En este mundo, por desgracia, existen fraudes de todo tipo. Por ejemplo, el timador puede hacerse pasar por un empleado de alguna compañía eléctrica, o del gas, y pretender cobrar por hacer un servicio que la víctima no ha solicitado a dicha empresa.
Pues si en el mundo físico ya suceden este tipo de cosas de un modo tan directo, es plausible suponer que en el mundo virtual también existen esta clase de delitos, ¡y se realizan con una mayor facilidad!
Las amenazas en la red son muy numerosas, y algunas de ellas combinan procedimientos realizados en el mundo físico, con procedimientos hechos en el mundo virtual.
INGENIERÍA SOCIAL
La ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas para obtener información, acceso o permisos en sistemas de información que les permitan realizar actos perjudiciales para la persona u organismo comprometidos. El principio que la sustenta es el de que, en cualquier sistema, los usuarios son "el eslabón débil".
En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o correos electrónicos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a revelar sus credenciales de acceso o información sensible, confidencial o crítica.
Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, –por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco– en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.
PHISHING
Se trata de un tipo específico de ingeniería social refrente a un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza (suplantación de identidad de tercero de confianza), para manipularla y hacer que realice acciones que no debería realizar (por ejemplo revelar información confidencial o pulsar en un enlace). Para realizar el engaño, habitualmente hace uso de la ingeniería social explotando los instintos sociales de la gente, como el de ayudar o el de ser eficiente. A veces también se hace uso de procedimientos informáticos que aprovechan vulnerabilidades. Habitualmente el objetivo es robar información pero otras veces es instalar malware, sabotear sistemas, o robar dinero a través de fraudes.
A quien practica el phishing se le llama phisher.
Dado el creciente número de denuncias de incidentes relacionados con el phishing, se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica y campañas para prevenir a los usuarios con la aplicación de medidas técnicas a los programas.
VISHING
Se trata de una técnica de phishing que consiste en el uso de la línea telefónica convencional y de la ingeniería social para engañar personas y obtener información delicada como puede ser información financiera o información útil para el robo de identidad. El que lo utiliza es conocido como visher.
Este método de fraude aprovecha las tecnologías de mensajería de voz basadas en IP (principalmente Voz sobre Protocolo de Internet o VoIP) para lograr sus objetivos.
Sus mayores ventajas para el timador consisten en:
- Los sistemas telefónicos tienen un historial de confianza mucho más largo que los más nuevos sistemas de mensajería basada en Internet.
- Se puede contactar a un mayor porcentaje de la población mediante una llamada telefónica que a través del correo electrónico.
- Existe una amplia adopción y aceptación general de la automatización de los sistemas de validación telefónica.
- El teléfono hace que ciertos grupos de población, como los ancianos, sean más accesibles.
- El tiempo de entrega del mensaje se puede aprovechar para aumentar las probabilidades de éxito.
- El teléfono permite una mayor personalización del mensaje de ingeniería social.
- El mayor uso de los centros de llamadas significa que la población acepta más de extraños que pueden tener acentos pidiendo información confidencial.
- Wardialing: El visher utiliza un sistema automatizado para llamar a códigos de área específicos con un mensaje que involucra bancos o cooperativas de crédito locales o regionales. Una vez que alguien contesta el teléfono, comienza una grabación genérica o específica, solicitando que el oyente ingrese los números de cuenta bancaria, tarjeta de crédito o débito, junto con los códigos PIN.
- VoIP: Sistema telefónico basado en Internet que puede facilitar la visualización permitiendo que múltiples tecnologías funcionen en conjunto. Se sabe que los vishers usan VoIP para hacer llamadas, así como para explotar bases de datos conectadas a sistemas VoIP.
- Suplantación de identidad de llamada: Esta es la práctica de hacer que la red telefónica muestre un número falso en la identificación de llamada del destinatario. Varias compañías proporcionan herramientas que facilitan la suplantación de identidad de llamadas. VoIP tiene fallos conocidos que permiten la suplantación de identidad de llamadas. Estas herramientas se usan generalmente para llenar el identificador de llamadas con un banco o cooperativa de crédito específico, o simplemente con las palabras “Banco” o “Cooperativa de crédito”.
- Buceo en el contenedor: Una forma de “pirateo” es, simplemente, buscar en el contenedor de un banco y recuperar cualquier lista de números de teléfono de clientes. Una vez que el visher tiene la lista, puede programar los números en su sistema para un ataque más específico.
Afortunadamente para la gente legal, existen pistas que se deben tener en cuenta para detectar a un visher:
- Los miembros de una empresa legítima saben con quién se están contactando y llamarán a la persona por su nombre en una llamada telefónica. Los vishers generalmente no saben quién es y no usan su nombre.
- Si una empresa legítima sospecha actividad fraudulenta en una cuenta registrada o en alguno de sus servicios, puede contactar con la persona por teléfono o dejarle un mensaje de correo de voz (nunca por correo electrónico). Como parte de una conversación legítima con la empresa, es posible que hagan preguntas de verificación a la persona para que ésta pueda asegurarse de que están hablando con la persona adecuada. Sin embargo, no se le pedirá que proporcione verbalmente ningún número de identificación personal (PIN) o contraseña, ni que ingrese su PIN o contraseña en el teclado de su teléfono.
- Las empresas legítimas siempre se podrán verificar en los números telefónicos comerciales de la misma (no por los dejados en los mensajes de voz de ser números diferentes a los antes mencionados).
- Los vishers suelen llamar a los teléfonos fijos de sus víctimas.
Aguardo que la presente entrada haya sido interesante para el lector. Si es así, espero que éste la comente y/o la comparta, por favor.
No hay comentarios:
Publicar un comentario
Deje aquí su comentario, si no puede comentar, pruebe a hacerlo desde otro navegador de red u otro equipo.