El vishing, como otros muchos ataques de ingeniería social, se basa en una serie de técnicas con las que ganarse la confianza del usuario, generalmente, haciéndose pasar por una persona o entidad reconocida por los usuarios.
Ahora, imagínate que tu teléfono empieza a sonar, lo coges y una persona muy amable te llama por tu nombre y se identifica como un representante de tu banco. Seguidamente, te informa de que ha habido una serie de cargos sospechosos en tu cuenta y quiere revisar los últimos movimientos contigo. Para ello, te pide una serie de datos, como tu número de tarjeta de crédito, CVV y clave de firma. Aunque tu banco jamás te pedirá este tipo de información, es posible que no seas consciente o no lo reflexiones porque te están apremiando y termines compartiéndola. Esto es lo que conocemos por vishing y el modus operandi del atacante puede variar mucho.
Cómo funciona el timo de la doble llamada
La idea es simple. Si te llama una persona y te dice que es determinada empresa, es muy posible que a estas alturas no caigas en la trampa. Sin embargo, si poco después te vuelven a llamar y te hablan de la persona anterior diciendo que son otras y haciendo mención a lo que te dijeron en la llamada anterior, entonces ya es más posible que creas que puede ser verdad.
A este fraude se le podría considerar casi como doble vishing, ya que en este caso, el atacante te va a llamar dos veces diferentes, y en cada una de las llamadas se va a hacer pasar por diferentes entidades. El objetivo es el de robar tus datos personales.
Este engaño funciona con dos pasos diferentes. Primero vas a recibir una llamada en la que se hacen pasar por tu actual compañía telefónica. En esta llamada, se te va a engañar diciéndote la mentira de que van a subir de forma inminente el precio de tu contrato. Aquí, se va a buscar asustarte con cifras grandes, diciéndote que te van a subir el precio de tu contrato telefónico entre 15 y 20 euros de forma inmediata.
Poco después de esta primera llamada, recibirás una segunda llamada fraudulenta. En esta segunda llamada, se harán pasar por otra compañía telefónica para ofrecerte una buena oferta si contratas su tarifa. Es posible que incluso utilicen mentiras extra, como que son la empresa recomendada por la OCU.
La idea es la de asustarte con la primera llamada y luego darte una solución, y hacerlo de una manera exagerada para impedir que te pares a pensar. El objetivo es que acabes diciéndole que sí a cambiarte a la supuesta segunda operadora, y robar tus datos personales en el falso proceso de contratación mediante el teléfono. Aquí, debes saber que ambas llamadas son falsas.
La idea es la de asustarte con la primera llamada y luego darte una solución, y hacerlo de una manera exagerada para impedir que te pares a pensar. El objetivo es que acabes diciéndole que sí a cambiarte a la supuesta segunda operadora, y robar tus datos personales en el falso proceso de contratación mediante el teléfono. Aquí, debes saber que ambas llamadas son falsas.
Te ofrecemos algunos ejemplos:
•Una supuesta cadena de supermercados muy famosa nos llama por teléfono y nos ofrece un cheque regalo para gastar en sus tiendas. Una vez que nos mostramos interesados, el atacante tratará de hacer que compartamos todos nuestros datos personales y/o datos de la tarjeta de crédito, con la excusa de que son necesarios para esta promoción. En ocasiones, tratará de invitarnos a acceder a una web fraudulenta, compartir la promoción con otros usuarios a través de nuestras redes sociales o aplicaciones de mensajería instantánea, rellenar un formulario con nuestros datos personales, etc.
•Llamadas telefónicas “bancarias”. Si recibes una llamada telefónica en la cual la persona al otro lado se identifica como trabajador de una entidad bancaria desconfía. Una de las técnicas más usadas es llamar al usuario y comunicarle que alguien está realizando una operación fraudulenta con su tarjeta bancaria. De este modo, la persona que está estafando solicita unos datos enviados a través de un SMS.
•Llamadas de una compañía telefónica. Si se hacen pasar por un comercial de una compañía telefónica asegurando que ha habido algún tipo de error en la domiciliación bancaria de una factura, debes desconfiar. Es un tipo de vishing para tener acceso a los datos bancarios.
