Esta modalidad se diferencia del Phishing en el medio utilizado, en lugar de pedirle al usuario que acceda a un link, se lo induce a realizar una llamada por teléfono a un número determinado...

Y lamentablemente la mayoría de las personas llama directamente a ese número sin siquiera corroborar si pertenece al Banco. Al comunicarse, un pre-atendedor telefónico nos dará una serie de opciones y seleccionaremos la opción indicada. Luego, una voz nos pedirá que para verificar los movimientos ingresemos los datos de nuestra cuenta. En este momento develaremos nuestro PIN de cuatro dígitos, para finalmente darnos un error del tipo “En este momento no se puede procesar la operación, por favor intente más tarde o acérquese a una de nuestras sucursales”

¿Y entonces qué pasó?

El atacante se guardó un archivo con los datos de nuestra cuenta y con la clave de seguridad, tan simple como eso. Un viejo refrán reza: “Si necesitas algo, sólo pídelo. El secreto del éxito en obtenerlo, está en la manera de pedirlo.”

El medio que se utiliza en este engaño es el correo electrónico para llamar la atención de los usuarios (podría ser cualquier método) y la plataforma de ataque está basada en la instalación de programas gratuitos de Centrales Telefónicas Virtuales en las PC (la mayoría en entorno Linux) a las cuales se les puede asignar un número telefónico tradicional gracias a los beneficios de la telefonía basada en la VoIP (Voz por IP)

De esta manera, se proporciona un número que parece “normal”, pero que en realidad está asociado a una PC y que puede variar su lugar de conexión tantas veces como lo desee (una Notebook, por ejemplo). Pero como si fuera poco, también existen programas gratuitos de simulación de voces que también puedo añadir al pre-atendedor de mi Central Telefónica Virtual, logrando así que cuando la víctima llame, atienda una voz de locutor/a con música de fondo, agradeciéndonos por habernos comunicado al supuesto Banco.

Como mencionaba al principio, esta técnica está basada en el Phishing, para lo cual sólo hubo que adaptarse a la tecnología (utilizar Voz por IP) y a las Campañas contra el Fraude. Recientemente, fueron desarrolladas numerosas campañas fuertes para combatir el Phishing, hasta el punto de haber visto mensajes como “nuestro Banco nunca le pedirá sus datos por mail” o “no acceda a nuestra Web a través de un link”, por lo que a los atacantes con un poco de Creatividad les alcanzó con modificar un poco el escenario fraudulento.

El problema se centra en cómo podemos prevenirnos de este tipo de Fraudes, y desde el momento en que nos detenemos a pensarlo un rato, vemos que desde la tecnología no hay una vulnerabilidad en sí. En realidad, el ataque se basa en el medio tecnológico pero la verdadera debilidad se encuentra enteramente del lado del usuario, que debería estar informado sobre todo lo relacionado a cómo su Banco maneja la información, y no debiera confiar en los mensajes recibidos por correo.

Lo mejor es acercarse a la Sucursal más cercana o llamar por teléfono al Banco, pero a los números publicados oficialmente y no a aquellos que un mail nos indica. Pero en nuestra vida diaria tomarnos 15 minutos para realizar estas actividades pueden ser una eternidad y complicarnos mucho. La pregunta que debiéramos hacernos es: ¿Qué nos conviene más?