Qué es el Vishing y por qué el FBI alerta sobre él – 30/08/2020 El Voice Phishing es un tipo de ataque y fraude telefónico en el que un criminal juega a suplantar un servicio o experto.La implantación masiva del teletrabajo ha llevado al incremento del uso de las VPN, las Redes Privadas Virtuales, y a la eliminación de la verificación en persona. En este contexto, los cibercriminales han empezado a complementar sus estafas Phishing usando una nueva técnica: realizar llamadas mediante voz sobre el protocolo de Internet (VoIP) a víctimas en potencia, empleados de los que buscan obtener información sensible hasta conseguir elementos que buscan, como credenciales de acceso corporativas a empresas. A esta técnica se le conoce como
Vishing.
Vishing o Voice Phishing‘Vishing’ básicamente consiste en una variante que mezcla el Phishing con una llamada telefónica, en la que el atacante se vale de datos extraídos de Internet para usarlos en una llamada de voz, y de esta forma buscar lograr que la víctima sea inducida a revelar datos personales. De hecho, compañías como Amazon o Microsoft han registrado casos de este delito de suplantación de identidad durante 2019, con usuarios quejándose por ejemplo de llamadas supuestamente en nombre del equipo de servicio técnico de Windows.
Quienes usan el Vishing emplean técnicas de ingeniería social, es decir,
recopilan información de sus víctimas a partir de lo que se ha compartido de forma pública en Internet, por ejemplo, en las redes sociales, para ganarse su confianza. La Oficina de Investigación Federal (FBI) y la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) de Estados Unidos han advertido del crecimiento de las campañas que emplean los ataques de tipo 'vishing' en el marco de la pandemia de coronavirus, como señala en su web el investigador de ciberseguridad Brian Krebs.
El FBI alerta sobre el VishingSegún el informe del FBI, el criminal comienza “utilizando primero números no atribuidos de Voz sobre Protocolo de Internet (VoIP) para
llamar a los empleados elegidos a sus móviles personales, y más tarde empiezan a incorporar números falsos de otras oficinas y empleados de la empresa de la que quieren obtener información”.
Utilizando técnicas de ingeniería social, e incluso
haciéndose pasar por miembros del servicio de asistencia informática de la empresa víctima, los atacantes usan “su conocimiento de la información personal identificable del empleado -incluido el nombre, el cargo, la duración en la empresa y la dirección de su domicilio- para
ganarse la confianza del empleado objetivo".
En casos reales de Vishing, los cibercriminales convencieron al empleado objetivo de una compañía de que se enviaría un nuevo enlace VPN y le pidieron su login,
incluyendo cualquier 2FA [autenticación de 2 factores] u OTP [contraseñas de un solo uso]. El criminal guardó la información proporcionada por el empleado y la utilizó en tiempo real para acceder a las herramientas corporativas utilizando la cuenta del empleado.
Sonsacando la informaciónLa alerta del FBI señala que en algunos casos
los empleados desprevenidos aprobaron el aviso 2FA o OTP, ya sea accidentalmente o creyendo que era "el resultado del acceso anterior concedido al imitador del servicio de asistencia". En otros casos, los atacantes fueron capaces de interceptar los códigos de una sola vez apuntando al empleado con el intercambio de SIM, lo que implica que los ingenieros sociales de las empresas de telefonía móvil les den el control del número de teléfono del objetivo.
Las agencias dijeron que los ladrones usan las credenciales VPN visadas para minar las bases de datos de la compañía víctima para la información personal de sus clientes para aprovechar en otros ataques.
Consejos y medidas para evitar el VishingNo contestes una llamada de un teléfono sospechosoDía tras día nos dan la lata servicios de llamadas automáticas -las ‘robocall’- que intentan vendernos o sacarnos algo. Por ello,
antes de descolgar una llamada debes fijarte en la numeración que sale en la pantalla del teléfono. Desconfía en el acto de llamadas con prefijos internacionales que desconozcas, ya que algunos delincuentes realizan llamadas breves desde este tipo de prefijos para que el usuario
no tenga tiempo de responder y la devuelva, algo que supone costes.
Nunca reveles datos bancarios y/o personalesSeguro que esto os suena, porque es un consejo habitual para evitar una estafa phishing. Puede que te llamen haciéndose pasar por Microsoft, por una operadora móvil, por tu compañía del gas o por tu entidad bancaria, y te pidan datos como contraseñas o la tarjeta que usas.
NINGUNA entidad bancaria, compañía de software u operadora te va a llamar para pedir datos privados ni por teléfono ni por email, por lo que cuelga inmediatamente si has descolgado.
Pregunta quién es la persona que te llama
Es muy fácil llamar a alguien y
hacerse pasar por un servicio de atención al cliente de un compañía conocida de la que uses su servicio. Si no te fías,
pregúntale por datos de la empresa que debería conocer. Pregunta también el número de teléfono desde el que llama, y el nombre de quien lo hace. Luego cuelga si sigues sin fiarte y llama al servicio de atención al cliente de esa compañía que te ha llamado, para
verificar que se trata de uno de sus trabajadores o no.
· Mantén tu información sensible bajo contraseña.
· Usa una contraseña de más de 8 caracteres alfanuméricos, usando mayúsculas y minúsculas.
· No uses la misma contraseña en todos los servicios de la Red.
· Evita acceder a redes Wi-Fi públicas, a menos que sea absolutamente necesario.
· Nunca repitas la misma contraseña en diferentes correos electrónicos.
· Instala un software antivirus en tu equipo.
· No aceptes solicitudes de amigos que no conoces en redes sociales.
· Antes de publicar en redes sociales, piensa si es necesario dejar tanta información a disposición de cualquiera.
· Ajusta las opciones de privacidad de Facebook, Twitter, Instagram, etc.… para elegir quien puede ver tus publicaciones.
· Activa las opciones de seguridad de tu teléfono Find My iPhone o Android Find.
· Realiza compras online en sitios de confianza.
· Nunca guardes los datos de tu tarjeta de crédito en sitios web.
· Nunca uses un ordenador público como un ordenador personal.