En estos días personalmente me han llamado bastantes veces por teléfono personas de habla inglesa, hablando muy mal el español, diciendo que eran de Microsoft. Llámandome por mi nombre y sabiendo mi dirección. Como soy bastante friki y me dedico a esto de la seguridad informática, les he seguido el rollo para ver de que iban, siendo un intento de fraude que se conoce como Vishing. Por ello en este artículo os voy a informar de qué es el Vishing y de cómo protegerse ante estafas como estas.
¿Os interesa? pues vamos a ello.
Índice de contenidos:
- ¿Que es el Vishing?
- Patrones Comunes para reconocer el Vishing
- Suplantación de técnico de Microsoft
- Consecuencias de permitir acceso remoto a nuestros dispositivos
- Suplantación de identidad bancaria
- Porqué es tan fácil de realizar
- ¿Qué es el Spoofing?
- Protegerse del Vishing de Microsoft
- Si consiguen engañarnos, ¿que hacemos?
- Protegerse del Vishing bancario
- Linea de ayuda del INCIBE 017
¿Que es el Vishing?
El Vishing es un fraude que se realiza a través del teléfono, mediante llamadas a los clientes por falsos teleoperadores. Intentan engañarnos para que realicemos una serie de acciones con el fin de robar información personal sensible, como por ejemplo, datos personales y bancarios.
FormCiberSeg
El término vishing surge de la combinación de “voice” (voz) y phishing (fraude electrónico). Y no es más que otro uso de las técnicas de ingeniería social, para intentar estafarnos.
Los hay de muchas maneras y formas de realizarlo, pero todas siguen unos patrónes comúnes.
Patrones comunes para reconocer qué es el Vishing y cómo protegerse.
- Normalmente suelen seleccionar a personas mayores para aprovechar su desconocimiento en las nuevas tecnologías.
- La estafa se inicia con una llamada teléfonica. El estafador se identifica como trabajador de Microsoft en mi caso, pero también se pueden identificar como miembros de alguna entidad bancaria, aseguradora, operadora de internet etc…
- Manifiestan a la víctima que habían detectado un fallo en su ordenador, o una compra por internet de un importe elevado mediante su tarjeta bancaria, que claro está, no se ha realizado por la víctima, o cualquier cosa por el estilo.
- Producen un sentido de urgencia en el usuario que lo lleva a tomar acción y a proporcionar información personal.
- Siempre buscan que no tengamos mucho tiempo de reacción.
Vishing haciéndose pasar por Microsoft.
Como os dije arriba, hace unos días me llamaron por teléfono haciéndose pasar por Microsoft y voy a explicaros cual fue su Modus Operandi.
Recibo una llamada de alguien que me dice que es de Microsoft, al ver que me hablan en Inglés les digo que me hablen en Español y como no lo hacen les cuelgo.
A la tarde me vuelven a llamar y la misma historia, les cuelgo también.
Pero de verdad, que se piensan que somos tontos y fueron tantos los días que me repetían dos y tres veces las llamadas “Ya conseguí que me hablasen en Español de estos chapurreaos que hablan los guiris cuando vienen aquí de vacaciones, finalizando siempre las frases con un ¿Me entiendes? que al tercer día me dió por seguirle el juego al ciberdelicuente a ver hasta donde me llevaba y comprobar su modus operandi.
Me dice que es de Microsoft Windows (Cuanta gente hay que tiene ordenador en casa) y me dice que con sus sistemas de última generación super avanzada y bla, bla, bla… (Todo esto en un Español Chapurreado que me costaba Dios y ayuda el no reirme, por ver el esfuerzo que hacía esta persona para que lo entendiera). Yo le suelto un ¡Ohhhh! de admiración que hace que el tío se venga arriba.
Me suelta que mi ordenador, han detectado que va muy lento, que tiene un virus y que necesita una actualización urgente. Culquier cosa que sonara creible.
