La compañía ESET advierte sobre este tipo de ataque que utiliza la ingeniería social para engañar a las víctimas y robar información sensible.
La compañía de seguridad ESET advierte sobre un nuevo método de engaño que roba información sensible por medio de llamadas telefónicas o mensajes de voz. El vishing es un tipo de ataque peligrosamente eficaz que utiliza técnicas de ingeniería social en donde el atacante se comunica telefónicamente o vía mensaje de voz haciéndose pasar por una empresa o entidad confiable con la intención de engañar a la víctima y convencerla de que realice una acción que va en contra de sus intereses.
Con esta técnica los atacantes pueden llegar a la víctima por medio de llamadas telefónicas masivas, tal como un call-center corporativo, o dejando correos de voz. Además, entre las temáticas favoritas elegidas por los estafadores para estas comunicaciones se encuentran referencias a problemas financieros o de seguridad, o la suplantación de identidad de un supuesto familiar o conocido, etc.
Le puede interesar: ¿Quién es el líder en el Cuadrante Mágico 2021 según Gartner?
“Si bien esta técnica puede representar un mayor costo y trabajo del lado de los cibercriminales, es más efectiva que otras formas de ataque similares como el phishing: a través de una llamada telefónica se logra una comunicación más personal que a través de un correo electrónico, por lo que la manipulación emocional es más fácil de llevar a cabo. En casos extremos, el atacante simula tristeza o llanto ante un supuesto problema que se le presenta y que solo la víctima puede resolver”, resalta Martina López, investigadora de seguridad Informática del Laboratorio de ESET Latinoamérica.
Este tipo de ataque es similar al phishing, por la cual los criminales suelen observarse en distintos esquemas de fraude. Uno de los más comunes es el reembolso por servicio informático, el criminal establece una comunicación inicial por llamada telefónica para informar sobre una supuesta devolución de dinero por un servicio que contrató el usuario hace años y que la compañía dejó de ofrecer.
De esta forma el estafador persuade a la víctima para que primero instale en su equipo un software de acceso remoto que le permitirá al atacante tener acceso al equipo de la víctima. Paralelo a esto, simulan una transferencia y modifican el monto para que parezca que hubo un error y se ingresó un valor diferente, haciendo que se transfiera más dinero del que le correspondía. De esta forma el usuario se siente presionado a actuar de buena fe y devolver el supuesto dinero transferido de más, y es aquí donde se produce la estafa.
Otro de los ataques comunes se da por soporte técnico, el atacante se comunica con la víctima afirmando que es de una compañía con un nombre genérico, especializada en seguridad informática. Utilizando ingeniería social el estafador convence al usuario que le permita el acceso a su equipo por medio de herramientas de acceso remoto, las cuales permiten controlar el dispositivo al que acceden en todo momento.
Asimismo, los atacantes se hacen pasar por la voz de una entidad como la policía, un banco o una firma legal para informar sobre algún problema o movimiento fraudulento asociado a la víctima. Con esta excusa los atacantes solicitan la entrega de información personal y en algunos casos hasta acceso a la computadora del usuario, pudiendo acceder en este último escenario a credenciales sensibles.
Otro estilo de ataque es cuando el estafador apela a la necesidad de urgencia, pretendiendo ser algún conocido del usuario para solicitar con urgencia la entrega de dinero. En diversas ocasiones se emplean métodos de manipulación emocional agresivas, como un llanto falso o la apelación a algún incidente sufrido por el supuesto conocido de la víctima, para agregar credibilidad al engaño.
“Las principales recomendaciones para evitar ser víctima de este tipo de fraude son: ante la recepción de algún llamado sospechoso verificar la fuente de este. Si se trata de un conocido, contactarse con él, y si se trata de un supuesto banco, chequear el motivo del llamado o si poseemos algún servicio asociado. Es importante también desconfiar de la procedencia y en caso de ser algo dudoso terminar la comunicación lo antes posible. Si quien nos contactó alegó ser de alguna compañía con la cual estamos asociados, es aconsejable comunicarse con la empresa a través de los canales de comunicación oficiales”, concluye López de ESET Latinoamérica.
Σχόλια