¿Qué es el vishing?
El término vishing proviene de la unión de dos términos: voice y phishing, siendo este último un conocido ataque a través de la suplantación de la identidad de una persona, entidad, etc. El vishing se lleva a cabo a través de una llamada telefónica fraudulenta que se realiza con el objetivo de conseguir los datos personales o bancarios de una persona o entidad.
¿En qué consiste un ataque de vishing?
Un ataque de vishing consta de dos pasos:
- En el primero nos encontramos con el ataque de “phishing”. El ciberdelincuente tiene que haber robado previamente información confidencial a través de un correo electrónico o una web fraudulenta. Para continuar con el ataque necesita la clave SMS o token digital para así poder llevar a cabo y validar la operación.
- En el segundo paso, debe obtener dicha clave para finalizar su ataque. Para conseguirla llama por teléfono a la víctima identificándose como un trabajador del banco. La finalidad de esta llamada es que el usuario revele la clave recibida a través de SMS o token digital. Éstos son tan importantes ya que son la clave para poder autorizar transacciones.
Recomendaciones para evitar estos ataques
- Tu identidad bancaria no contactará contigo para solicitarte información sensible y confidencial.
- No revelar nunca la clave recibida a través de SMS o token digital, si lo haces, autorizarás las transacciones.
- Si eres víctima de este ataque, debes llamar al banco de inmediato para denunciar lo ocurrido.
- Formarse sobre ciberseguridad para conocer todos los peligros que el uso de Internet conlleva.
- Denunciar la situación ante la Agencia Española de Protección de Datos (AEPD) o ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).
Actualidad
Uno de los últimos ataques más destacados de esta estafa se ha producido hace una semana. La Oficina de Seguridad del Internauta (OSI), perteneciente al Instituto Nacional de Ciberseguridad (INCIBE) alertó de una estafa de vishing suplantando la identidad de la Seguridad Social. Este delito se realizó a través de la plataforma Bizum, donde las víctimas realizaban pagos electrónicos a la supuesta administración pública. Las víctimas llegaron a pagar hasta 300 euros.
¿Cómo se ha llevado a cabo este fraude?
Todas estas víctimas han recibido una llamada fraudulenta de un supuesto funcionario/a de la Seguridad Social. Su objetivo es engañar al usuario comunicándole que la entidad pública le tiene que devolver dinero, por diferentes motivos, como, por ejemplo, por tener hijos a cargo o maternidad.
El ciberdelincuente le enviar al usuario una notificación a través del servicio Bizum, en la que el remitente en algunos casos aparece como TGSS (Tesorería General de la Seguridad Social), para otorgarle mayor credibilidad. El fin de este mensaje no es para recibir un pago, sino que es una petición de cobro, pero si el usuario no se da cuenta de ello y lo acepta, inmediatamente se le realizará un cargo en su cuenta.
Se están llevando a cabo otras formas de realizar cargos en las cuentas de los usuarios. Uno de los más conocidos es dar a la víctima las instrucciones vía telefónica sobre cómo configurar el servicio de pago. De esta manera recopilan datos sensibles, y consiguen enviarles un mensaje con la solicitud de la transferencia.
Existen muchas campañas de concienciación para este fraude, pero lo cierto es que cada usuario tenga unos conocimientos básicos para evitar éste y otros fraudes. Desde el Instituto Superior de Ciberseguridad te recomendamos realizar nuestro curso online de Ciberseguridad Laboral y Personal.