Llegados a este momento yo ya me planteaba dos situaciones:
- Pasar de esta persona y colgarle. Pero entonces no evitaría que siguiera llamándome.
- O dar credibilidad a su historia y continuar hablando con el cibercriminal
Opté por lo segundo. entonces el ciberdelincuente intenta convencerme para que instale una aplicación en el ordenador, pues mi ordenador y red estaban en riesgo y que se estaban descargando cosas sin mi consentimiento.
Me pide que instale “AnyDesk“; que es un software con el cual se permite tomar el control de un ordenador, móvil o tablet en la distancia. Lo uso bastante y más ahora con el confinamiento por lo del CoronaVirus, para atender las demandas o problemas de clientes en sus ordenadores. Como por ejemplo conectarlos a una VPN de su empresa. O preparar su ordenador con las mínimas medidas de seguridad para el teletrabajo.
Anydesk: es un programa de software de escritorio remoto desarrollado por AnyDesk Software GmbH en Stuttgart, Alemania. Provee acceso remoto bidireccional entre computadoras personales y está disponible para todos los sistemas operativos comunes. El software ha estado en desarrollo activo desde 2012.
Wikipedia
Por este motivo, no debemos conceder acceso remoto a nadie a nuestros equipos, salvo que estamos completamente seguros de que se trata de una persona conocida y de confianza.
¿Que consecuencias puede tener permitir el acceso remoto a vuestro ordenador o móvil?
Tenéis que tener en cuenta que permitir el acceso remoto a un desconocido a vuestros equipos, es lo mismo que si estuviera sentado delante de vuestra computadora con todos los permisos abiertos. Siendo muchos los elementos que se ven afectados por ello.
- Todo lo que haya, toda vuestra información que se almacene en el equipo queda expuesta. Vuestros documentos, fotografías, vídeos y el resto de archivos a menos que los tengáis cifrados con una contraseña que solo vosotros sabéis, son accesibles y podrían ser sustraídos. (En este artículo os enseño a cifrar y poner contraseñas a vuestros archivos)
- Los servicios asociados también se verían comprometidos. Si almacenamos las contraseñas de acceso a las redes sociales, correo electrónico, cuentas bancarias, Amazon, el ciberdelincuente puede acceder y realizar acciones en nuestro nombre sin consentimiento.
- La integridad del equipo puede verse afectada. Son comunes los casos en los que el falso soporte bloquea el equipo instalando un malware tipo RansomWare para posteriormente solicitar un pago para desbloquearlo. Aquí tenéis una guía sobre el RansomWare del INCIBE (Instituto Nacional de Ciberseguridad, del cual soy cibercooperante dentro de su programa Internet Segura Para Niños IS4K) para su descarga si estáis interesados.
- El daño económico. Si proporcionáis información de vuestras tarjetas de débito o crédito, o vuestras credenciales de vuestra banca online.
Como os podéis dar cuenta, la cantidad de daño que os pueden realizar con este tipo de fraudes, puede ser grande, dependiendo de la cantidad de información que le hayáis proporcionado y los recursos a los que haya podido acceder desde vuestro equipo.
Bueno pues continuando con mi aventura con el ciberdelincuente, al ver ya que es lo que quería; di por terminada la conversación riéndome de él mandándolo por donde amargan los pepinos en su idioma. Ya no quise continuar, aunque estuve a punto de instalarlo en un entorno virtual seguro para ver hasta donde llegaba el tío y cuando y cómo me pediría el dinero. Pero como ya estaba un poquito harto, decidí acabar ya con la farsa. Se ve que lo cansé tanto a esta persona, que ya dejaron de molestarme, hasta que hagan otra tanda de ciber ataques.
Otra situación real de Vishing
Estás viendo la televisión en el salón de tu casa sobre las 20:00 y suena el teléfono. Miras el número que te está llamando y ves que es el número de tu banco. Como es lógico respondes al teléfono.
