| Asunto: | VSantivirus No 2667 Año 11, lunes 17 de marzo de 2008 | | Fecha: | Domingo, 16 de Marzo, 2008 21:14:02 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No 2667 Año 11, lunes 17 de marzo de 2008
_____________________________________________________________
Anatomía de un vishing, estafas vía voz
_____________________________________________________________
http://www.vsantivirus.com/17-03-08.htm
Anatomía de un vishing, estafas vía voz
Por Angela Ruiz
angela@videosoft.net.uy
El término "vishing" significa "phishing de voz", o sea una
clase de estafas realizadas a partir de llamadas telefónicas.
Un interesante artículo en el blog de seguridad del
Washington Post, reporta algunos casos recientes, que por
supuesto, aún podrían estar ocurriendo.
El phishing en telefonía celular no es nuevo, aunque tal vez
no se ha hablado demasiado de ello, tal vez porque la
cantidad de casos reportados han sido pocos, y generalmente
circunscriptos a determinadas áreas geográficas. Sin embargo,
la gente debería al menos estar más enterada de que estas
cosas ocurren.
Desde hace mucho se conocen scams (engaños) que se valen de
la voz sobre IP para cometer estafas (o sea "vishing"). Otra
modalidad similar que utiliza mensajes SMS para captar la
atención de la víctima, es denominada "smishing".
En los casos concretos a los que se refiere Brian Krebs del
Washington Post, las estafas son una combinación de ambos
métodos.
El usuario recibe un mensaje de texto no solicitado, donde se
le dan instrucciones para que llame a un determinado número
telefónico. Cuando se hace la llamada, un sistema de voz
automatizado, le solicita un número de tarjeta de crédito y
su PIN.
Según el reporte, los estafadores no solo se valen de la
inocencia de sus víctimas, sino también de diferentes
agujeros de seguridad en tecnologías de Internet que
aparentemente nada tienen que ver entre si. Esto demuestra un
gran talento para sacar provecho de todo lo que sirva a la
hora de cometer sus robos, arriesgando lo menos posible su
propio pellejo.
El escenario descrito por Krebs, es una versión mucho más
sofisticada de otras que se han visto en el pasado. Los
delincuentes se tomaron bastantes molestias para crear
escenarios los más creíbles posibles, desde donde llevar a
cabo sus ataques.
Por ejemplo, su sistema envía mensajes de texto solo a los
números de teléfonos celulares pertenecientes a las mismas
zonas donde la institución financiera local atacada reside.
Básicamente, los mensajes avisan de "actividades sospechosas"
que obligaron a cerrar la cuenta bancaria de la víctima.
Llamando a un número determinado, dicha cuenta será
reactivada.
Aquellos que llaman, son atendidos por una casilla de voz
automática (el clásico mensaje "Bienvenido a EMPRESA X. Pulse
1 para TAL COSA, pulse 2 PARA TAL OTRA, etc.) Allí se le
solicita número de tarjeta de crédito, fecha de expiración y
PIN para verificar esa información.
Los sistemas de correo de voz que participan en este tipo de
fraudes, son por lo general servicios gratuitos, de bajo
costo o redes de telefonía basadas en Internet, lo que hace
difícil de ser rastreados y eliminados.
El reporte, menciona como afectadas a dos instituciones de
crédito (Motorola Employees Credit Union y Boulder Valley
Credit Union), y un banco (Bank of the Cascades).
Los delincuentes se valieron de una vulnerabilidad antigua
para comprometer un sitio web, instalar scripts conteniendo
millones de proveedores y números telefónicos, y las
credenciales necesarias para enviar correo electrónico a
cientos de servidores de correo, previamente comprometidos
mediante el robo de cuentas utilizadas para recibir los
reporte de "abuso".
Los timadores fueron capaces de utilizar estas cuentas,
porque los administradores de los servidores habían fallado
al no crear contraseñas fuertes para las mismas.
Por ejemplo, una de las cuentas utilizadas en los ataques,
era "abuse @ gov. br", la cuenta destinada a denunciar spam
en el portal del gobierno brasileño.
Otra cuenta utilizada en el atentado, pertenecía a una
empresa canadiense de cerveza. La contraseña utilizada por
los administradores era "abuse", aunque parezca chiste.
Lo único que nos queda agregar como comentario a esta
noticia, es que la mayoría de estos casos, podrían ser
evitados si aplicamos a toda llamada telefónica o mensaje de
texto que nos pida revelar información personal, o llamar a
teléfonos desconocidos, la misma filosofía que debemos tomar
con los correos electrónicos no solicitados. O sea,
ignorarlos.
Si el banco o institución financiera desea contactarse con
usted por alguna razón urgente, seguramente utilizará métodos
más seguros, y nunca le va a solicitar esa clase de datos de
forma directa.
Y obviamente, si administra un sitio web o servidor de
correo, debería asegurarse de tener al día los últimos
parches de seguridad, y de no utilizar contraseñas débiles o
idénticas para todos sus servicios.
* Fuente:
The Anatomy of a Vishing Scam
http://tinyurl.com/3byayl
* Relacionados:
Skype Phishing, nuevas técnicas de robo de identidad
http://www.vsantivirus.com/phishing-skype-131007.htm
Tendencias del malware para el 2007
http://www.vsantivirus.com/tendencias-malware-2007.htm
Aumentan los ataques de smishing a celulares
http://www.vsantivirus.com/23-08-07.htm
El "phishing" se extiende al teléfono (Mercè Molist)
http://www.vsantivirus.com/mm-phishing-telefonico.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Mantenga actualizado su programa antivirus. De poco vale
tener un antivirus si no lo mantenemos actualizado con los
upgrades, updates o add-ons correspondientes. De todos modos,
hoy en día las actualizaciones de la mayoría de los
fabricantes son diarias y automáticas. Si tiene un producto
que no se actualiza automáticamente, piense seriamente en
cambiarlo.
2) No abra ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Tampoco haga clic en enlaces sugeridos en
aquellos correos o mensajes instantáneos que no solicitó.
Ante cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Manténgase informado de cómo operan los virus, y de las
novedades sobre éstos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No descargue nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceda como con los
archivos adjuntos. Cópielos a una carpeta y revíselos con su
antivirus debidamente actualizado, antes de optar por
ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.eset.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No 2667 Año 11, lunes 17 de marzo de 2008
|
VSantivirus No 266
Responder a este mensaje
