Cómo funciona Vishing
Una táctica común es el uso de la autoridad. Por ejemplo, el atacante puede fingir ser del IRS fingiendo estar llamando para cobrar impuestos impagos. El miedo al arresto puede hacer que las víctimas hagan lo que el atacante les dice que hagan. Este tipo de ataques también suelen implicar el pago mediante tarjeta de regalo y han costado a las víctimas 124 millones de dólares en 2020, solo en los Estados Unidos.
¿Cuál es la diferencia entre vishing y phishing?
Si bien el vishing y el phishing son tipos de ataques de ingeniería social y utilizan muchas de las mismas tácticas, la principal diferencia entre ellos es el medio utilizado para realizar los ataques.
Como se mencionó anteriormente, Vishing usa el teléfono para realizar un ataque. El atacante llamará a la víctima, o engañará a la víctima para que la llame, e intentará engañarla verbalmente para que haga algo. Los Phishers, por otro lado, utilizan formas de comunicación electrónicas basadas en texto para llevar a cabo sus ataques. Si bien el correo electrónico es el medio de phishing más común y conocido, los atacantes también pueden utilizar mensajes de texto (llamados smishing), aplicaciones de comunicaciones corporativas (Slack, Microsoft Teams, etc.), aplicaciones de mensajería (Telegram, Signal, WhatsApp, etc.), o redes sociales (Facebook, Instagram, etc.) para realizar sus ataques.
Tipos de estafa de vishing
Los ataques de vishing pueden ser tan variados como los de phishing. Algunos de los pretextos más comunes utilizados en el vishing incluyen:
- Problema de cuenta: Un visher puede fingir ser de un banco u otro proveedor de servicios alegando que existe un problema con la cuenta de un cliente. Luego le pedirán información personal para “verificar la identidad del cliente”.
- Representante del gobierno: Un ataque de vishing puede incluir a un atacante disfracado como representante de una agencia gubernamental, como el Servicio de Impuestos Internos (IRS) o la Administración del Seguro Social (SSA). Estos ataques generalmente están diseñados para robar información personal o engañar a la víctima para que envíe dinero al atacante.
- Soporte técnico: Los ingenieros sociales pueden pretender ser soporte técnico de empresas grandes y conocidas como Microsoft o Google. Estos atacantes pretenderán ayudar a solucionar un problema en la computadora o el navegador de la víctima, pero en realidad instalarán malware.
Cómo prevenir los ataques de Vishing
Al igual que otros ataques de ingeniería social, la conciencia del usuario es esencial para la prevención y protección. Algunos puntos importantes a incluir en la capacitación de concientización sobre ciberseguridad son:
- Nunca dé datos personales: Los ataques de Vishing se diseñan comúnmente para engañar al objetivo para que entregue información personal que pueda usarse para fraude o en otros ataques. Nunca proporcione una contraseña, número de autenticación de múltiples factores (MFA), datos financieros o información similar por teléfono.
- Siempre verifique los números de teléfono: Vishers llamará mientras finge ser de una organización legítima. Antes de dar cualquier dato personal o hacer cualquier cosa que diga el atacante, obtenga el nombre de la persona que llama y vuelva a llamarla usando el número oficial del sitio web de la compañía. Si la persona que llama intenta disuadirlo de que no lo haga, probablemente se trate de una estafa.
- Nadie quiere tarjetas de regalo: Vishers comúnmente exigirá el pago de impuestos impagos u otras tarifas en tarjetas de regalo o tarjetas Visa prepagadas. Ninguna organización legítima solicitará una tarjeta de regalo o crédito prepagado como pago.
- Nunca proporcione acceso remoto a su computadora: Vishers puede solicitar acceso remoto a su computadora para "eliminar malware" o solucionar algún otro problema. Nunca proporcione acceso a su computadora a nadie, excepto a miembros verificados del departamento de TI.
- Informar incidentes sospechosos: los vishers suelen intentar utilizar la misma estafa en varios objetivos diferentes. Informe cualquier sospecha de ataque de vishing a TI o a las autoridades para que puedan tomar medidas para proteger a otros contra él.
Al igual que los ataques de phishing, la prevención del vishing basada en la formación es imperfecta. Siempre existe la posibilidad de que un ataque se escape. Sin embargo, a diferencia del phishing, el vishing es difícil de prevenir mediante el uso de tecnología. Dado que el vishing se produce por teléfono, la detección de posibles ataques requeriría la escucha de todas las llamadas telefónicas y la observación de señales de advertencia.
Por esta razón, las organizaciones deben abordar los ataques de vishing implementando la defensa en profundidad y enfocándose en los objetivos del atacante. En un contexto corporativo, un ataque de vishing puede estar diseñado para infectar el sistema de un empleado con malware o proporcionar al atacante acceso a datos corporativos confidenciales. El impacto de un ataque de vishing puede mitigarse mediante la puesta en marcha de soluciones que impidan que un atacante alcance estos objetivos, incluso si el vector de ataque inicial (es decir, la llamada telefónica de Vishing) es indetectable.
Check Point ofrece una gama de soluciones que pueden ayudar a las organizaciones a mitigar el vishing, el phishing y otros ataques relacionados. Harmony Email and Office de Check Point incluye protecciones antiphishing y puede ayudar a detectar intentos de filtración de datos inspirados en un ataque de vishing. Para obtener más información sobre cómo Check Point puede proteger su organización contra amenazas de ingeniería social, puede solicitar una demostración gratuita hoy.
Comentarios