«Hola, buenas tardes, le hablamos del banco Tal. En la última hora, ha habido tres intentos fallidos de ingresar a su cuenta. Para proteger tanto su cuenta como su información privada, el banco Tal, ha bloqueado su cuenta. Estamos comprometidos con la seguridad de sus transacciones por internet. Por favor, llame a nuestro departamento de seguridad al 900-800-bla-bla-bla.»
FormCiberSeg
Tu sabes que no has hecho «tres intentos fallidos de ingresar a tu cuenta en la última hora», porque has estado viendo la tele en casa.
La idea es crearte pánico y obligarte a llamar al número indicado. Tu llamas, y te responden con lo siguiente:
«Gracias por llamar al banco Tal. Su llamada es importante para nosotros, y la grabaremos para propósitos de control de calidad. Para dirigirle al departamento apropiado, por favor marque la tecla correspondiente”.
- Para información de cuentas corrientes o de ahorro, pulse 1.
- Activar una tarjeta de débito, pulse 2.
- Suspender un pago, pulse 3.
- Para conectarse a un departamento, pulse 4.
- Para cualquier otra pregunta, presione 0.
Pulsas el 4, y el sistema automatizado te pide que te identifiques
«La seguridad de nuestros clientes es importante para nosotros. Para continuar, necesitamos comprobar antes su identidad. Por favor introduzca su número de cuenta bancaria.»
Introduces tu número de cuenta y recibes la siguiente instrucción:
«Gracias. Ahora, por favor introduzca su número de carnet de identidad.»
Introduces tu carnet de identidad y vuelves a escuchar al sistema automatizado, que te dice:
«Gracias, ahora introduzca su clave de acceso por favor.»
FormCiberSeg
Introduces la clave y escuchas lo siguiente:
“Gracias” y la llamada se corta. Cuando ya de verdad te puedes poner en contacto con tu banco, descubres que has sido estafado.
¿Porqué resulta tan fácil de realizar el Vishing?
Porque los ataques de Vishing son muy difíciles de rastrear, ya que en su mayoría usan tecnología VoIP (Voz sobre IP). Esto significa que las llamadas empiezan y terminan en un ordenador, que puede estar en cualquier parte del mundo.
¿Que es el Spoofing?
Y ahora al que le ha ocurrido se preguntará… ¿Porqué la llamada me la realizaron desde un número de teléfono verdadero de mi Banco, Operadora de Internet, Microsoft, etc…?
Fácil; porque lo suplantan. ¡Comoooo!!! si, los suplantan, es conocido como Spoofing.
Existen servicios que cualquiera puede contratarlos como; SpoofCard o Burner (aplicación para el móvil gratuita), etc… que permiten hacer Spoofing “suplantar” tu número de teléfono, de manera de que llames a quien llames, no tienen forma de saber que eres tu. Puedes mostrar el número de teléfono que desees.
Esto permite a los ataques de Vishing parecer perfectamente legítimos en el identificador de llamada de la víctima.
El spoofing de números a veces es legal (en la lucha contra el spam, para propósitos de privacidad, etc.) y a veces no lo es (fraudes por internet, etc.) dependiendo de las leyes y reglamentos regionales vigentes.
El spoofing es el uso de técnicas de suplantación de identidad generalmente para usos maliciosos.
Fuente: Confirma Sistemas.
Se pueden clasificar sus ataques en función de la tecnología utilizada. Entre ellos el más extendido es el IP spoofing, aunque también existe el ARP spoofing, DNS spoofing, Web spoofing o email spoofing. Todos ellos se engloban en la idea de que cualquier tecnología de red es susceptible de sufrir suplantaciones de identidad.
¿Cómo protegerse del Vishing?
En este caso específico que os he narrado que me ocurrió hace muy poco, del técnico de Microsoft, no necesitáis grandes conocimientos en seguridad o tecnología. Simplemente, basta con aplicar el sentido común.
¡No! ningún técnico te va a llamar para reparar tu ordenador, por lo menos gratis.