•Una supuesta cadena de supermercados muy famosa nos llama por teléfono y nos ofrece un cheque regalo para gastar en sus tiendas. Una vez que nos mostramos interesados, el atacante tratará de hacer que compartamos todos nuestros datos personales y/o datos de la tarjeta de crédito, con la excusa de que son necesarios para esta promoción. En ocasiones, tratará de invitarnos a acceder a una web fraudulenta, compartir la promoción con otros usuarios a través de nuestras redes sociales o aplicaciones de mensajería instantánea, rellenar un formulario con nuestros datos personales, etc.
•Llamadas telefónicas “bancarias”. Si recibes una llamada telefónica en la cual la persona al otro lado se identifica como trabajador de una entidad bancaria desconfía. Una de las técnicas más usadas es llamar al usuario y comunicarle que alguien está realizando una operación fraudulenta con su tarjeta bancaria. De este modo, la persona que está estafando solicita unos datos enviados a través de un SMS.
•Llamadas de una compañía telefónica. Si se hacen pasar por un comercial de una compañía telefónica asegurando que ha habido algún tipo de error en la domiciliación bancaria de una factura, debes desconfiar. Es un tipo de vishing para tener acceso a los datos bancarios.
•Un supuesto técnico se pone en contacto con nosotros por teléfono para informarnos de una incidencia que podría afectar gravemente al sistema de nuestro ordenador. Para solucionarla lo antes posible, están llevando a cabo controles en remoto en los equipos de aquellos usuarios afectados. Dejándolo en manos del experto, terminamos por confiar en él, descargamos el software que necesita y le damos control sobre nuestro equipo para que acceda a nuestros archivos, robe nuestros datos o instale software malicioso.
•Nuestro teléfono comienza a sonar y una chica muy simpática nos informa de que aún estamos a tiempo de participar en un sorteo o promoción inexistente a través de alguna red social. Parece que se trata de una promoción de una conocida marca que busca recompensar a sus clientes. Tras describir el premio, nos pide que compartamos una serie de datos por temas legales, como nuestro nombre, apellidos, correo, dirección así como hábitos de consumo sobre nosotros y nuestra familia. Recopilados nuestros datos, no volveremos a tener noticias sobre el sorteo…
•Finalmente, otro tipo de vishing muy común consiste en una llamada telefónica que informa a su víctima de ser el beneficiario de algún tipo de ayuda. Para recibirla, la víctima debe facilitar una serie de datos personales y bancarios, como el número de la tarjeta de crédito o incluso se le insta a utilizar alguna aplicación en el dispositivo para poder gestionar la supuesta ayuda.
En nuestra sección de avisos encontrarás diversos fraudes con este modus operandi que puedes revisar para concienciarte y ser capaz de identificar posibles ciberataques.
Cómo podemos protegernos
Por suerte, los usuarios no estamos desprotegidos ante este tipo de amenazas. Sin embargo, sí requieren de nuestra atención para detectarlo y prevenirlo a tiempo. Algunas pautas que debemos seguir para ello son:
•Evitar compartir información personal. Como cualquier ataque por ingeniería social, lo primero y más fundamental es utilizar el sentido común y evitar compartir con desconocidos información personal o especialmente sensible, como son los datos bancarios o nuestras credenciales.
•Desconfiar de llamadas de números desconocidos o una numeración sospechosa. Si recibimos una llamada de un número desconocido, debemos desconfiar y no facilitar información a la primera de cambio. Hay que estar muy atentos para identificar alguna posible pregunta que nos haga sospechar de un posible fraude. En caso de duda, siempre podemos invitarles a llamarnos en otro momento para que nos dé tiempo a investigar y contrastar la información facilitada por otras vías: la fuente oficial, familiares, amigos, Internet, etc.
•Comprobar la autenticidad de la llamada. Es frecuente que los ciberdelincuentes se hagan pasar por nuestro banco, compañía de teléfono o eléctrica e incluso por el soporte técnico de algún servicio de los que utilizamos habitualmente, como Microsoft. No olvidemos que también pueden suplantar a cualquier entidad u organismo público o privado: Seguridad Social, Agencia Tributaria, etc. Una práctica muy sensata es comprobar que la persona es quien dice ser, pidiéndole que nos dé cierta información que la compañía debería conocer. Además, si nos mete “miedo” o nos invita a tomar una decisión de manera urgente, deberemos sospechar. Como ya hemos indicado anteriormente, deberemos solicitar que nos llamen en otro momento para poder contrastar la información directamente con la entidad afectada. Por ejemplo, si nos dicen que nos llaman para hacernos una devolución de dinero de la Agencia Tributaria, lo sensato será acudir a la página web oficial o incluso a la oficina más cercana para confirmar la cuestión o desmentirla.
