Smishing y vishing son tipos de ataques de phishing que intentan atraer a las víctimas a través de mensajes SMS y llamadas de voz. Ambos confían en los mismos recursos emocionales empleados en las estafas de phishing tradicionales y están diseñados para llevarlo a una acción urgente. La diferencia es el método de entrega.
¿Qué es smishing?
Definición de Smishing: Smishing (phishing de SMS) es un tipo de ataque de phishing realizado mediante SMS (Short Message Services) en teléfonos celulares.
Al igual que las estafas de phishing por correo electrónico, los mensajes smishing generalmente incluyen una amenaza o un incentivo para hacer clic en un enlace o llamar a un número y entregar información confidencial.A veces pueden sugerirle que instale algún software de seguridad, que resulta ser malware.
Ejemplo de Smishing: un mensaje de texto típico de smishing podría decir algo como: “Su cuenta de ABC Bank ha sido suspendida. Para desbloquear su cuenta, toque aquí: https://bit.ly/2LPLdaU ”y el enlace proporcionado descargará malware en su teléfono. Los estafadores también son expertos en adaptarse al medio que están utilizando, por lo que puede recibir un mensaje de texto que diga: “¿Es realmente una foto tuya? https://bit.ly/2LPLdaU «y si toca ese enlace para averiguarlo, una vez más está descargando malware.
¿Qué es vishing?
Definición de Vishing: Vishing (phishing de voz) es un tipo de ataque de phishing que se realiza por teléfono y que a menudo se dirige a usuarios de servicios de Voz sobre IP (VoIP) como Skype.
Es fácil para los estafadores falsificar el identificador de llamadas, por lo que pueden parecer que están llamando desde un código de área local o incluso desde una organización que conoces. Si no contesta, le dejarán un mensaje de correo de voz pidiéndole que vuelva a llamar. A veces, este tipo de estafas empleará un servicio de contestador o incluso un centro de atención telefónica que desconoce el delito cometido.
Una vez más, el objetivo es obtener detalles de la tarjeta de crédito, fechas de nacimiento, inicio de sesión en la cuenta o, a veces, solo obtener números de teléfono de sus contactos. Si responde y devuelve la llamada, puede haber un mensaje automatizado que le solicite que entregue los datos y muchas personas no lo cuestionarán, porque ahora aceptan sistemas telefónicos automatizados como parte de la vida diaria.
¿Cómo prevenir smishing y vishing?
Hoy en día, estamos un poco más alertas con el correo electrónico porque estamos acostumbrados a recibir spam y las estafas son comunes, pero los mensajes de texto y las llamadas aún pueden parecer más legítimos para muchas personas. A medida que realizamos más de nuestras compras, actividades bancarias y otras actividades en línea a través de nuestros teléfonos, proliferan las oportunidades para los estafadores. Para evitar convertirse en una víctima, debes detenerte y pensar.
Aunque el consejo sobre cómo evitar ser enganchado por estafas de phishing se escribió teniendo en cuenta las estafas por correo electrónico, también se aplica a estas nuevas formas de phishing. En la raíz, no confiar en nadie es un buen lugar para comenzar. Nunca toque o haga clic en los enlaces de los mensajes, busque números y direcciones de sitios web e ingréselos usted mismo. No brinde ninguna información a la persona que llama a menos que esté seguro de que es legítima; siempre puede devolverle la llamada.
Es mejor prevenir que curar, así que siempre debes ser precavido. Ninguna organización te va a reprender por colgar y luego llamarlos directamente (habiendo buscado el número tú mismo) para asegurarte de que realmente son quienes dicen ser.
Actualiza tu entrenamiento de concientización
Si bien permanecer en guardia es un consejo sólido para las personas en la vida cotidiana, la realidad es que las personas en el lugar de trabajo a menudo son descuidadas. Pueden estar distraídos, bajo presión y ansiosos por continuar con su trabajo y las estafas pueden ser endiabladamente inteligentes. ¿Qué pasa si el SMS parece provenir del CEO, o la llamada parece ser de alguien en Recursos Humanos? Puede fortalecer a sus empleados y aumentar sus defensas con la capacitación adecuada y políticas claras.
Toda empresa debe tener algún tipo de programa de capacitación de concientización sobre seguridad regular y obligatorio. Puede incluir las mejores prácticas para la seguridad general, pero también definir políticas, como a quién contactar en caso de algo sospechoso, o reglas sobre cómo se manejarán ciertas comunicaciones sensibles, que hacen que los intentos de engaño sean mucho más fáciles de detectar.
Si sufre algún tipo de ataque de phishing, realice cambios para asegurarse de que nunca vuelva a suceder; también debe informar a su entrenamiento de seguridad.
La mayoría de los ataques smishing y vishing no se denuncian y esto juega en manos de los cibercriminales. Si bien puede ser lo suficientemente inteligente como para ignorar los últimos SMS o llamadas sospechosos, tal vez sus empleados en Contabilidad o en Recursos Humanos serán víctimas. Si tiene un sistema para que las personas denuncien estos intentos de ataque, y posiblemente incluso una pequeña recompensa por hacerlo, le ofrece la oportunidad de advertir a los demás.
A medida que el phishing continúa evolucionando y encuentra nuevos vectores de ataque, debemos estar atentos y actualizar continuamente nuestras estrategias para combatirlo.
[isc_list]
