Vishing es un método de fraude en Internet. A diferencia del phishing, no utiliza correos electrónicos ni enlaces para obtener información sensible como contraseñas o datos personales de la víctima, sino que utiliza la conversación personal durante una llamada telefónica. En el aspecto técnico, a menudo se utilizan llamadas automáticas de voz sobre IP con números de remitente falsificados.
La palabra «Vishing» se compone de las palabras en inglés «Voice», «Password » y «Fishing». Algunas fuentes mencionan «Voice over IP (VoIP)» y «Phishing» como parte de Vishing. Es un método de fraude por Internet basado en una conversación telefónica personal entre el atacante y la víctima.
El objetivo es obtener acceso a información confidencial como datos de inicio de sesión, contraseñas, datos de cuenta u otros datos personales de la víctima para que puedan utilizarse para actividades fraudulentas. Sin embargo, a diferencia del phishing, el contacto no se realiza por correo electrónico o un enlace de Internet, sino a través de una llamada telefónica. Las víctimas pueden ser víctimas tanto de particulares como de empleados o ejecutivos de una empresa.
Durante la llamada, se solicita a la parte llamada que proporcione datos sensibles o que lleve a cabo transacciones. Los atacantes utilizan la táctica sorpresa, invocan su autoridad o acumulan presión subliminal. En el aspecto técnico, a menudo se utiliza la tecnología VoIP. En este caso, el contacto se realiza a través de llamadas VoIP automatizadas con un número de remitente falsificado.
El proceso y los diferentes métodos del Vishing
Vishing usa una combinación de manipulación técnica y manipulación emocional. La tecnología VoIP es muy adecuada para llamar automáticamente a un gran número de números de teléfono a través de un marcador a bajo costo. El atacante solo interviene en la llamada telefónica cuando alguien responde en el otro extremo de la línea. Los números del remitente se pueden manipular con relativamente poco esfuerzo de tal manera que se oculta el origen real de la llamada.
En algunos casos, las víctimas reciben llamadas específicas después de la investigación, por ejemplo, en las redes sociales. La información recopilada de antemano se puede utilizar para hacer que la llamada parezca más auténtica.
Otra variante de vishing es el envío masivo de correos electrónicos con un número de teléfono o la visualización de un número de teléfono en las páginas de Internet. Se pide a la víctima que llame al número de teléfono proporcionado. Independientemente de si la víctima llama o es llamada, el defraudador pretende ser un empleado del banco propio, un empleado de apoyo de una empresa de software o un representante de una competencia.
El atacante llama la atención sobre un problema con los datos bancarios, quiere brindar soporte para un problema técnico o informa sobre una ganancia. Se le pide a la víctima que proporcione detalles de la cuenta, que instale software en la computadora, que proporcione datos confidenciales o que transfiera una tarifa para confirmar una victoria. Emocionalmente, el atacante utiliza métodos como la táctica sorpresa durante la llamada telefónica o aumenta la presión a través de la urgencia de un problema.
Medidas de protección contra vishing
Para protegerte del vishing, son posibles las siguientes medidas:
- sana desconfianza de las llamadas telefónicas inesperadas
- volver a llamar a la persona que llama usando un número de teléfono que tu mismo haya investigado
- nunca proporciones datos confidenciales como contraseñas o detalles de la cuenta en el teléfono