Vishing, que significa “phishing de voz”, es un tipo de ataque de ingeniería social que usa llamadas telefónicas o comunicaciones basadas en la voz para engañar a individuos y hacer que revelen información sensible, como información bancaria, credenciales de inicio de sesión o información personalmente identificable (PII).
Índice
Aunque los emails de phishing son más conocidos, el vishing está en aumento. A diferencia de otros ciberataques que aprovechan los canales digitales, el vishing manipula la confianza por medio de la interacción por voz, convirtiéndola así en una herramienta poderosa para los estafadores.
Los ataques de vishing dependen de una combinación de técnicas de manipulación para hacer que sus estafas sean convincentes. Estas son algunas de las más utilizadas:
El atacante creará una historia o tendrá un "pretexto" para justificar la llamada. Podrían decir ser del banco de la víctima y decirles que detectaron actividades sospechosas en la cuenta. Intentarán crear un sentido de urgencia, para lograr que la víctima responda sin pensarlo y entreguen la información sensible que los estafadores están buscando.
Los atacantes manipulan la información del identificador de llamadas para hacer pasar sus llamadas como provenientes de una fuente legítima. Esto es para que las víctimas bajen sus defensas y elevar las probabilidades de que confíen en lo que se les dice.
Una de las técnicas más efectivas en el vishing es la creación de un sentido de urgencia. Los atacantes podrían requerir de una acción inmediata para prevenir un “fraude” o “pérdida”, presionando a la víctima para que actúe antes de que puedan pensar la situación de forma crítica o verificar la identidad de quien llama.
Los atacantes se hacen pasar como un técnico de servicio al cliente de compañías conocidas, y suelen decir que el dispositivo de la víctima ha sido comprometido. Convencen a sus víctimas de otorgarles acceso remoto o pagar por reparaciones falsas, dando como resultado pérdidas financieras o de información.
En estas estafas, los criminales se hacen pasar por representantes de un banco, diciendo que se ha detectado actividad sospechosa en la cuenta de la víctima. El atacante busca información sensible, como contraseñas o PINs, para “proteger” la cuenta, pero que resultará en un acceso no autorizado a la información financiera de la víctima.
En las estafas de mensajería, los atacantes dicen ser de una empresa de logística y le contactan porque hay un “problema” con un paquete. Se le solicita a la víctima dar información personal o de pago para resolver el problema.
Si recibe una llamada inesperada solicitando información personal, como números de cuenta o contraseñas, es una bandera roja. Las organizaciones legítimas típicamente no solicitarán información sensible por teléfono sin verificación previa.
Los estafadores crean un sentido de urgencia, diciendo que se requiere de acción inmediata para prevenir algún efecto negativo, como la suspensión de su cuenta o la pérdida de fondos. Tenga cuidado de cualquier llamada que lo presiona para tomar decisiones sin darle tiempo para verificar o considerar.
Tenga cuidado de cualquier llamada que le solicite confirmar información personal, como su número de seguridad social o sus credenciales de inicio de sesión, especialmente si no estaba esperando la llamada. Las organizaciones legítimas típicamente permiten procesos alternativos de verificación.
Si recibe una llamada no deseada solicitando información personal, siempre verifique la identidad de quien llama contactando a la organización directamente a través de sus canales oficiales. No dependa del identificador de llamadas.
Evite compartir detalles personales, como números de cuenta, contraseñas, PINs, etc. por teléfono. Las organizaciones legítimas nunca le pedirán esta información en una llamada no solicitada.
Las empresas deben realizar capacitaciones regulares de ciberseguridad para que sus empleados puedan reconocer los intentos de vishing y puedan establecer un protocolo para reportar las llamadas sospechosas.
Considere usar aplicaciones o servicios para bloquear y filtrar las llamadas de spam. Las empresas pueden usar herramientas de autentificación de voz para verificar la identidad de quien llama, especialmente cuando se tiene que lidiar con información sensible.
Trend Vision One™ Email and Collaboration Security entrega protección líder en la industria contra las amenazas avanzadas que se dirigen hacia las plataformas de correo y de colaboración. Detiene el phishing, los ataques de business email compromise (BEC), ransomware y otros ataques dirigidos con detección de amenazas impulsada por IA y análisis dinámico en sandbox.
Al validar la identidad del remitente, escanear las URLs y los archivos adjuntos en tiempo real y aprovechando técnicas de defensa intergeneracionales, brinda visibilidad y control integrales a través de sus canales de comunicación basados en la nube.