Categorías
Noticias

“Vishing”: cómo detectar y protegerse de las estafas telefónicas

El vishing es un tipo de fraude que se apoya en técnicas de ingeniería social y en el cual el atacante se comunica telefónicamente o vía mensaje de voz haciéndose pasar por una empresa o entidad confiable con la intención de engañar a la víctimay convencerla de que realice una acción que va en contra de sus intereses.

La vishing nace de la unión de voice y phishing, es decir, engloba a aquellos ataques de phishing (engaños a través de sitios fraudulentos que imitan los portales de bancos y empresas) que involucran una voz, ya sea robótica o humana. En estas, los atacantes pueden llegar a la víctima mediante llamadas telefónicas masivas, tal como un centro de llamadas corporativo, o dejar correos de voz.

Además, entre las temáticas predilectas elegidas por los estafadores para estas comunicaciones encontramos referencias aproblemas financieros o de seguridad, o la suplantación de identidad de un supuesto familiar o conocido, etc.

Simulan la realización de una transferencia y modifican el monto para que parezca que hubo una equivocación.Foto: Archivo Clarín
Simulan la realización de una transferencia y modifican el monto para que parezca que hubo una equivocación.Foto: Archivo Clarín

“Si bien esta técnica puede representar un mayor costo y trabajo del lado de los cibercriminales, es más efectiva que otras formas de ataque similares como el phishing: a través de una llamada telefónica se logra una comunicación más personal que a través de un correo electrónico, por lo que la manipulación emocional es más fácil de llevar a cabo”, detalla la investigadora de Seguridad Informática del Laboratorio de ESET, Martina López.

“En casos extremos, el atacante simula la tristeza o llanto ante la un supuesto problema que se presenta y que solo la víctima puede resolver”, agregó. 

Al ser un tipo de ataque similar al phishing, el uso del vishing como recurso por parte de los criminales puede observarse en distintos esquemas de fraude. A continuación, algunos de los casos más comunes:

1. Reembolso por servicio informático

Llaman a la víctima por primera vez para informar sobre una supuesta devolución de dinero por un servicio que contrató el usuario hace años y que la supuesta compañía lo dejó de ofrecer. 

Así convencen a la víctima para que primero instale en su equipo un software de acceso remoto que le permitirá al estafador tener acceso al equipo y ​​luego solicitar que acceda desde su computadora a su cuenta bancaria.

En paralelo, simulan la realización de una transferencia y modifican el monto para que parezca que hubo una equivocación y se ingresó un valor diferente, haciendo que se transfiera más dinero del que le correspondía. De esta manera el usuario se siente presionado a actuar de buena fe y devolver el supuesto dinero transferido de más, y es aquí donde se produce la estafa.

2. Soporte técnico: infección con un malware (“programa malicioso”)

Se comunican con la víctima explicando que llaman de una compañía con un nombre genérico, supuestamente especializado en seguridad informática, y le aseguran que son prestadores de servicios de protección para su equipo.

Utilizando ingeniería social, el atacante persuade a la víctima quien termina permitiendo el acceso a su equipo mediante herramientas de acceso remoto que pueden actuar aun cuando el dueño está ausente.

Otro tipo de vishing: le hacen creer a la víctima que su dispositivo está dañado y debe pagar una gran suma de dinero para repararlo.
Otro tipo de vishing: le hacen creer a la víctima que su dispositivo está dañado y debe pagar una gran suma de dinero para repararlo.

Luego, ejecutando aplicaciones usualmente instaladas de fábrica en el equipo de la víctima o enseñando archivos supuestamente dañados, descubren -falsos- indicios de una infección para preocupar a la víctima y hacer creer que su dispositivo fue comprometido.

Una vez que los atacantes consideran que el usuario se encuentra lo suficientemente preocupado, lo intiman a comprar una supuesta solución de seguridad por una gran suma de dinero para arreglar el problema (que no existe).

