Guía de seguridad: Smishing & Vishing

7 enero, 2020
5 Compartido 1,247 Visualizaciones

Columna de Alan Abreu, suscriptor líder de Cyber de Hiscox

Crece el número y la sofisticación de los ciberataques que enmarcamos dentro de la categoría ingeniera social, es decir, aquellos que tratarán de embaucar a un usuario, o empleado en el caso del mundo empresarial, para que realice una acción que abra la puerta de su dispositivo o compañía al ciberdelincuente. Los estafadores de toda la vida pero en su versión 5.0.

El canal más habitual para desarrollar este tipo de ataques suele ser el correo electrónico, pero existen otras dos variables, que por salirse de lo común, pueden tener mayor éxito ya que nuestro nivel de alerta será menor. Nos referimos al phishing de voz (vishing) y phishing de SMS (smishing).

Smishing

El SMS sigue vigente, y aunque su uso ha ido a menos, es un canal que todavía utilizan sectores como organismos públicos o banca para entrar en contacto con usuarios o clientes. El smishing utilizará esta tecnología para hacer llegar un mensaje de texto a la víctima con la intención de que haga clic en un enlace malicioso o realice una tarea sin que sea consciente de su peligro y consecuencias.

¿Qué podemos tener en cuenta para detectar que estamos ante un ataque de smishing?

  • Hay que ser cautos y escépticos ante cualquier mensaje de texto no solicitado o inesperado
  • Pensemos que si somos cliente de un servicio, lo habitual es que se dirijan a nosotros por nuestro nombre, así que precaución con aquellos mensajes que utilicen saludos formales genéricos como «Señor» o «Señora»
  • Si el mensaje contiene errores gramaticales u ortográficos es poco probable que provenga de una fuente legítima
  • Alerta máxima e inmediata ante mensajes que nos pidan hacer clic en un enlace sospechoso
  • Si dudamos de la veracidad, podemos comparar el mensaje nuevo con otro recibido en el pasado por la misma fuente para comparar estilo, formato, etc.

Además, debemos ser conscientes de que los atacantes disponen de los conocimientos necesarios para suplantar un número telefónico, pudiendo así aparentar que el mensaje ha sido recibido desde una fuente conocida por nosotros.

Por último, actualiza el software del dispositivo siempre que sea posible. Reducirás el riesgo de aparición de malware que infecte el terminal. Y, recuerda, aplica el sentido común: la mayoría de las organizaciones o empresas que entraran en contacto con nosotros no nos pedirá que le revelemos ningún tipo de información personal o confidencial a través de un SMS.

Vishing

Estamos ante un ataque de phishing de voz cuando los delincuentes intentan persuadir a las víctimas para conseguir una información o completar una tarea a través de una llamada telefónica o mensaje de voz.

Estas son algunas técnicas que los atacantes pueden emplear:

  • Familiaridad. Piensa que internet está lleno de datos personales de cada uno de nosotros y que los atacantes podrían haber investigado de antemano. Pueden saber nuestro nombre, correo electrónico, dirección, hobbies, restaurante en el que hemos comido, etc. Esto permite al delincuente personalizar la conversación para convencernos de que se trata de una llamada real.
  • Urgencia. Los atacantes a menudo recrean una sensación de premura o miedo provocando que actuemos rápidamente y sin pensar.
  • Suplantación de número. Los delincuentes pueden modificar el número de teléfono para aparentar estar llamando desde un contacto conocido que nos condicionará a la hora de gestionar la llamada.
  • Ruido de fondo. Es muy sencillo, a partir de ciertos efectos, poder fingir fácilmente sonidos que nos darán la impresión de estar ante una llamada realizada desde una zona concurrida o un entorno de oficina, por ejemplo.
  • Manteniendo la línea. Técnicamente los atacantes pueden hacerse con nuestra línea de teléfono, lo que significa que si finalizamos la llamada y realizamos un nuevo marcado volveremos a ser conectados con los delincuentes.
  • Clonación de voz. El machine learning actual permite recrear tonos de voz y acentos con sorprendente precisión. Si creemos que alguien conocido está siendo suplantado, debemos intentar ponernos en contacto con él o ella a través de otro canal.

Además de estas pistas que ya conocemos, como método de prevención aplicaremos de nuevo el sentido común intentando evitar dar información personal o confidencial por teléfono.

Ante esta ingeniera social, y para cualquier otro asunto relacionado con la ciberseguridad en  el entorno laboral, si eres un directivo o gerente de una compañía, pon a disposición de los empleados un canal de comunicación a través del que puedan notificar la existencia de un texto sospechoso o una llamada telefónica recibida en un dispositivo de la empresa.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Lanzan el primer Mooc de Blockchain y criptomonedas impartido por IEBS
Actualidad
33 compartido2,556 visualizaciones
Actualidad
33 compartido2,556 visualizaciones

Lanzan el primer Mooc de Blockchain y criptomonedas impartido por IEBS

José Luis - 5 octubre, 2018

La Escuela de Negocios IEBS lanza el primer Mooc Gratuito de Blockchain y criptomonedas con el objetivo de formar a profesionales de cualquier disciplina…

Cyber-Insurance Day: Entrevista sobre tecnología, identificación, seguridad y el proceso de adaptación del cliente
Ciberseguros
9 compartido1,335 visualizaciones
Ciberseguros
9 compartido1,335 visualizaciones

Cyber-Insurance Day: Entrevista sobre tecnología, identificación, seguridad y el proceso de adaptación del cliente

Aina Pou Rodríguez - 15 julio, 2020

Cyber-Insurance Day 2020, presentado por CyberSecurity News El pasado 19 de junio, en el primer congreso nacional del ciberseguro contamos…

711 millones de emails afectados por el mayor spambot del mundo
Email
820 visualizaciones
Email
820 visualizaciones

711 millones de emails afectados por el mayor spambot del mundo

Redacción - 13 septiembre, 2017

Un total de 711 millones de emails de compañías y organismos públicos han sido detectadas en el mayor spambot del mundo…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.