Por Julián Garrido
Director general de Mnemo México
Uno de los componentes que utilizan frecuentemente los usuarios maliciosos para comprometer la seguridad cibernética de sus víctimas son ataques del tipo vishing, el cual es un término que combina dos palabras en inglés, “voice” (voz) y “phishing”.
El modus operandi de esta amenaza es utilizar un número telefónico para engañar a las víctimas y obtener información sensible. En la mayoría de los casos, el atacante se hace pasar por un ejecutivo de alguna institución y le hace creer al usuario final que:
● Su tarjeta ha sido clonada.
● Se ha recibido algún cargo por cierta cantidad de dinero.
● Se están haciendo compras en diferentes localizaciones.
Ante estas situaciones, el atacante solicitará información que le permita complementar el esquema de fraude, considerando información como:
● Tokens.
● Números de tarjeta.
● CVVs.
La finalidad es que el usuario crea alguno de estos tres escenarios de compromiso y, por la preocupacion que le genera el que estén haciendo mal uso de su crédito o dinero, brinde información adicional de sus cuentas o tarjetas.
Escenario de compromiso
Del esquema anterior, se puede apreciar que los atacantes pueden recopilar información correspondiente al número telefónico de la víctima a través de escenarios de compromiso más elaborados como sitios apócrifos.
¿Cómo afecta el vishing a los usuarios finales?
Por conocimiento de diversos casos atendidos por Mnemo, el promedio de afectación a los usuarios finales ronda desde los 5,000 hasta los 50,000 dólares.
Independientemente de que se culmine el fraude, los actores maliciosos podrían tener acceso a información personal que puede ser empleada en otros escenarios de compromiso como:
● Nombres.
● Identificaciones.
● Direcciones físicas.
● Credenciales de correo electrónico.
¿Cómo afecta a las instituciones bancarias?
La mala reputación para una empresa genera diversos daños, entre los que se encuentran:
● Comentarios negativos.
● Credibilidad.
● Demandas.
● Baja de cuentas que han sido comprometidas.
● Disminución en aperturas de cuentas.
Todos los puntos anteriores destacan la importancia de que las instituciones concienticen a los usuarios finales y les ofrezcan mecanismos seguros para la ejecución de sus actividades en plataformas electrónicas, junto con servicios de protección de marca que les permitan identificar estos escenarios y darlos de baja de manera oportuna.
A continuación, establezco algunas recomendaciones para prevenir o responder a este tipo de incidentes derivados del ingreso al sitio mediante un anuncio o un link que no es del todo confiable:
Usuario final | Institución bancaria |
Verificar la sintaxis de la URL, validando que corresponda al sitio web legítimo de la institución. | Emitir comunicados a través de sus estados de cuenta (papelería) informando sobre este tipo de escenarios que podrían comprometer al usuario final. |
No ingresar a páginas oficiales mediante anuncios o enlaces externos. | Implementar un factor de validación adicional para escenarios de transferencia de fondos que así lo consideren. Este puede ser mediante correo electrónico o mensaje de texto. |
En caso de recibir llamadas de supuestas entidades oficiales donde se solicite información, no brindar datos mediante esta comunicación. Siempre se deberá contactar por vías independientes para validar la solicitud. | Implementar controles extra de inicio de sesión como geolocalización que limite el acceso a una sesión por usuario. |
No acceder a cuentas personales desde redes de internet gratuitas. | Autenticación en dos pasos y notificación de cualquier ingreso a la cuenta mediante correo electrónico. |
Recordar que nunca se deberá compartir el número generado por un token. | Cuando se identifique algún sitio web malicioso, notificar mediante un banner, pestaña o aviso en su sitio web principal y redes sociales para que la comunidad esté al tanto. |
Si se nota algún movimiento en cuentas, inicios de sesión extraños o anómalos, comunicarse con la institución correspondiente de inmediato. |
Sigue a The markethink y entérate de los temas más actuales y sobresalientes de la industria