Vishing: la nueva estafa financiera que es más peligrosa que el Phishing

Los datos hablan por sí solos. El cibercrimen en la Argentina tuvo una fuerte alza en el primer semestre del año, lo cual enciende una luz de alarma. En los últimos meses cada vez son más el robo de datos y cuentas de Twitter a través de “vishing” o “pishing de voz”.

Antilavadodedinero / Aldia

No solo fueron estafados usuarios con esta modalidad sino también organizaciones y empresas como bancos, traders de criptomonedas, empresas y bancos. Qué es el pishing y cuál es la diferencia con “vishing”

El término pishing proviene del inglés fishing o “pescar” en español. Estas estafas buscan “pescar” desprevenido al usuario para que ingrese sus datos en un sitio que a primera vista parece un sitio legítimo. La táctica más común de los ciberdelincuentes es enviar un mail avisando de una deuda en el banco o una falta de actualización de datos.

Vishing, en cambio, trata de llamadas telefónicas de piratas informáticos que se hacen pasar por personal de TI para engañarlos. Luego, los atacantes venden este acceso a otros, que normalmente lo han utilizado para cometer el fraude económico. El vishing es, en resúmen, una estafa pishing vía telefónica.

«El «spear phishing telefónico», también conocido como «vishing» por «phishing de voz», es una forma de ingeniería social usada desde hace mucho tiempo», explica a Infotechnology Gabriel Zurdo, CEO de BTR Consulting, consultura de ciberseguridad.

Las vulnerabilidades de la red social Twitter: cómo protegerse

En el mes de julio ciberdelincuentes hackearon cuentas verificadas de Twitter utilizando la técnica de «phishing telefónico». Los delincuentes llamaron al personal de Twitter y, utilizando identidades falsas, los engañaron para que entregaran las credenciales que les daban acceso a una herramienta interna que les permitía restablecer las contraseñas y el segundo factor de autenticación.

Con la táctica lograron tomar el control de 45 cuentas verificadas y difundieron una estafa en bitcoins a través de varios tweets. Personalidades destacadas y hombres de negocios como Elon Musk, Bill Gates y Jeff Bezos difundieron la estafa en criptomoneda. En realidad, eran los ciberdelincuentes que tomaron el control.

@bitcoin, @ripple, @coindesk, @coinbase y @binance fueron algunas de las cuentas hackeadas con el mismo mensaje: «Nos hemos asociado con CryptoForHealth y estamos devolviendo 5000 BTC a la comunidad» (en inglés), seguido de un enlace a un sitio web.

Algunas de las cuentas volvieron rápidamente a estar bajo el control de sus propietarios y los tuits se borraron rápidamente. Sin embargo, varios de estos tuits duraron varios minutos.

Las acciones de Twitter cayeron un 2,4% tras el cierre del mercado, tras el aumento de 3,8% que había experimentado durante el día, cuando cerraron a US$ 35,67.

«Simultáneamente con el hackeo de Twitter y en los días siguientes, se dio un gran aumento en este tipo de phishing, que se extendió y se dirigió a otras empresas que fueron infiltradas y que preliminarmente no son fáciles de intrusar», dijo Gabriel Zurdo. «En sus llamadas de ingeniería social con las víctimas, los piratas informáticos suelen utilizar un servicio de VoIP que les permite falsificar su número de teléfono. Intentan establecer confianza con la víctima haciendo referencia a datos aparentemente privados, como el papel de la víctima en la empresa, cuando inició sus tareas o los nombres de sus compañeros de trabajo».

Las empresas deberán capacitar a sus empleados para detectar estafas y llamadas fraudulentas. También deberán implementar tokens o sistemas de seguridad que requieran certificados digitales en la máquina del usuario para que puedan acceder a las cuentas de forma remota, bloqueando todas las demás.

«Las empresas no están empleando la verificación de hardware o la verificación de certificados», concluye el CEO de la consultora de ciberseguridad, Gabriel Zurdo.

Facebook
Twitter
LinkedIn
WhatsApp

Actualidad

Inscribete en nuestros cursos Online