La palabra vishing nace de la unión de voice y phishing. Engloba a aquellos ataques de phishing que involucran una voz, ya sea robótica o humana. En estas, los atacantes pueden llegar a la víctima mediante llamadas telefónicas masivas, tal como un call-center corporativo, o dejando correos de voz. Además, entre las temáticas predilectas elegidas por los estafadores para estas comunicaciones encontramos referencias a problemas financieros o de seguridad de nuestro PC o dispositivo móvil, o la suplantación de identidad de un supuesto familiar o conocido.
Si bien esta técnica puede representar un mayor costo y trabajo del lado de los cibercriminales, es más efectiva que otras formas de ataque similares como el phishing. A través de una llamada telefónica se logra una comunicación más personal que a través de un correo electrónico, por lo que la manipulación emocional es más fácil de llevar a cabo. En casos extremos, el atacante simula tristeza o llanto ante un supuesto problema que se le presenta y que solo la víctima puede resolver.
Esquemas de engaño que suelen utilizar vishing como método
Al ser un tipo de ataque similar al phishing, el uso del vishing como recurso por parte de los criminales puede observarse en distintos esquemas de fraude. Algunos de los más comunes pueden ser:
Soporte técnico/Infección con un malware:
En este modelo de fraude, quien se comunica con la víctima afirma ser de una compañía con un nombre genérico, supuestamente especializada en seguridad informática, que le asegura a la víctima que presta servicios de protección en su equipo. Utilizando ingeniería social el atacante convence al individuo que le permita el acceso a su equipo mediante herramientas de acceso remoto, como TeamViewer, las cuales permiten incluso controlar el dispositivo al que acceden en todo momento, aun cuando el dueño está ausente.
Luego, ejecutando aplicaciones usualmente instaladas de fábrica en el equipo de la víctima o enseñando archivos supuestamente corruptos, descubren -falsos- indicios de una infección. Una vez los atacantes consideran que el usuario se encuentra lo suficientemente preocupado intiman al mismo a comprar un supuesto antivirus o solución similar por una gran suma de dinero para solucionar los problemas.
Reembolso por servicio informático:
A diferencia del esquema anterior, este modelo de ataque se aprovecha de la buena voluntad de las víctimas. Los criminales establecen una primera comunicación telefónica para informar sobre una supuesta devolución de dinero por un servicio que contrató el usuario hace años y que la supuesta compañía dejó de ofrecerlo. Así, el estafador persuade a la víctima para que primero instale en su equipo un software de acceso remoto que le permitirá al estafador tener acceso al equipo de la víctima, para luego solicitar que acceda desde su computadora a su cuenta bancaria y en paralelo, simular la realización de las transferencias a través de un sitio falso o desde la misma terminal del sistema operativo.
Al simular esta falsa transferencia dejan que el usuario ingrese el monto que previamente le indicaron que deben devolverle, y una vez que ingresa la cifra los estafadores rápidamente modifican el monto para que parezca que el usuario se equivocó, ingresó un valor diferente, e hizo que se transfiera más dinero del que le correspondía. De esta manera el usuario se siente presionado a actuar de buena fe y devolver el supuesto dinero transferido de más, y es aquí donde se produce la estafa.
Recomendaciones
Además de las pérdidas monetarias, los ataques de vishing pueden traer consecuencias no tan obvias para la víctima, como por ejemplo el uso de su identidad para futuros engaños a otros usuarios.
Las principales recomendaciones para evitar ser víctima de este tipo de fraude son: ante la recepción de algún llamado sospechoso verificar la fuente de este. Si se trata de un conocido, contactarse con él, y si se trata de un supuesto banco, chequear el motivo del llamado o si poseemos algún servicio asociado. Es importante también desconfiar de la procedencia y en caso de ser algo dudoso terminar la comunicación lo antes posible. Si quien nos contactó alegó ser de alguna compañía con la cual estamos asociados, es aconsejable comunicarse con la empresa a través de los canales de comunicación oficiales.
Origen: Qué es el vishing: estafa a través de llamadas o mensajes de voz | WeLiveSecurity
