Artigo traducido por un sistema de tradución automática. Máis información aquí.

‘Voice phishing’: os ciberdelincuentes pásanse ao teléfono

A enxeñaría social ha saltado do correo electrónico á VoIP para ofrecer aparencia de lexitimidade e desarmar as sospeitas do usuario
Por Marta Peirano 28 de Agosto de 2006

Aínda que o númerode estafas reportado polo Anti-phising WorkGroup demostra que se está lonxe de controlar oproblema, os usuarios habituais do correo electrónico hanaprendido rapidamente a desconfiar dos mails trampa,grazas principalmente ás campañas de advertencia dos seusgobernos, oficinas e dos seus propios bancos. Todas as entidades advertiron que non se deben ofrecer datos persoais en ningunha páxinaweb da que non se estea totalmente seguro. Pero E por teléfono?

A técnica dophishingé máis que coñecida polos usuarios da Rede: chega une-mail do seu banco en liña solicitando ao cliente que, por motivos deseguridade ou mantemento, confirme os seus datos nunha páxinaweb: nome, DNI, domicilio, tipo e número de conta, etc.Dita web non pertence, por suposto, a unha verdadeira entidadebancaria, senón que é unha copia do orixinal creada para ‘pescar’datos bancarios e despellejar aos confiados donos.

Que é o ‘voice phishing’?

O ‘voice phishing’ éun derivado intelixente do phishing porque, en lugar de ofrecer unligazón para que o usuario pique, dá un número de teléfono.Este detalle desactiva as defensas do usuario, que recibe unha falsaimpresión de seguridade e dispara a urxencia da súa resposta.Ademais, un usuario de banca en liña coñece moi ben o url deo seu banco, pero non o seu número, que pode ser da central ou decalquera das súas oficinas.

O habitual é que ousuario chame sen comprobar a veracidade do número por faltade recursos: algúns bancos en liña cambiaron os seus números deatención ao cliente por un número 900 xeneral pararesolver o maior número de trámites por e-mail.

Os obxectivos máispopulares entre os estafadores son os usuarios de servizos en liñaque implican transaccións económicas como Paypal

Cando o cliente chamaao número facilitado, atópase con contestador quesolicita o seu número de conta. Os estafadores utilizan VoIP(Voz sobre IP) para construír a central similar á do banco encuestión, aínda que pode ser moi xenérica. Nun doscasos máis notables dos últimos meses, un ataque aos clientes de Santa Barbara Bank & Trust, a policíanotou que a mensaxe non mencionaba en ningún momento obanco de Santa Bárbara, sinal de que a mesma centralfraudulenta estaba a ser utilizada para estafar a máis dunhafirma.

Os obxectivos máispopulares entre os estafadores son os usuarios de servizos en liñaque implican transaccións económicas como Paypal. Osúltimos ataques a Paypal demostraron ser moitomáis sofisticados: o sistema de estafa trata de verificar queos datos requiridos son correctos e lanza un aviso de erro se ocliente comete un erro, evitando datos inútiles e reforzandoa impresión de ser un servizo lexítimo.

Ao final do día,a única receita para estar a salvo dunha fraude é non dar osdatos a ninguén. Calquera descoñecido que, en nome de calquera,solicita información confidencial debe ser tratado con cautelae as súas referencias comprobadas varias veces.