3. Fraudes financieros, legales y suplantación de identidad de organismo estatal

Los atacantes se hacen pasar por la voz de una entidad como la policía, un banco o una firma legal para informar sobre algún problema o movimiento fraudulento asociado a la víctima.

​Con esta excusa, solicitan la entrega de información personal y en algunos casos hasta accesos a la computadora del usuario, pudiendo ingresar de esa manera a información confidencial, privada y sensible.

4. Un conocido en problemas

Simulando ser algún conocido, los atacantes le solicitan con urgencia al receptor de la llamada la necesidad de entregar dinero, ya sea físicamente o mediante una cuenta bancaria que será proporcionada telefónicamente.

En múltiples ocasiones se emplean métodos de manipulación emocional agresivos, como un llanto falso o la apelación a algún accidente sufrido por el supuesto conocido de la víctima, para agregarle credibilidad al engaño.

La persona estafada deberá hacer la denuncia a Unidad Fiscal Especializada en Ciberdelincuencia. Foto: Archivo Clarín
La persona estafada deberá hacer la denuncia a Unidad Fiscal Especializada en Ciberdelincuencia. Foto: Archivo Clarín

La estafa con el IFE, otra vez vigente

Durante el 2020, en plena cuarentena, una firma de seguridad informática alertó sobre un nuevo engaño que tenía como objetivo a los beneficiarios del Ingreso Familiar de Emergencia (IFE).

Haciéndose pasar por gestores de la ANSES, los estafadores enviaban un Whatsapp a potenciales víctimas y las convencían de que las estaban llamando para ayudarlas a cobrar. Así obtenían las credenciales del home banking de la víctima, secuestraban su cuenta y sacaban un préstamo a su nombre.

Actualmente, con la segunda ola de coronavirus y la idea de un falso apoyo monetario por parte del gobierno los estafadores volvieron al ruedo.

“En un ejemplo que detectamos, los estafadores se comunican con las víctimas presentándose como abogados de un estudio afiliados al Ministerio de Desarrollo Social. Alegan que, para suplantar la falta de la entrega del bono IFE en estos meses y la cuarentena inminente por la suba de casos en nuestro país, eran los encargados de entregar una ayuda económica”.

El mensaje de los estafadores que durante el 2020, se hacían pasar por empleados del ANSES. Foto: ESET.
El mensaje de los estafadores que durante el 2020, se hacían pasar por empleados del ANSES. Foto: ESET.

“Según comentan, sería por el valor de $ 20.000 y se dirigiría a personas con discapacidad, desempleados, por debajo de la línea de pobreza, adultos mayores, entre otros grupos azotados por la crisis económica. Para cobrarlo, dicen, la víctima debe esperar otro llamado que se ejecutará a las horas y anotar un código que luego debe ingresar al cajero”.

Cuando esta comunicación llega, los estafadores no hacen más que guiar a la víctima paso a paso para que configure su clave de homebanking e ingrese el código que ellos mencionaron anteriormente, además de entregar el usuario con el que opera en el sitio del banco. Así, los estafadores consiguen tener el control total de la cuenta.

Recomendaciones para evitar ser víctima de vishing

 “Ante la recepción de algún llamado sospechoso verificar la fuente. Si se trata de un conocido, contactarse con él, y si se trata de un supuesto banco, chequear el motivo del llamado o si tenemos algún servicio asociado”, sostiene López, de ESET Latinoamérica.

“Es importante también desconfiar de la procedencia y en caso de ser algo dudoso terminar la comunicación lo antes posible. Si quien nos contactó alegó ser de alguna compañía con la cual estamos asociados, es aconsejable contactar a la empresa a través de los canales de comunicación oficiales. ”, concluye.

¿Cómo denunciar?

La persona estafada deberá comunicarse con la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI). 11) 5071-0040 / 0041 Correo electrónico: denunciasufeci@mpf.gov.ar./ clarin.com

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *