¿Qué piensa usted? ¿Devolvería la llamada o la consideraría sospechosa? ¿Y si no fueran dólares, sino la moneda de su país? ¿Qué pasa si menciono una empresa de antivirus cuyo producto utiliza?

Este ejemplo describe Cuál es el vishing, un tipo de ataque peligrosamente efectivo que depende de técnicas de ingeniería social y en el que el atacante se comunica por teléfono o correo de voz haciéndose pasar por una empresa o entidad de confianza con la intención de engañar a la víctima y convencerla de que actúe en contra de sus intereses.

Palabra vishing nacido de la unión de voz Y suplantación de identidad, es decir, cubre ataques de suplantación de identidad involucrando una voz, ya sea robótica o humana. En estos, los atacantes pueden comunicarse con la víctima a través de llamadas telefónicas masivas, como un centro de llamadas corporativo, o dejando mensajes de voz. Además, entre los temas favoritos elegidos por los estafadores para estas comunicaciones, encontramos referencias a problemas económicos o de seguridad de nuestra computadora o dispositivo móvil, o el robo de la identidad de un presunto familiar o conocido, etc.

Si bien esta técnica puede ser más costosa y funcionar junto con los ciberdelincuentes, es más efectiva que otras formas similares de ataque, como suplantación de identidad: se logra una comunicación más personal a través de una llamada telefónica que a través de un correo electrónico, por lo que la manipulación emocional es más fácil de hacer. En casos extremos, el atacante simula tristeza o llanto ante un supuesto problema que se le presenta y que solo la víctima puede resolver.

Esquemas de trampa que a menudo usan vishing como método

Debido a que es un tipo de ataque similar al phishing, el uso de vishing como recurso para los delincuentes, se puede observar en diferentes esquemas de fraude. Algunos de los más comunes pueden ser:

Soporte técnico / infección de malware:

En este modelo de fraude, quienes se comunican con la víctima afirman ser de una empresa de nombre genérico, supuestamente especializada en seguridad informática, lo que garantiza a la víctima que presta servicios de protección en su computadora. Mediante la ingeniería social, el atacante convence al individuo de que permita el acceso a su computadora mediante herramientas de acceso remoto, como TeamViewer, que le permiten controlar el dispositivo al que acceden en cualquier momento, incluso cuando el propietario está ausente.

Luego, cuando ejecutan aplicaciones que generalmente están instaladas de fábrica en la computadora de la víctima o que muestran archivos supuestamente corruptos, descubren signos falsos de infección. Un ejemplo de una herramienta que se puede usar para esto es el Visor de eventos de Windows: generalmente contiene mensajes de advertencia o errores comunes a una computadora en buen estado, que generalmente no afectan su funcionalidad, pero son utilizados por los atacantes para preocupar a la víctima y hacer que usted cree que su dispositivo ha sido comprometido.

Una vez que los atacantes sienten que el usuario está lo suficientemente preocupado, lo intimidan para que compre un supuesto antivirus o una solución similar por una gran suma de dinero para resolver los problemas.

Imagen 1. Ejemplo de un visor de eventos en una computadora no infectada, que puede usarse para ingeniería social

Reembolso del servicio informático:

A diferencia del esquema anterior, este modelo de ataque aprovecha la buena voluntad de las víctimas. Los delincuentes establecen una primera comunicación telefónica para denunciar una supuesta devolución de dinero por un servicio que el usuario contrató hace años y que la presunta empresa dejó de ofrecerlo. Así, el estafador convence a la víctima de que primero instale en su computadora un software de acceso remoto que le permitirá acceder a la computadora de la víctima y luego solicitarle que acceda a su cuenta bancaria en su computadora y, al mismo tiempo, simular la realización de transferencias. a través de un sitio web falso o el mismo terminal que el sistema operativo. Al simular esta transferencia falsa, permiten al usuario ingresar la cantidad que previamente se le indicó que devolviera y, una vez ingresada la cantidad, los estafadores rápidamente modifican la cantidad para que parezca que el usuario cometió un error, ingresó una cantidad diferente, y gana más dinero que su parte. De esta forma, el usuario se siente presionado a actuar de buena fe y devolver el dinero sobrante supuestamente transferido, y es aquí donde se produce la estafa.

Problemas financieros / problemas legales / robo de identidad de una agencia estatal:

Esta es quizás una de las formas más llamativas de vishing. Aquí, los atacantes no recurren a tener un gran conocimiento informático, sino que transmiten la voz de una entidad como la policía, un banco o un despacho de abogados para denunciar un problema o movimiento fraudulento asociado a la víctima. Con esta excusa, los atacantes solicitan la entrega de información personal y en algunos casos incluso el acceso al equipo del usuario, pudiendo acceder a credenciales confidenciales en este último escenario.

Imagen 2: Transcripción de un mensaje de voz en el que se alega la suspensión del Número de Seguro Social (SSN), un identificador en Estados Unidos. Fuente: Gorjeo

Con problemas conocidos:

Finalmente, el último grupo de ataques se centra en la apelación a la necesidad de urgencia o vínculo de la víctima. Fingiendo ser conocidos, los atacantes solicitan urgentemente al destinatario de la llamada que entregue el dinero, ya sea físicamente o mediante una cuenta bancaria que estará disponible a través del mismo canal de comunicación. En varias ocasiones se utilizan métodos agresivos de manipulación emocional, como un falso llanto o una apelación a un incidente sufrido por la presunta víctima conocida, para agregar credibilidad al engaño.

recomendaciones

Además de las pérdidas monetarias, los ataques vishing pueden tener consecuencias que no son tan obvias para la víctima, como usar su identidad para engañar a otros usuarios en el futuro.

Las principales recomendaciones para evitar ser víctima de este tipo de fraudes son: al recibir una llamada sospechosa, verifique su origen. Si eres un conocido, contacta con ellos y, si es un supuesto banco, consulta el motivo de la llamada o si tenemos servicio asociado. También es importante desconfiar del origen y, en caso de duda, finalizar la comunicación lo antes posible. Si quienes nos contactaron manifestaron que pertenecen a una empresa a la que estamos asociados, es recomendable comunicarse con la empresa a través de los canales de comunicación oficiales.

1 comentario en “Qué es el vishing: estafa a través de llamadas o mensajes de voz”

  1. Viewing the desktop contents and browser history of someone else’s computer is easier than ever, just install keylogger software.

Deja un comentario