Hoy en día, los usuarios pasamos tanto tiempo conectados a nuestros dispositivos que es importante que estemos alerta, ya que los ciberdelincuentes no descansan y siempre estarán tratando de elaborar nuevas estafas y fraudes con los que hacerse con nuestra información personal.
En esta ocasión, nos centraremos en un tipo de fraude que se lleva a cabo a través de llamadas telefónicas, conocido como vishing. Es un tipo de fraude basado en la ingeniería social y en la suplantación de identidad. Se realiza a través de llamadas telefónicas, donde el atacante suplanta la identidad de una empresa, organización o incluso de una persona de confianza, con el fin de obtener información personal de sus víctimas.
Su modus operandi se divide en dos pasos. Primero, el atacante debe haber obtenido información confidencial sobre su víctima, como su nombre y apellidos, el correo, domicilio, parte de los datos de su tarjeta de crédito, etc. Esto lo obtiene gracias a otros ataques realizados sobre sus víctimas, como el phishing.
Una vez obtenida esta información, es el momento de realizar una llamada telefónica al cliente, haciéndose pasar por su banco, una empresa de mensajería o un servicio técnico para utilizar la información anterior y que su víctima confíe en él. Tras esto, tratará de obtener más información, conseguir que el usuario instale algún malware en su equipo o realice algún tipo de pago.
¿Cómo funciona el vishing?
Para comprender cómo funciona este tipo de ataque y que seamos capaces de identificarlo en nuestro día a día, vamos a verlo a través de un ejemplo:
Al padre de la familia Cibernauta le gusta utilizar su teléfono móvil para todo. Desde que lo tiene no para de realizar llamadas, escribirse con sus familiares y amigos, descargar aplicaciones, etc. Además, le gusta estar informado de todos los descuentos y promociones que encuentra, registrándose en distintas webs y rellenando algún que otro formulario online.
De pronto, su teléfono comienza a sonar, y al descolgar, mantiene la siguiente conversación:
- – Hola, muy buenas tardes, ¿es usted el titular de la línea XXX-XXX-XXX?
- – Sí, soy yo.
- – Le llamo de la compañía telefónica TELEFUN2 en relación a su última factura. Parece que ha habido un error, pues debería habérsele descontado una parte. Esto es debido a un acuerdo que tenemos con su banco. Por comodidad para usted, le haremos la devolución de esta parte proporcional a su cuenta bancaria, para lo que necesito que me valide sus datos bancarios.
- – Claro, muy bien. Mis datos son los siguientes…
Nuestro protagonista no lo dudó y compartió con el supuesto agente de la compañía telefónica su cuenta bancaria y los datos de su tarjeta. Sin embargo, la supuesta devolución nunca llegó y el padre de la familia Cibernauta no tardó en darse cuenta de que había sido víctima de un fraude.
¿Qué había ocurrido? Los ciberdelincuentes habían conseguido obtener cierta información de nuestro protagonista a través de su correo electrónico. Como se había estado registrando en varias ofertas y promociones y compartiendo datos a través de formularios online, debió de haber sido víctima de otro tipo de fraude, regalando información sensible, como su correo electrónico y número de teléfono, que los atacantes utilizaron para obtener aún más información sobre él.
Luego, se hicieron pasar por su compañía de teléfono para ofrecerle un atractivo descuento y recabar el resto de los datos que necesitaban.
A pesar de la amenaza, este tipo de fraudes son fácilmente identificables y los usuarios disponemos de varias pautas y buenas prácticas que nos pueden ayudar a defendernos de los ciberdelincuentes:
- Verificar la identidad del remitente. Si nos aparece un número desconocido en la pantalla de nuestro teléfono, una alerta de spam o no nos convence, siempre podemos comprobar el número de teléfono en Google para ver si está relacionado con algún tipo de fraude.
- No hacer clic ni seguir sus indicaciones. Es común que los atacantes se sirvan de mensajes y correos automatizados para engañar a sus víctimas o conseguir que descarguen algún malware.
- No facilitar nunca información personal. Aunque no estemos seguros de si se trata de un fraude, nunca deberemos compartir nuestros datos con un desconocido.
Si recibimos alguna llamada telefónica de nuestro banco u otro servicio de confianza, debemos saber que ellos ya disponen de toda la información que necesitan para realizar estos trámites y que, bajo ningún concepto, debemos compartir con ellos datos sensibles, como nuestra tarjeta de crédito o contraseñas, ni dejar que un desconocido tome control sobre nuestros dispositivos.
¿Qué hacer si somos víctimas de un vishing?
En el caso de que sospechemos estar ante un caso de vishing, lo mejor que podemos hacer es cortar toda comunicación, y si tenemos la sospecha de haber sido víctimas de este fraude, lo que deberemos hacer es lo siguiente:
- Escanear nuestro dispositivo con un antivirus actualizado.
- Eliminar cualquier archivo que hayamos descargado del correo.
- Bloquear el número que nos haya contactado.
- Cambiar las contraseñas de aquellas cuentas que hayan podido ser vulneradas.
- Activar la verificación en dos pasos en las cuentas que lo permitan para evitar la suplantación de identidad.
- Contactar con el banco para cancelar cualquier pago no autorizado o cancelar nuestra tarjeta en caso necesario.
- Recopilar todas las pruebas posibles y denunciarlo
FUENTE: OSI.ES