•Utilizar apps de rastreo de llamadas. En el mercado de las aplicaciones móviles existen varias apps que permiten identificar y bloquear llamadas provenientes de fuentes desconocidas o sospechosas.
Además, compañías como Google han comenzado a implantar en el sistema operativo Android una función para llamadas verificadas. Los usuarios que tengan la app Teléfono de Google podrán comprobar si la llamada entrante proviene de una fuente verificada, marcada con un check azul.
No obstante, permaneced atentos si estáis esperando una llamada de alguna entidad o servicio, ya que podrían hacerlo desde alguna centralita y, por tanto, aparecer el número como desconocido o sospechoso. Este último caso podría darse si hablamos de un número que en el pasado hubiese podido ser utilizado para alguna actividad con mala reputación, pero que no tiene nada que ver con el servicio que se presta actualmente desde él.
•Contactar siempre con los teléfonos oficiales de las entidades. En caso de recibir un mensaje o correo donde se nos invite a utilizar un teléfono alternativo o acceder a un enlace para contactar con la entidad, debemos desconfiar y utilizar solo los canales oficiales.
•Evitar las herramientas de acceso remoto. Es habitual que algunos ciberdelincuentes utilicen, además de la llamada telefónica, una herramienta de acceso remoto con la que tener control sobre nuestro equipo. Si nos sugieren utilizarla, deberemos desconfiar, pues es muy probable que se trate de un tipo de fraude conocido como el falso soporte técnico.
•Generalmente las dos llamadas te llegarán el mismo día o de forma muy seguida, algo que siempre debería hacerte sospechar. Qué casualidad, qué rápido se han enterado de que me suben el precio, quizá sea un engaño.
•Otra cosa que debes saber es que las subidas de tarifa no se comunican con una simple llamada de teléfono, ya que normalmente se hace por escrito en la factura mensual. Además, los incrementos de tarifa no suelen ser tan exagerados, y suelen ser de entre 1 a 5 euros, no de 15 a 20.
•Nunca tomes decisiones en una misma llamada en la que te hagan una oferta, y esto te vale para este u otros engaños, Siempre di que te lo tienes que pensar, y tras pedirles el nombre de la empresa, investiga por tu cuenta si realmente existe esa oferta. Y si te dicen que es una oferta temporal y debes aceptar ahora, entonces seguro que es un engaño.
Finalmente, debemos tener en cuenta, que los ciberdelincuentes habrán investigado un poco sobre nosotros, por lo que es probable que conozcan nuestro nombre, dirección o correo electrónico. Por esto, es fundamental que seamos precavidos a la hora de compartir, facilitar o publicar datos sensibles en Internet que puedan ser de utilidad a los ciberdelincuentes.
Debemos estar alerta y seguir las instrucciones previas para evitar ser víctimas de un ataque de vishing y terminar compartiendo más información de la que deberíamos. Desde la OSI ponemos a disposición de todos los usuarios una serie de recursos con los que mantenernos actualizados y concienciados.
Si creemos haber sido víctimas de algún fraude, podemos denunciarlo a las Fuerzas y Cuerpos de Seguridad del Estado, aportando todas las evidencias posibles, como capturas de pantalla, registro de llamadas, mensajes recibidos y, si percibimos que la llamada puede ser sospechosa, la grabación de la misma.
Debemos estar alerta y seguir las instrucciones previas para evitar ser víctimas de un ataque de vishing y terminar compartiendo más información de la que deberíamos. Desde la OSI ponemos a disposición de todos los usuarios una serie de recursos con los que mantenernos actualizados y concienciados.
Si creemos haber sido víctimas de algún fraude, podemos denunciarlo a las Fuerzas y Cuerpos de Seguridad del Estado, aportando todas las evidencias posibles, como capturas de pantalla, registro de llamadas, mensajes recibidos y, si percibimos que la llamada puede ser sospechosa, la grabación de la misma.
.png)
No hay comentarios:
Publicar un comentario