Nuevos fraudes por Internet apuntan a clientes bancarios
El vishing y smishing son dos nuevas modalidades de fraude digital basadas en el engaño a las personas mediante las nuevas tecnologías, como voz sobre IP (VOIP) y el mensaje corto de texto (SMS) en los celulares.
"El origen de esta modalidad está basado en la técnica conocida como phishing", explicó a infobaeprofesional Claudio Caracciolo, consultor de la empresa de seguridad informática I-SEC. La diferencia fundamental con el phishing es que el vishing y el smishing emplean otras tecnologías y otros medios para cometer el delito, "pero siempre apoyados en el mismo concepto: en el desconocimiento o mala información del usuario", apuntó el especialista.
Caracciolo dijo que el mecanismo que se utiliza está basado en la técnica del phishing, para lo cual los atacantes "sólo debieron adaptarse a la tecnología y a las campañas contra el fraude".
"Es simple... muchos bancos han emprendido comunicaciones muy fuertes para combatir el phishing hasta el punto tal que hemos visto mensajes del tipo 'nuestro Banco nunca le pedirá sus datos por mail', o cosas similares. Entonces, a quienes implementaron este modelo les alcanzó con modificar un poco el escenario fraudulento anterior", advirtió. VishingEn el caso del vishing, los usuarios al azar reciben un correo electrónico con el logo del banco, comentando que éste ha detectado algún posible fraude en su cuenta gracias a su nuevo sistema "anti-phishing". Le advierte que en su cuenta hay muchos movimientos de dinero superiores a una suma que no es la que habitualmente realiza, y que de no haber sido realizada por el cliente, el mismo debe llamar por teléfono a un número y presionar una determinada opción para ser atendido por un representante y solucionar rápidamente el problema. "Esta última parte es la diferencia con el phishing: en vez de pedirle que responda el mail, se le pide que llame por teléfono al supuesto banco", señaló Caracciolo.
Un cliente de dicho banco que haya recibido el correo electrónico, al ver el e-mail llamará por teléfono al número señalado y podrá escuchar un mensaje de bienvenida idéntico al del banco y le dará una serie de opciones. Cuando el cliente indique la que corresponde, le pedirá sus datos de cuenta y contraseña, y luego le dará un error pidiéndole que intente luego. "En ese mismo momento su cuenta bancaria y contraseña fueron capturadas por un atacante", advirtió.
Esto es posible a través de la instalación de programas gratuitos de centrales telefónicas que pueden ser cargados en una simple PC. Los estafadores utilizan un número telefónico de la telefonía basada en la VoIP, y de esta manera dan un numero que parece normal, pero que en realidad está asociado a una PC y que puede cambiarse de lugar continuamente (una notebook por ejemplo).
"¿Y cómo puede ser que el mensaje de bienvenida sea tan real? Porque también existen programas gratuitos de simulación de voces, por lo cual yo escribo lo que quiero y elijo la voz que más me gusta para que lo diga y con música de fondo", afirmó el consultor.SmishingPara el caso del smishing es similar el tipo de fraude, pero éste se basa en enviarle spam a los teléfonos móviles a través de mensajes de texto, invitando a los usuarios al "Nuevo Sistema de Gestión del Banco". El mensaje pide o que se comunique por teléfono o bien que envíe un SMS con una palabra clave, que luego ellos utilizarán para volver a ponerse en contacto telefónicamente con esa persona y utilizar técnicas de la ingeniería social para hacerse pasar por empleados del banco, pedirle y obtener los datos de la persona sin que ella en realidad quiera dárselos.¿Ya se registraron casos en la Argentina? ¿Afectan a bancos argentinos?Sí, ya han existido casos que han llegado a la Argentina, muchos de bancos del exterior por lo que ponen un número de larga distancia, y alguno que otro de bancos argentinos, respondió Caracciolo.¿Cómo se pueden prevenir estas prácticas delicitivas?Desde el lado de la tecnología no hay una vulnerabilidad en sí. En realidad es un medio utilizado, el tema está puramente del lado del usuario, que debe informarse sobre todo lo relacionado a cómo su banco maneja la información y no confiar en los mensajes recibidos por correo. Lo mejor es siempre acercarse a la sucursal o llamar por teléfono al banco a los números publicados oficialmente y no a aquellos que un mail nos pasa. Básicamente, en la técnica del phishing me pedían que acceda a la pagina web del banco a través de un link en el correo, en el vishing me piden que me comunique a través de un teléfono que me ponen en un correo… como usuario no debo confiar en este tipo de comunicaciones, si tengo dudas, tomo la guía y llamo a los teléfonos oficiales del banco, o bien me acerco a una sucursal personalmente.César Dergarabediancdergarabedian@infobae.com Infobaeprofesional.com