El vishing vuelve a ser noticia: el timo de la doble llamada y más

De ESED - It & CyberSecurity

vishing

El vishing vuelve a ser noticia. En las últimas semanas varias instituciones, como la Guardia Civil, y otros han alertado del aumento de casos. ¿Cómo puedes protegerte?

El vishing es el uso de la telefonía para llevar a cabo ataques de phishing. La palabra surge de combinar phishing con voz. Su objetivo suele ser el robo de datos bancarios u otra información de identificación personal. Aunque no es una estafa nueva, sigue habiendo muchas víctimas.

Nueva llamada a la acción
¿Cómo actúan estos hackers?

Los servicios de telefonía fija tradicionalmente habían sido siempre una fuente fiable. Ahora, con el vishing los estafadores se esconden tras números de teléfono fabricados gracias al anonimato otorgado por el uso de técnicas como Caller ID spoofing y IVR. El modus operandi suele ser común entre atacantes. Se hacen pasar por un empleado de una institución legítima, como un banco, compañía telefónica o incluso como trabajadores del estado. Cuando han conseguido que la víctima se crea su papel, intentan sonsacarle todo tipo de información personal, como por ejemplo datos bancarios. Con toda la información que recogen el scammer puede usarla para vaciar cuentas bancarias o robo de identidad.

Otra manera de proceder es pedir directamente a la víctima que haga una transferencia monetaria o contrate un servicio ficticio.

Algunos ejemplos reales de vishing podrían ser los siguientes:

Wardialing

Este tipo de ataque consiste en un software que marca hasta decenas de números de teléfono. Aunque para la víctima no tiene mucha molestia, más que una llamada inesperada, para el hacker es una manera de conseguir números de teléfono activos. Es decir, de todas aquellas llamadas que el software haga, el hacker sabrá que las que han sido descolgadas tienen detrás a una persona real. De esta manera, el cibercriminal construye y nutre su base de datos para futuras gamberradas.

Sé cauteloso con llamadas que respondes y evita contestar aquellas de números desconocidos.

Suplantación de identidad de llamadas

Este método se usa en conjunto con otras técnicas o servicios, como el VoIP. Sencillo como su nombre, este protocolo consiste en hacer creer a la víctima que quien llama es otra persona. Por ejemplo, un trabajador del estado, tu asesor del banco u otras personas con autoridad.

Comprueba siempre la identidad de tu interlocutor, y en caso de dudas no facilites información personal y acude a un establecimiento físico oficial de la empresa o institución.

Estafas con el funcionamiento del servicio

En este tipo de fraudes, se convence a la víctima de que hay alguna clase de urgencia en su servicio que requiere de unos trámites. Ejemplos de esto podrían ser una llamada inesperada en nombre de tu banco donde te pide información bancaria para solucionar una emergencia con tu tarjeta de crédito.

En caso de emergencia contacta sólo con la empresa vía fuentes oficiales.

Timo de la doble llamada

Esta estafa se compone de dos pasos y se aprovecha de la vulnerabilidad emocional de la víctima. Primero, la víctima recibe una llamada de su compañía telefónica supuestamente, donde le comunican que le van a subir su mensualidad de manera inminente y en grandes cantidades, hasta 30 euros de golpe. La segunda llamada que recibe la víctima es por parte de otra compañía donde le ofrecen unas condiciones mejores o más económicas. El objetivo de esta estafa es conseguir datos bancarios de la víctima.

Los aumentos en el precio del servicio están regulados en España y deberán avisarte siempre con un mínimo de 30 días naturales. 

¿Quién es vulnerable de caer en este engaño?

Virtualmente, todos somos vulnerables a ser manipulados por estas tácticas. Los atacantes se aprovechan del miedo a las consecuencias de no cumplir con lo que se les dice a las víctimas, tomando ventaja de que muchos de nosotros no solemos verificaciones de identidad cuando nos llaman por teléfono. El target ya no son solo datos bancarios, usuarios que usan servicios Apple, Amazon o Microsoft también son objeto de deseo.
Sin embargo, los colectivos que corren más riesgo son las personas mayores y según fuentes son el colectivo que por el momento acumula más víctimas en este tipo de engaños.

¿Qué podemos hacer para evitar estos engaños?

No facilites información personal por teléfono. La única manera de saber que nos llaman desde una fuente legítima es ponerse en contacto con esa fuente.

Si sospechas que la llamada puede ser un scam cuelga inmediatamente. Recuerda, tu seguridad vale más que cualquier tramo burocrático.

Evita contestar llamadas de números desconocidos.

Identifica las tácticas de manipulación.

La información es poder. Cuanta más información tengas, mejor podrás protegerte. Conciénciate sobre los riesgos de los ciberataques, y comparte esta información con tus seres queridos.

Pide información a tu interlocutor. Parece ser que esta es una de las maneras más rápidas de que se asusten y cuelguen ellos mismos.

¿Cómo puedes comprobar la identidad de un interlocutor telefónico?

Supón que recibes una llamada que dice ser de tu banco. Lo mejor que puedes hacer es recoger brevemente el recado que te transmite el interlocutor y colgar. Sobre todo no des tu nombre u otra información personal. No dejes que te dejes convencer si saben algunos de tus datos personales. Lo siguiente que deberás hacer es llamar este banco, usando el teléfono que faciliten en su página web oficial o mejor aún acercarte personalmente a una de sus oficinas. De esta manera, te aseguras que realmente estás hablando con quien quieres hablar. Allí, te sabrán asesorar acerca de esa llamada de la que supuestamente son autores y te explicarán si realmente hay algún trámite que debes hacer.