Vishing, estafas vía voz

El phishing en telefonía móvil no es nuevo, aunque tal vez no se ha hablado demasiado de ello, tal vez porque la cantidad de casos reportados han sido pocos, y generalmente circunscriptos a determinadas áreas geográficas. Sin embargo, la gente debería al menos estar más enterada de que estas cosas ocurren.

Desde hace mucho se conocen scams (engaños) que se valen de la voz sobre IP para cometer estafas (o sea "vishing"). Otra modalidad similar que utiliza mensajes SMS para captar la atención de la víctima, es denominada "smishing".

En los casos concretos a los que se refiere Brian Krebs del Washington Post, las estafas son una combinación de ambos métodos.

El usuario recibe un mensaje de texto no solicitado, donde se le dan instrucciones para que llame a un determinado número telefónico. Cuando se hace la llamada, un sistema de voz automatizado, le solicita un número de tarjeta de crédito y su PIN.

Según el reporte, los estafadores no solo se valen de la inocencia de sus víctimas, sino también de diferentes agujeros de seguridad en tecnologías de Internet que aparentemente nada tienen que ver entre si. Esto demuestra un gran talento para sacar provecho de todo lo que sirva a la hora de cometer sus robos, arriesgando lo menos posible su propio pellejo.

El escenario descrito por Krebs, es una versión mucho más sofisticada de otras que se han visto en el pasado. Los delincuentes se tomaron bastantes molestias para crear escenarios los más creíbles posibles, desde donde llevar a cabo sus ataques.

Por ejemplo, su sistema envía mensajes de texto solo a los números de teléfonos móviles pertenecientes a las mismas zonas donde la institución financiera local atacada reside.

Básicamente, los mensajes avisan de "actividades sospechosas" que obligaron a cerrar la cuenta bancaria de la víctima. Llamando a un número determinado, dicha cuenta será reactivada.

Aquellos que llaman, son atendidos por una casilla de voz automática (el clásico mensaje "Bienvenido a EMPRESA X. Pulse 1 para TAL COSA, pulse 2 PARA TAL OTRA, etc.) Allí se le solicita número de tarjeta de crédito, fecha de expiración y PIN para verificar esa información.

Los sistemas de correo de voz que participan en este tipo de fraudes, son por lo general servicios gratuitos, de bajo costo o redes de telefonía basadas en Internet, lo que hace difícil de ser rastreados y eliminados.

El reporte, menciona como afectadas a dos instituciones de crédito (Motorola Employees Credit Union y Boulder Valley Credit Union), y un banco (Bank of the Cascades).

Los delincuentes se valieron de una vulnerabilidad antigua para comprometer un sitio web, instalar scripts conteniendo millones de proveedores y números telefónicos, y las credenciales necesarias para enviar correo electrónico a cientos de servidores de correo, previamente comprometidos mediante el robo de cuentas utilizadas para recibir los reporte de "abuso".

Los timadores fueron capaces de utilizar estas cuentas, porque los administradores de los servidores habían fallado al no crear contraseñas fuertes para las mismas.

Por ejemplo, una de las cuentas utilizadas en los ataques, era "abuse @ gov. br", la cuenta destinada a denunciar spam en el portal del gobierno brasileño.

Otra cuenta utilizada en el atentado, pertenecía a una empresa canadiense de cerveza. La contraseña utilizada por los administradores era "abuse", aunque parezca chiste.

Lo único que nos queda agregar como comentario a esta noticia, es que la mayoría de estos casos, podrían ser evitados si aplicamos a toda llamada telefónica o mensaje de texto que nos pida revelar información personal, o llamar a teléfonos desconocidos, la misma filosofía que debemos tomar con los correos electrónicos no solicitados. O sea, ignorarlos.

Si el banco o institución financiera desea contactarse con usted por alguna razón urgente, seguramente utilizará métodos más seguros, y nunca le va a solicitar esa clase de datos de forma directa.

Y obviamente, si administra un sitio web o servidor de correo, debería asegurarse de tener al día los últimos parches de seguridad, y de no utilizar contraseñas débiles o idénticas para todos sus servicios.