Aunque no es un término nuevo, el último caso de vishing detectado contra Bank of America ha vuelto a encender las alertas contra esta sofisticada variación del phishing tradicional que utiliza la tecnología VoIP (sobre la que se ha montado una centralita automática) para engañar a sus víctimas.
En esta ocasión el procedimiento utilizado por los estafadores ha sido el siguiente:
Se envía de forma masiva (posiblemente usando bots o máquinas zombis) un correo informando al destinatario de que su tarjeta de crédito ha sido bloqueada por una violación de la política de uso establecida por el banco. Aquí la técnica de ingeniería social es excelente, ya que el mensaje logra hacer creer a la víctima que su tarjeta puede estar siendo utilizada para adquirir bienes y servicios por internet (incluso facilita los datos de una web para adultos desde la que se intentó hacer un pago).
El mensaje incorpora, en lugar del esperado enlace a la página del banco falsa, un número de teléfono donde llamar para resolver la incidencia. De nuevo los “cacos” vuelven a mostrar astucia, ya que hoy por hoy el teléfono es un sistema que transmite más seguridad y confianza al usuario que un enlace de internet.
El falso call-center (de fácil y barata implementación usando la tecnología VoIP) solicita a la víctima todos los datos necesarios para cometer el fraude. Es más, entre esos datos está el propio número de teléfono del usuario, que queda registrado.
Otra variante de vishing (más “pura”, por decirlo de alguna manera) es la que emplea llamadas masivas o war dialing (¿os acordáis de Juegos de Guerra?) en lugar del mensaje de correo, o donde el teléfono gratuito que incorpora en realidad es un número de tarificación adicional o un fax, e incluso ha habido casos en los que en lugar de una vulgar centralita lo que en realidad se simula es el servicio de banca telefónica de la entidad bancaria objetivo del phishing.
Como siempre, la recomendación es hacer caso omiso de cualquier correo de esta índole, ya contengan enlaces a sitios bancarios o números de teléfono de soporte.
Vía: SecurityFix
