Inicio > Fraude > Vishing y Smishing

Vishing y Smishing

Conceptos:

Vishing: Esquema de robo de identidad parecido al phishing, solo que en esta modalidad se utiliza la voz (por ello la V de Voice en la palabra)

Smishing: Esquema de robo de identidad parecido al phishing, solo que en esta modalidad se utilizan los mensajes cortos de texto vía celular SMS.

El modus operandi es el siguiente, el cliente de la entidad financiera (banco, mutual, cooperativa, etc), recibe una llamada (en el caso de vishing) o un mensaje de texto en su celular (en el caso de smishing), pidiendo se contacte a u numero especifico para regularizar los datos que se tienen registrados.

Si el cliente llama o mensajea al numero entregado con intenciones fraudulentas, una maquina contestadora, luego de identificarse como un servicio de voz o SMS,  le pedirá ingrese sus datos de acceso ya sea a banca por internet o banca móvil.

Listo, el delincuente tiene los datos con los que puede realizar transferencias entre cuentas y vaciar la cuenta del cliente.

Tendencias y enfoques de contención de ataques:

Lo complicado en este caso, es que algunos bancos, realmente utilizan contestadores que llaman para promociones, o envían SMS’s instándote a llamar para algún tema (en un intento precisamente de evitar el pishing).

En todo caso, las recomendaciones son las habituales para este tipo de cosas:

  • Desconfía en todo caso si en el correo te piden alguna información, o si el mensaje no es claro.
  • Colgemos y llamemos nosotros. Utilizar siempre números de teléfono de nuestra confianza, los habituales en nuestra relación con la compañía. Si el banco dispone de un teléfono de atención, llamemos nosotros siempre a ese número y confirmemos la llamada recibida. En la web del banco o de la compañía (por supuesto, la web que conocemos, no la que ponga el correo) suele aparecer un número de teléfono de atención al cliente.

En estos casos la educación del cliente sigue siendo el mejor remedio. Sin embargo nuestra responsabilidad como profesionales de seguridad esta en la adecuada protección de las bases de datos de clientes, pues estos ataques son mucho menos efectivos si son genéricos.

Alvaro Cuadros

Certified Information Systems  Security Professional

Anuncios
  1. Aún no hay comentarios.
  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: