PHISHING, SMISHING Y AHORA, VISHING

phising-smshing-vishing

Los ciberdelincuentes no tienen descanso, esta vez utilizando una llamada de teléfono.

¿QUÉ ES EL VISHING?

El vishing es un tipo de estafa de ingeniería social por teléfono en la que, a través de una llamada, se suplanta la identidad de una empresa, organización o persona de confianza, con el fin de obtener información personal y sensible de la víctima.

La mayoría de las personas han oído hablar del phishing; sin embargo, aunque el vishing es un ataque diferente, está dentro de la misma clasificación que el phishing y tiene objetivos en común.

Los vishers (como se conoce a los perpetradores de estas técnicas de vishing) usan números telefónicos fraudulentos, software de modificación de voz, mensajes de texto e ingeniería social para convencer a los usuarios de que divulguen información delicada. En el vishing generalmente se usa la voz para engañar a los usuarios.

El smishing, otra forma de phishing que usa mensajes de texto SMS para engañar a los usuarios, se suele emplear en paralelo con llamadas de voz dependiendo de los métodos del atacante.

EJEMPLOS DE VISHING

Una persona recibe una llamada y…

  • Una persona muy correcta te llama por tu nombre y se identifica como un gestor de tu banco. Seguidamente, te informa de que ha habido una serie de cargos sospechosos en tu cuenta y quiere revisar los últimos movimientos contigo. Para ello, te pide una serie de datos, como tu número de tarjeta de crédito, CVV y clave de firma. Aunque tu banco jamás te pedirá este tipo de información, es posible que no seas consciente o no lo reflexiones porque te están apremiando y termines compartiéndola.
  • La Agencia Tributaria te llama por teléfono y te indica que tienes pendiente un devolución de dinero. Una vez que nos mostramos interesados, el atacante tratará de hacer que compartamos todos nuestros datos personales y/o datos de la tarjeta de crédito, con la excusa de que son necesarios para poder cobrar. En ocasiones, tratará de invitarnos a acceder a una web fraudulenta, rellenar un formulario con nuestros datos personales, etc.
  • Un supuesto técnico se pone en contacto con nosotros por teléfono para informarnos de una incidencia que podría afectar gravemente al sistema de nuestro ordenador. Para solucionarla lo antes posible, están llevando a cabo controles en remoto en los equipos de aquellos usuarios afectados. Dejándolo en manos del experto, terminamos por confiar en él, descargamos el software que necesita y le damos control sobre nuestro equipo para que acceda a nuestros archivos, robe nuestros datos o instale software 

Lo que debe tenerse en cuenta cuando se recibe una llamada de una supuesta compañía, sobre todo si da la casualidad de que se es cliente de ella, es determinar si se estaba esperando una llamada, si no desconfía.

Supuestos como estos podrían abrir la puerta a otra serie de delitos, como el robo de documentación e información personal, de credenciales bancarias e incluso de compra de criptomonedas. ‘‘Si en el ordenador tienes  escaneado tu DNI   otra documentación importante, podrían realizarte cargos, darte de alta en servicios… Podrías ser víctima de más fraudes a tu nombre o incluso de extorsiones’’

¿CÓMO PODEMOS PROTEGERNOS DEL VHISING?

Se requiere de nuestra atención para poder detectarlos y prevenirlos a tiempo. Algunos consejos que debemos seguir para ello son:

  • Evitar compartir información personal. Como cualquier ataque por ingeniería social, lo primero y más fundamental es utilizar el sentido común y evitar compartir con desconocidos información personal o especialmente sensible, como son los datos bancarios o nuestras credenciales.
  • Desconfiar de llamadas de números desconocidos o una numeración sospechosa. Si recibimos una llamada de un número desconocido, debemos desconfiar y no facilitar información a la primera de cambio, sobre todo si no estamos esperando ninguna.
  • Comprobar la autenticidad de la llamada. Es frecuente que los ciberdelincuentes se hagan pasar por nuestro banco, compañía de teléfono o eléctrica e incluso por el soporte técnico de algún servicio de los que utilizamos habitualmente, como Microsoft. No olvidemos que también pueden suplantar a cualquier entidad u organismo público o privado: Seguridad Social, Agencia Tributaria, etc. Una práctica muy sensata es comprobar que la persona es quien dice ser, pidiéndole que nos dé cierta información que la compañía debería conocer. Además, si nos mete “miedo” o nos invita a tomar una decisión de manera urgente, deberemos sospechar. Deberemos solicitar que nos llamen en otro momento para poder contrastar la información directamente con la entidad afectada. Por ejemplo, si nos dicen que nos llaman para hacernos una devolución de dinero de la Agencia Tributaria, lo sensato será acudir a la página web oficial o incluso a la oficina más cercana para confirmar la cuestión o desmentirla.
  • Evitar las herramientas de acceso remoto. Es habitual que algunos ciberdelincuentes utilicen, además de la llamada telefónica, una herramienta de acceso remoto con la que tener control sobre nuestro equipo. Si nos sugieren utilizarla, deberemos desconfiar, pues es muy probable que se trate de un tipo de fraude conocido como el falso soporte técnico.

Debemos estar alerta y seguir las instrucciones previas para evitar ser víctimas de un ataque de vishing y terminar compartiendo más información de la que deberíamos.

¿QUÉ HACER SI HEMOS SIDO VÍCTIMAS DE VISHING?

Si creemos haber sido víctimas de algún fraude, debemos denunciarlo a la Policia, aportando todas las evidencias posibles, como capturas de pantalla, registro de llamadas, mensajes recibidos y, si percibimos que la llamada puede ser sospechosa, la grabación de la misma.

Avisar a la entidad bancaria para indicar que  has sido víctima de VISHING, que  te bloqueen las tarjetas, las cuentas bancarias y poner una reclamación.

Si no te reponen el dinero, puedes contactarnos para ayudarte a que te devuelvan lo que es tuyo.