Smishing y vishing nuevas amenazas de tipo phishing sobre VoIP y mensajería SMS

0

En la web de la Asociación Española de Comunicaciones Móviles vemos un interesante artículo sobre Smishing y vishing, que os reproducimos aquí:

Todos sabemos o deberíamos saber en que consiste el phishing: típicamente es un mensaje electrónico supuestamente enviado por alguna entidad bancaria (o cualquier otra entidad conocida) que amenaza con anular una cuenta bancaria si no se accede a la misma o que indica que ha habido algún problema con la base de datos del banco y debe acceder a su cuenta bancaria para corroborar algún extremo de su cuenta, indicando una dirección falsa donde hay montado un servidor por parte del atacante para obtener claves de la vícticma (a grosso modo).

En Australia y Estados Unidos los ciberdelincuentes han variado su “modus operandi” y han utilizado la telefonía IP para enviar el mensaje electrónico e indican un número de teléfono al que llamar y mediante una grabación virtual solicitan a la victima su número de tarjeta, contraseña y datos bancarios, técnica conocida como “vishing”. Esta vez, el correo malicioso en vez de invitarnos a acceder a una página maliciosa (más o menos bien conseguida), nos sugiere con la excusa de turno que llamemos a un número de teléfono. La gravedad de esta estafa está en que al llamar a ese número, nos atiene un sistema automatizado que nos irá pidiendo la información sensible. Todo limpio, aséptico y por ello probablemente con un buen porcentaje de estafas ya que los usuarios normalmente tienen menos miedo a un medio como el teléfono que a los medios electrónicos.

Según varios expertos estos intentos de fraude irán en aumento. La voz IP es fácil de usar y es de bajo coste y el funcionamiento se adapta a los objetivos de los ciberdelincuentes. Hay programas para crear centralitas que simulan ser una empresa y con voces grabadas de profesionales. Pueden estar instaladas en cualquier lugar del mundo y utilizan un número local y redireccionan las llamadas.

Otra modalidad de phishing es el llamado “smishing” que usa los mensajes SMS de los teléfonos móviles para realizar el ataque. Los mensajes intentan convencer para que se visite un enlace fraudulento, pero no llegan por correo electrónico sino por mensaje corto (SMS) al móvil. El primer caso de smishing ocurrió en china donde algunas personas comenzaron a recibir un mensaje con el siguiente texto en su teléfono (en inglés): “Estamos confirmando que se ha dado de alta para un servicio de citas. Se le cobrará 2 dólares al día a menos que cancele su petición: www.XXXXXX.com”.

Los usuarios, temerosos de la amenaza de cobro (quizás pensaban que el cargo sería retirado del saldo de su tarjeta) acudían a obtener más información a la dirección indicada. En ella, si se visitaba usando Microsoft Windows (imaginamos que mediante alguna vulnerabilidad de Internet Explorer) y sin las medidas de seguridad necesarias, el incauto era infectado por un troyano. En otros casos el mensaje adjuntaba un número de teléfono al que llamar. Un ciudadano de Pequín lo hizo y una voz grabada le pidió los datos de su cuenta. Horas después le habían vaciado su cuenta bancaria.

fuente: Asociación Española de Comunicaciones Móviles