Hace unas semanas explicamos que era el phising y cómo protegernos de ello y aprovechando de la alerta que ha hecho el FBI sobre el aumento de este tipo de ataques en el mundo durante 2020. Hoy hablaremos de una modalidad que si bien en principio no es un ataque informático, como veremos más adelante, ha acabado siendolo.
El vishing es una estafa en la que se suplanta la identidad de una entidad, o de una persona con el fin que la víctima proporcione al estafador una serie de información que le permita acceder a nuestras cuentas bancarias, tarjetas de crédito, etc… Para ello echará mano de voces automatizadas que simulen las centralitas de los servicios a los que suplantan.
Si esto acabara aquí, lo único que relacionaría esta estafa con la informática sería el sintetizador de voz por ordenador que está utilizando el estafador. Pero y si el estafador es capaz de suplantar la centralita del servicio que esta suplantando y si el estafador es capaz de simular la voz de la persona que nos atiende en nuestra oficina bancaria y si el estafador recrea por completo el menu telefónico del servicio suplantado…
¿Como comienza el ataque de Vishing?
La estafa suele comenzar con un SMS a nuestro teléfono indicandonos la realización de un pago por una compra que, evidentemente, no hemos hecho (también puede ser la activación no solicitada de un servicio de una empresa con la que solamos trabajar). A los pocos segundos recibiremos una llamada haciendose pasar por el banco o la empresa que supuestamente nos ha escrito el SMS(o nos incitará desde el mensaje a llamar a un teléfono). Si el estafador tiene medios suficientes, nos llamará desde el teléfono del banco o de la empresa suplantada. Y si el ataque es más dirigido, incluso oiremos la voz de quien nos atiende en la oficina del banco o de la empresa mediante software deep voice (un software que permite sintetizar artificialmente la voz de una persona a partir de muestras tomadas previamente).
¿Que nos va a pedir?
Principalmente datos de acceso, datos bancarios, datos personales… sobretodo bancarios.
¿Siempre van a simular ser un banco?
No siempre, hace unos meses, durante la cuarentena mucha gente recibió una llamada de alguien haciendose pasar por un empleado de microsoft que decía con un español con acento ingles (forzado) que había un problema con nuestra licencia de Windows 10.
¿Cuales son las victimas potenciales?
Sobretodo personas que no tengan mucho conocimiento tecnológico y que pueda confiarse y bajar la guardia.
¿Pero si son capaces de simular todo eso, como me protejo?
Lo primero es haciendo incampie en uno de los consejos que se daban con el Phising:
Recordar que ninguna entidad bancaria o empresa seria te solicitará tu información bancaria por SMS.
Pero también no esta demás:
No llamar al teléfono que recibamos de un SMS, llamar a nuestra oficina marcando el teléfono (o usando nuestra agenda).
Si recibimos una llamada de este estilo, colgar y llamar a la empresa directamente, para que nos confirmen lo que nos contaba la llamada (normalmente nos confirmarán que no nos han llamado)
Nunca dar datos bancarios o personales a un desconocido que nos haya llamado por teléfono.
Y sobretodo el sentido común es nuestra mejor arma.
¿Que hago si he sido víctima de vishing?
Si el ciberdelincuente ha conseguido tus datos y ya ha realizado una operación que te perjudique de alguna manera, te recomendamos realizar las siguientes medidas:
Denunciar el hecho ante la policía. Si el ataque ha resultado en un perjuicio económico o moral, lo más recomendable es denunciar el hecho para que se realice una investigación de la policía que permita encontrar al ciberdelicuente.
Alertar a los servicios afectados del hecho. Tanto si el servicio es un servicio de banca online como si otra clase de servicio, le recomendamos que ponga en aviso a la empresa propietaria del servicio porque este tipo de ataques suelen ser masivos y puede haber más víctimas.
Si va a tomar medidas legales, Contratar a un forense informático colegiado (Ingeniero Técnico Informático o Graduado en Ingeniería Informática) para la obtención de pruebas. Un forense informático obtendrá toda prueba que pueda serle útil a la hora de interponer acciones legales contra el ciberdelincuente o para anular las acciones que se hayan realizado.
Dentro de los ataques que, como usuarios digitales, podemos sufrir es más común es el phising, pero, ¿Sabemos realmente lo que es el phising?
¿Que es el phising?
Se denomina Phishing al conjunto de técnicas que tienen como objetivo engañar a una víctima haciéndose pasar por una persona, empresa o servicio de confianza suplantando su identidad digital, para hacer que realice acciones que no debería realizar (como por ejemplo: revelar información confidencial).
¿Qué tipos de phishing nos podemos encontrar?
Existen varios tipos de phishing en función de la forma, el o los destinatarios, o el objetivo del ataque:
Phishing tradicional (Deceptive phishing): es el más común. El ciberdelincuente suplanta una identidad con el objetivo de conseguir información confidencial. Para ello, el correo electrónico que se recibe, suele incluir un enlace que redirige a una página web fraudulenta que sustituye a la original y que esta diseñada para robar la información de los usuarios.
