La evolución del phishing: bienvenido "Vishing"

La ciberseguridad ha sido uno de los temas de estas semanas, tras el ataque sufrido por el bancoestado, un panorama que ha dejado claro que los riesgos no son un juego y que afectan por igual a grandes organizaciones o a pequeños negocios.

El correo electrónico aún es la principal fuente de ingreso de amenazas a las organizaciones y de las múltiples caras del phishing, en estos últimos tiempos, se está observando un importante repunte en el Vishing. Es que generalmente, las noticias de actualidad como el covid-19, el retiro del 10%, el ataque al banco estado o las fiestas patrias, es el anzuelo perfecto para captar nuevas víctimas.

El análisis de las filtraciones de datos muestra que la mayoría de los ataques cibernéticos de hoy en día son anticipados por campañas de phishing. El ataque de Twitter más reciente es solo uno de los muchos ejemplos. Esto no es sorprendente, ya que la forma más fácil para que un actor de amenazas obtenga acceso a datos confidenciales es comprometer la identidad y las credenciales del usuario final. Las cosas empeoran si una identidad robada pertenece a un usuario privilegiado, que tiene un acceso aún más amplio y, por lo tanto, proporciona al intruso “las llaves del reino”. Las empresas deben mantenerse al tanto de las TTP emergentes. Un buen ejemplo es vishing, que es una nueva versión de una vieja estafa. 

¿Qué es el vishing?

Vishing es una forma de fraude telefónico criminal, que combina llamadas telefónicas individuales con sitios de phishing personalizados. El objetivo del actor de la amenaza es persuadir al objetivo para que revele sus credenciales por teléfono o para que las ingrese manualmente en un sitio web creado por el adversario cibernético que se hace pasar por el correo electrónico corporativo de la empresa o el portal de red privada virtual (VPN). 

El aumento en el uso de este TTP es impulsado por la pandemia COVID-19, que ha resultado en un cambio masivo para trabajar desde casa, el uso generalizado de VPN corporativas y la eliminación de la verificación en persona.

Técnicas más empleadas en el vishing

Para que el «voice phishing» funcione y tenga éxito, los ciberdelincuentes parten de varias situaciones, siendo una de ellas la urgencia. Es decir, crean todo un escenario con mucha presión, en el que se genera mucha adrenalina, y presionan a las víctimas con que si no actúan ya pueden perder todo o hacer que la organización falle estrepitosamente.

Además de imitar la voz de la persona principal, también se imitan ruidos de fondo como sonidos de oficina, teclados, impresoras y todo un sin fin de efectos reales. Incluso se puede falsificar la voz de otros compañeros de trabajo que se oye en segundo plano. Sin embargo, todo se trata de un montaje para robar información.

Otra técnica se basa en cambiar la localización de la llamada, para hacer simular que se origina en una empresa o localidad real. A esta modalidad de estafa se le conoce como «spoofing». En el mercado existen distintos softwares como SpoofCard o Burnes, que permiten cambiar la locación de la llamada y que los identificadores de telefonía señalen que se está produciendo desde una determinada ubicación o empresa.

Prevención

Para prevenir este tipo de engaños, lo mejor siempre es:

• No dar información delicada por teléfono.
• No devolver llamadas telefónicas extrañas.
• Si la conversación se torna sospechosa y extraña, lo mejor es colgar inmediatamente.
• Comunica a las autoridades correspondientes lo sucedido y avisa a otros compañeros para que no caigan en el juego de la usurpación de identidades por voz.

Oficina Federal de Investigaciones (FBI)

La Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitieron un aviso de seguridad conjunto, advirtiendo sobre una ola en curso de ataques vishing dirigidos al sector privado.

Panorama

Actualmente todos los empleados han utilizado las videollamadas para trabajar y hablar con familiares, el distanciamiento se ha convertido también en un aumento exponencial en llamadas telefónicas (sin vídeo) que han sustituido a las visitas de familiares en casa o a las reuniones con compañeros de trabajo dentro de la oficina. 

Es en este contexto que el aumento de los intentos de estafas por medio de phishin o Vishing utilizando los temas de contingencia, durante este mes de septiembre, como lo son “El ataque al Banco Estado” y “Las fiestas patrias”, ya son una realidad.

Por ello, en base a la aparición de nuevos TTP utilizados por los actores de amenazas como por ejemplo el Vishing, las organizaciones deben permanecer atentas y adaptar sus estrategias en respuesta a estos cambios.

El Centro de Ciberinteligencia de Entel recomienda lo siguiente:

• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos o llamadas alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingrese a los sitios oficiales de la institución de la cual es cliente, realice todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico, alguna llamada o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.