Microsoft, ni ningún otro técnico te va a llamar para reparar tu ordenador. Tampoco tienes un tío que era príncipe de Nigeria y quiere dejarte una herencia de millones de euros, Tampoco tu banco te va a pedir tus datos por correo. y, por supuesto, nadie ha hackeado tu ordenador y va a publicar tus fotos si no haces lo que te dicen por teléfono.
¿Que hacer si ha conseguido engañarnos y hemos seguido las instrucciones del supuesto servicio técnico?
En este artículo “¿Qué es el Vishing y cómo protegerse?” Os indico como protegeros de estas técnicas. Pero en caso de haber seguido las instrucciones del ciberdelincuente, debemos de hacer lo siguiente:
- En primer lugar, desconectaréis de la red el equipo comprometido. Así aseguráis que se corta el acceso remoto y no pueden continuar manipulando vuestros equipos por parte de los estafadores.
- Debéis desinstalar cualquier programa que hayáis instalado siguiendo las indicaciones de los supuestos técnicos. En caso de que dudéis, acceder al listado de programas de vuestro equipo y localizar los que se hayan instalado en la franja horaria en la que sufristéis el incidente.
- Le pasaréis el equipo afectado el antivirus y una herramienta anti malware, para eliminar cualquier posible regalo, aplicar todas las actualizaciones de seguridad que estén pendientes por instalar.
Es importante mantener los equipos actualizados para evitar posibles infecciones. - Cambiar las contraseñas que estén almacenadas en el equipo (como por ejemplo accesos a correo electrónico, a cuentas bancarias, o inicios de sesión a perfiles o cuentas).
- En caso de que se haya realizado algún pago, valorar la opción de cancelar la tarjeta con la que se ha realizado, si se tiene la sospecha de que puedan haber capturado sus datos. En cualquier caso, contactaréis lo más pronto posible, directamente con el banco para solicitar la cancelación del pago.
- Finalmente, denunciar el fraude a las autoridades para intentar poner freno a este tipo de estafa.
¿Como protegerse del segundo caso de Vishing bancario?
- Nunca llames al número que se te ha dado, o al que muestra tu identificador de llamadas. Tómate el tiempo necesario para buscar un número legítimo alternativo de tu banco y llama a ese número.
- Nunca deis información personal. ¡A nadie! Esto aplica para cualquier solicitud de información personal. Para vuestra información: las compañías legítimas nunca os pedirán vuestro número de seguridad social, carné de identidad, números de tarjeta de crédito o números de PIN por teléfono.
- Si recibís una llamada sospechosa, simplemente colgar. Antes de devolver la llamada, investigar un poco en internet. Lo más probable es que otras víctimas hayan publicado información al respecto.
- Repórtalo a las Fuerzas y Cuerpos de la Seguridad del Estado.
- Sentido común.
Linea de ayuda del INCIBE – 017 (Instituto Nacional de Ciberseguridad)
Si después de leer este artículo, necesitas apoyo o tienes dudas por que has sufrido o crees que lo has sufrido, un timo de esta índole, puedes ponerte en contacto con la linea de ayuda del INCIBE, llamando al teléfono gratuito 017, es confidencial, está disponible los 365 días del año de 9:00 a 21:00 ¡Si tienes dudas, llámalos! Están disponibles Sábados, Domingos y Festivos. Analizarán tu situación y te guiarán al detalle.
¿Te ha ocurrido algo por el estilo? ¿Eras conocedor de este fraude? ¿Has sido testigo de alguien cercano que haya recibido este tipo de llamadas? Comparte tus opiniones y experiencias con el resto de los usuarios y déjanos tus opiniones en comentarios. Si está en manos de la comunidad el poder ayudaros, no dudéis de que lo harán.
Bueno, pues me despido de vosotros hasta el próximo artículo, llevarlo bien y ha cuidarse.
Atte: © Jevi – Jesús Vila Arsenal, para FormCiberSeg – Formación y Ciberseguridad – Cibercooperante.