Los nuevos engaños

La seguridad informática suma otros dos enemigos: el Vishing y el Smishing



Cuando el problema se centra en las tecnologías utilizadas siempre cometemos los mismos errores. El tomar conciencia y conocer las causas de los problemas no sólo nos ayuda a resolverlos, sino también a prevenirlos.

En Seguridad de la Información parece que estuviéramos en un mundo interminable de repetición de errores. ¿Por qué? Porque la fuerza del atacante no está en sus herramientas y ni siquiera en sus conocimientos detallistas sobre alguna tecnología, sino que lo está en su creatividad.

Hoy vemos que la tendencia por obtener información sensible de las personas se ve acrecentada diariamente, luego de ataques como el Pharming y el Phishing , hoy estamos expuestos a dos nuevos ataques, el Vishing y el Smishing .

Hablemos del Vishing . Es una de las nuevas modalidades de fraude basadas en sistemas digitales que parten del engaño a las personas, utilizando un formato muy similar al del Phishing pero variando básicamente en la "tecnología de ataque".

¿En qué consiste esta técnica? Una persona mal intencionada genera un e-mail con los logos de un Banco y lo envía a cientos de cuentas de correo que previamente recolectó (o bien compró en esas "promociones" que llegan con frecuencia a nuestras direcciones). El atacante no sabe si esas personas son clientes del Banco, pero supone que unos cuantos sí lo serán. ¿Y qué dice el mensaje? Quizás algo así:
Estimado Cliente:
En nuestra lucha por combatir el robo a las cuentas bancarias hemos establecido un mecanismo de seguimiento a nuestros usuarios del Banco, motivo por el cual hemos detectado que en su cuenta se han registrado excesivos movimientos respecto a los que Usted habitualmente realiza superando los USD 2.000 en los últimos 20 días.
Si usted no ha realizado dichos movimientos por favor le agradeceremos comunicarse con nosotros de inmediato a nuestro Centro de Atención Telefónica 5555-5555, Opción 3 para poder evitar que dicho dinero se acredite en otra cuenta y usted pierda su dinero.
Por último, recuerde, que como nosotros estamos preocupados por su Seguridad, nunca le enviaremos un mail con un link a nuestro sitio a fin de evitar el robo de las cuentas bancarias a través de la técnica fraudulenta denominada Phishing.
Atentamente,
La Gerencia
Esta modalidad se diferencia del Phishing en el medio utilizado, en lugar de pedirle al usuario que acceda a un link, se lo induce a realizar una llamada por teléfono a un número determinado...

Y lamentablemente la mayoría de las personas llama directamente a ese número sin siquiera corroborar si pertenece al Banco. Al comunicarse, un pre-atendedor telefónico nos dará una serie de opciones y seleccionaremos la opción indicada. Luego, una voz nos pedirá que para verificar los movimientos ingresemos los datos de nuestra cuenta. En este momento develaremos nuestro PIN de cuatro dígitos, para finalmente darnos un error del tipo “En este momento no se puede procesar la operación, por favor intente más tarde o acérquese a una de nuestras sucursales”

¿Y entonces qué pasó? El atacante se guardó un archivo con los datos de nuestra cuenta y con la clave de seguridad, tan simple como eso. Un viejo refrán reza: “Si necesitas algo, sólo pídelo. El secreto del éxito en obtenerlo, está en la manera de pedirlo.”

El medio que se utiliza en este engaño es el correo electrónico para llamar la atención de los usuarios (podría ser cualquier método) y la plataforma de ataque está basada en la instalación de programas gratuitos de Centrales Telefónicas Virtuales en las PC (la mayoría en entorno Linux) a las cuales se les puede asignar un número telefónico tradicional gracias a los beneficios de la telefonía basada en la VoIP (Voz por IP)

De esta manera, se proporciona un número que parece “normal”, pero que en realidad está asociado a una PC y que puede variar su lugar de conexión tantas veces como lo desee (una Notebook, por ejemplo). Pero como si fuera poco, también existen programas gratuitos de simulación de voces que también puedo añadir al pre-atendedor de mi Central Telefónica Virtual, logrando así que cuando la víctima llame, atienda una voz de locutor/a con música de fondo, agradeciéndonos por habernos comunicado al supuesto Banco.

Como mencionaba al principio, esta técnica está basada en el Phishing , para lo cual sólo hubo que adaptarse a la tecnología (utilizar Voz por IP) y a las campañas contra el fraude.

Para el caso del Smishing es similar el tipo de fraude (al Vishing ), pero éste se basa en el envío de mensajes de texto a los teléfonos móviles, invitando a los usuarios al “Nuevo Sistema de Gestión del Banco”. El mensaje pide a la persona que se comunique por teléfono o bien que envíe un SMS con una palabra clave, que luego otra persona utilizará para volver a ponerse en contacto telefónicamente con su víctima y utilizar técnicas de ingeniería social para hacerse pasar por empleados del banco y pedirle los datos de la persona, sin que ella en realidad quiera dárselos.

Informase para prevenir . Recientemente, fueron desarrolladas numerosas campañas fuertes para combatir el Phishing , hasta el punto de haber visto mensajes como “nuestro Banco nunca le pedirá sus datos por mail” o “no acceda a nuestra Web a través de un link”, por lo que a los atacantes con un poco de creatividad les alcanzó con modificar sutilmente el escenario fraudulento.

El problema se centra en cómo podemos prevenirnos de este tipo de fraudes, y desde el momento en que nos detenemos a pensarlo un rato, vemos que desde la tecnología no hay una vulnerabilidad en sí. En realidad, el ataque se basa en el medio tecnológico pero la verdadera debilidad se encuentra enteramente del lado del usuario, que debería estar informado sobre todo lo relacionado a cómo su Banco maneja la información, y no debiera confiar en los mensajes recibidos por correo.

Lo mejor es acercarse a la Sucursal más cercana o llamar por teléfono al Banco, pero a los números publicados oficialmente y no a aquellos que un mail nos indica. Pero en nuestra vida diaria tomarnos 15 minutos para realizar estas actividades pueden ser una eternidad y complicarnos mucho. La pregunta que debiéramos hacernos es: ¿Qué nos conviene más?

Por Claudio Caracciolo
I-SEC Professional Services Manager
Link permanente: http://www.lanacion.com.ar/865020

Muy buen artículo, gracias por tu valioso aporte. Hay q tener cuidado......