Malware-based phishing: el correo electrónico enviado por el ciberdelincuente incluye un archivo adjunto o un enlace a un sitio web que contiene malware. Al descargar y ejecutar el archivo o abrir el enlace, el malware tratara de capturar información del usuario. El ataque típico es la suplantación de una empresa que envía adjunto el recibo de una factura en formato PDF con distintas excusas que nos incitan tanto a abrir el fichero o ir al enlace.
Spear phishing: En este tipo de ataque, el ciber delincuente se dirije a un perfil concreto de victimas por lo que suele haber un estudio previo de sus posibles víctimas de forma que antes de realizar el ataque ya tiene información de ellas y que le permita superar la desconfianza previa a de los usuarios a este tipo de mensajes y así contar con una mayor tasa de exito que si fuera un phishing tradicional.
Pharming: Mucho más técnico que los anteriores, es un tipo de ataque en el que el atacate redirige la navegación de una web a un sitio falso utilizando un malware que puede estar instalado en la web original o en el propio ordenador de la victima.Así, si el usuario navegará por una web falsa, con todo lo que eso puede conllevar.
¿Como tratan de engañarnos?
Independientemente del tipo de ataque todos ellos suelen tener un comportamiento similar. Generalmente recibiremos un email en el que nos indicaran:
Que tenemos una factura impagada y que debemos dar algún dato para pagarla
Que hemos ganado un premio en un sorteo al que nunca nos habiamos apuntado
Que debemos cambiar la clave de nuestra cuenta de banca digital o sistema de pago electrónico
Que son un servicio de mensajería y necesitan contactar con nosotros para recibir un paquete urgente.
Etc, etc…
En ese email, habrá un texto o una imagen sobre la que nos incitaran a pulsar para ir a una web con el mismo aspecto a quien esta suplantando y en la que tenemos que introducir algún dato sensible (como puede ser nuestro usuario y pasword) o se nos instalará algún software malicioso, o simplemente habremos pulsado en un enlace de publicidad por el que ganará dinero el que ha realizado el ataque.
¿Cómo me protejo del phishing?
Estos tipo de ataques suelen tener consecuencias muy negativas si llegan a ejecutarse, pudiendo ocasionar, como ya hemos explicado, una revelación de datos personales y/o confidenciales, problemas económicos en caso de robo de información bancaria, problemas de reputación digital si suplantantan nuestra identidad digital, etc…
Reforzar la seguridad de tus equipos, manten actualizado el sistema operativo, el navegador y las aplicaciones que uses todos tus dispositivos electronicos.
No introducir nunca tus datos personales en una página weba la que has accedido a través de un correo. Hasta hace unos años, la solución era bien sencilla: “Fijese en la dirección web en donde está antes de hacer nada de lo que pueda arrepentirse”. Pero desde que se permiten caracteres en otros lenguajes como el cirílico, o el griego no puedes fiarte de la dirección que ves al pulsar un enlace, lo mejor, visita la web tecleando la dirección en el navegador (si es una web que conoces), o no visites la web del email.
Revisa la seguridad de tus servicios digitales periódicamente, sabemos que es tedioso, pero si modificas el password periodicamente dificultas el que alguien pueda acceder a tu cuentas.
Recordar que niguna entidad bancaria te solicitará tu información bancaria por email o SMS.
Verificar que el remitente del email es correcto. Los ciberdelincuentes suelen utilizar técnicas para simular que se trata del remitente oficial.
No descargar un archivo adjunto, más sin pasarlo por un antivirus, aunque este provienga de una fuente segura porque el remitente puede haber sido suplantado o puede estar infectado por un malware. Y si lo has descargado, no lo abras directamente, trata de abrirlo con el programa que supuestamente deberia abrirlo (se puede modificar el icono del archivo para simular un ejecutable).
Si se puede, utilizar un sistema virtualizado para realizar operaciones sensibles (como el acceso a las cuentas bancarias) de forma que el sistema operativo principal no tenga acceso a esas operaciones en caso de verse afectado por un malware.
¿Que hago si he sido víctima de un phising?
Si el ciberdelincuente ha conseguido tus datos y ya ha realizado una operación que te perjudique de alguna manera, te recomendamos realizar las siguientes medidas:
Denunciar el hecho ante la policia. Si el ataque ha resultado en un perjuicio ecónomico o moral, lo más recomendable es denunciar el hecho para que se realice una investigación de la policia que permita encontrar al ciberdelicuente.
Alertar a los servicios afectados del hecho. Tanto si el servicio es un servicio de banca online como si otra clase de servicio, le recomendamos que ponga en aviso a la empresa propietaria del servicio porque este tipo de ataques suelen ser masivos y puede haber más víctimas.
Contratar a un forense informático colegiado para la obtención de pruebas. Un forense informático obtendrá toda prueba que pueda serle útil a la hora de interponer acciones legales contra el ciberdelincuente o para anular las acciones que se hayan realizado.
Realizar una busqueda de malware en sus dispositivos. Por si el ciberatacante haya podido utilizar dicho malware para cumplir sus objetivos.
Cambiar TODAS sus passwords en TODOS los servicios digitales que utilice para prevenir que el ciberdelincuente haya podido acceder a dicha información.
Al margen de las recomendaciones, si necesita ayuda, pongase en contacto con nosotros y procuraremos ayudarle o procurarle un profesional que pueda ayudarle.