Vishing, la llamada del fraude


Las artimañas y técnicas utilizadas por los ciberdelincuentes son cada vez más sofisticadas. El vishing es un ejemplo de hasta dónde puede llegar un atacante para tratar de engañarnos y hacerse con nuestros datos. Desde la OSI hemos identificado un aumento en el número de incidencias relacionadas con este tipo de fraude y por ello, en este artículo repasaremos algunos consejos para identificarlo a tiempo.

Ante cualquier duda, ponemos a disposición de los usuarios nuestra Línea de Ayuda en Ciberseguridad, 017, totalmente gratuita.

El vishing, como otros muchos ataques de ingeniería social, se basa en una serie de técnicas con las que ganarse la confianza del usuario, generalmente, haciéndose pasar por una persona o entidad reconocida por los usuarios.

Por ejemplo, imagina que recibes un mensaje de un desconocido diciéndote que has ganado un premio. Para obtenerlo, solo debes hacer clic y rellenar un formulario con tu nombre, apellidos, correo electrónico y datos bancarios. Muy pocos serían los que acabarían cayendo en la trampa, ¿verdad?

Ahora, imagínate que tu teléfono empieza a sonar, lo coges y una persona muy amable te llama por tu nombre y se identifica como un representante de tu banco. Seguidamente, te informa de que ha habido una serie de cargos sospechosos en tu cuenta y quiere revisar los últimos movimientos contigo.

Para ello, te pide una serie de datos, como tu número de tarjeta de crédito, CVV y clave de firma. Aunque tu banco jamás te pedirá este tipo de información, es posible que no seas consciente o no lo reflexiones porque te están apremiando y termines compartiéndola. Esto es lo que conocemos por vishing y el modus operandi del atacante puede variar mucho. Te ofrecemos algunos ejemplos:

  • Una supuesta cadena de supermercados muy famosa nos llama por teléfono y nos ofrece un cheque regalo para gastar en sus tiendas. Una vez que nos mostramos interesados, el atacante tratará de hacer que compartamos todos nuestros datos personales y/o datos de la tarjeta de crédito, con la excusa de que son necesarios para esta promoción. En ocasiones, tratará de invitarnos a acceder a una web fraudulenta, compartir la promoción con otros usuarios a través de nuestras redes sociales o aplicaciones de mensajería instantánea, rellenar un formulario con nuestros datos personales, etc.

  • Un supuesto técnico se pone en contacto con nosotros por teléfono para informarnos de una incidencia que podría afectar gravemente al sistema de nuestro ordenador. Para solucionarla lo antes posible, están llevando a cabo controles en remoto en los equipos de aquellos usuarios afectados. Dejándolo en manos del experto, terminamos por confiar en él, descargamos el software que necesita y le damos control sobre nuestro equipo para que acceda a nuestros archivos, robe nuestros datos o instale software malicioso.

  • Nuestro teléfono comienza a sonar y una chica muy simpática nos informa de que aún estamos a tiempo de participar en un sorteo o promoción inexistente a través de alguna red social. Parece que se trata de una promoción de una conocida marca que busca recompensar a sus clientes. Tras describir el premio, nos pide que compartamos una serie de datos por temas legales, como nuestro nombre, apellidos, correo, dirección así como hábitos de consumo sobre nosotros y nuestra familia. Recopilados nuestros datos, no volveremos a tener noticias sobre el sorteo…

  • Finalmente, otro tipo de vishing muy común consiste en una llamada telefónica que informa a su víctima de ser el beneficiario de algún tipo de ayuda. Para recibirla, la víctima debe facilitar una serie de datos personales y bancarios, como el número de la tarjeta de crédito o incluso se le insta a utilizar alguna aplicación en el dispositivo para poder gestionar la supuesta ayuda.

Seguir leyendo artículo en fuente original

Fuente: Blog de OSI