Skip to content

Reverse Vishing (Vishing Inverso)

Publicado por Sergio Hernando el 9 septiembre 2008

Buenas,

Los amigos de lo ajeno demuestran una vez más que la imaginación de estos sujetos no tiene límite, y que cuando hay dinero por medio, cualquier idea es buena.

Acabo de leer en Websense que se está dando una alta actividad focalizada en China de lo que ellos han venido a llamar Reverse Vishing, una técnica que como su propio nombre indica, implica la ejecución de intentos de vishing pero en el sentido contrario al normal: en vez de automatizar llamadas fraudulentas con dirección a las víctimas potenciales, se tienden trampas para lograr que los clientes sean los que contacten con los números de teléfono fraudulentos.

En un ataque vishing tradicional se despliega una infraestructura que realiza war dialing contra cantidades ingentes de números de teléfono. Muchas de esas llamadas serán respondidas por las víctimas potenciales, a las cuales una grabación automática invita a, generalmente, actuar para resolver un presunto compromiso de seguridad de su/s tarjeta/s de crédito. Para ello, deben proporcionar datos para la autenticación y así poder demostrar que son los legítimos propietarios de los plásticos, y es frecuente que los atacantes obtengan así números sensibles como el CVV y el PIN de las tarjetas.

En este caso, las técnicas de posicionamiento en buscadores permiten a los atacantes asociar números fraudulentos a servicios legítimos, como por ejemplo, el soporte de 24 horas que puede dar una entidad a su clientela de tarjetas. Si soy cliente de la entidad X, y busco en Internet "teléfono tarjetas X" o cosas parecidas, es posible que obtenga un número falso, posicionado intencionadamente por los atacantes, al que me dirigiré. Allí, me atenderá generalmente un mecanismo automático que me preguntará por mis datos de tarjeta, incluyendo el PIN, para validar que soy cliente de la entidad X, y en ese momento, mi tarjeta quedará comprometida. Acto seguido, el sistema cuelga, aduciendo problemas técnicos, lo que hará que muchos usuarios no sospechen que desde ese momento su plástico está en manos de los atacantes. He aquí un ejemplo de posicionamiento de números fraudulentos:

reverse vishing

Un ejemplo de números de soporte falsos posicionados en Google

Sin duda se trata de un ataque es ingenioso, pero quizás esté acotado:

* Si tengo una sospecha de compromiso, es decir, no he perdido mi tarjeta, lo normal es buscar en ella el número de atención, que suele venir en el reverso de la misma. No es una actitud normal buscar en Internet el teléfono de soporte en este caso.

* Si hemos perdido el plástico, o nos lo han robado, se incrementa la posibilidad de que, al carecer del teléfono del reverso, emplee un buscador para localizar mi servicio de soporte, si bien parece que es más habitual tratar de localizar el número en la página oficial de mi entidad, en la documentación de la tarjeta o en el reverso de otras tarjetas, si las tuviéramos.

No obstante, no conviene descartar esta posibilidad. Es por esto que lo más sensato es recurrir a los números de soporte que figuran en la documentación que nos remiten junto a la tarjeta, y en caso de carecer de ella, exponer el caso en una oficina. Si estamos fuera de horario de oficina, si no recordamos el teléfono primario de nuestra entidad y hay que ingeniárselas para obtener los números de soporte, es lícito buscarlos en Internet, en cuyo caso, es conveniente extremar las precaución a la hora de escoger la fuente, desconfiando de cualquier número publicado que no pertenezca claramente a la entidad emisora del plástico.

Un saludo,

Be Sociable, Share!

Categoría/s → Seguridad

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS