Fraudes para robo de Información: PHISHING, VISHING, SMISHING.

En días recientes, estuve escuchando en un evento de seguridad, un panel de expertos del sector bancario y energético, que hablaban acerca de como se habían incrementado los ataques hacia estos sectores durante esta pandemia de COVID-19.

Uno de los panelistas del sector bancario, hizo referencia a que ellos habían recibido un incremento importante en los ataques de Phishing, Vishing y Smishing, haciendo énfasis en que esto complicaba aún más la ya mermada actividad económica de los bancos.

Cómo estos ataques se basan en el engaño a la persona, en este caso al usuario del sistema bancario, la educación sería la manera más económico-efectiva de evitar caer en el fraude. Es por este motivo que consideramos importante aportar aspectos relevantes acerca de cada tipo de Fraude:

PHISHING: 

• Se basa en recibir una comunicación escrita de una fuente que aparenta ser confiable.
• La comunicación escrita se recibe por email en la mayoría de los casos; pero puede recibirse por redes sociales como Whatsapp o Facebook.
• Es un engaño a la confianza de la persona que recibe el ataque.
• El atacante se hace pasar por alguna entidad u organización conocida por nosotros.
• En la comunicación escrita siempre se le va a solicitar conectar con un sitio web fraudulento para que aporte algún tipo de información (sus datos bancarios).
• Este sitio web fraudulento va a tener todos los elementos visuales que lo harían parecer como legítimo.
• La persona podría detectar el phishing al identificar que el nombre de dominio y los certificados no son los que utiliza oficialmente la institución bancaria.

VISHING

• Se basa en recibir una llamada telefónica en la cual se hacen pasar por un funcionario del Centro de Atención de un Banco.
• Requiere que antes haya ocurrido un phishing en la que han obtenido datos de la persona para que la llamada pueda ser creíble.
• El objeto es vulnerar los sistemas de protección de una sola vez que colocan los bancos, para proteger las operaciones con un factor adicional a la clave del ebanking.
• Los bancos han adoptado el uso de claves de único uso por SMS o han adoptado el uso de Tokens de Seguridad que cambian cada 30 segundos (OTP).
• La llamada telefónica recurre al engaño basado en la alarma.  Advierten a la persona que han detectado un acceso fraudulento a su cuenta y que requieren de su clave de único uso o de su token OTP para confirmar su identidad.

SMISHING

• Su éxito radica en el uso que hacen las entidades bancarias de la omnicanalidad, en la cual han adoptado múltiples formas de contacto con sus clientes.
• Se basa en el uso de SMS o WHATSAPP para comunicarse con la persona para alertar una violación en el uso de su Tarjeta de Crédito.
• La persona recibe un mensaje donde se le invita a llamar al Centro de Atención de su banco para validar la operación con la Tarjeta de Crédito. En el mensaje se coloca el número telefónico falso del supuesto Centro de Atención Telefónico.
• El atacante al recibir la llamada, solicitará los datos bancarios de la persona para poder validar su identidad y su supuesto consumo con la Tarjeta.

¿Qué puede hacer para evitar ser víctima de estos fraudes?

• NO preste atención a ninguna comunicación recibida por el Banco que no haya sido solicitada por usted.
•  En el caso que no haya hecho ninguna transferencia bancaria o haya hecho uso de sus tarjetas, haga caso omiso a cualquier supuesta comunicación del banco.
• NO entregue ningún Dato de Identificación Personal o Bancario a través de ningún medio: email, llamada telefónica, website, etc.  Estos datos ya los conoce el banco.
• NO presione sobre ningún enlace acortado recibido por email o redes sociales en nombre de su banco o equivalente.
• NO atienda a ningún enlace web recibido por correo, aunque haya sido recibido desde una fuente confiable.  Primero consulte al remitente del mensaje si le ha enviado algún acceso a un sitio web.

Las entidades bancarias y las organizaciones para las que trabaja, seguro han implementado muchas herramientas de ciberseguridad que comentaremos en otras publicaciones, pero cuentan con su sentido común para que no sustraigan información sensible y privilegiada que ocasionen pérdidas económicas para todos.

 

Imagen cortesía de Vector de Tecnología creado por freepik – www.freepik.es