Al igual que el phishing, el vishing tiene como objetivo el robo de información sensible. A diferencia del primero, utiliza la metodología VoIP (voz sobre IP) para llevar a cabo su tarea. En este caso, se ha descubierto una campaña que afectaba a entidades bancarias de Estados Unidos, robando una gran cantidad de credenciales bancarias por día.
Investigadores de PhishLabs han detectado una campaña de vishing que afectaba usuarios de una entidad financiera de Estados Unidos. Se estima que los cibercriminales robaban información de alrededor de 250 tarjetas bancarias por día. Un análisis más riguroso comprobó que uno de los teléfonos involucrados estaba vinculado con casos de vishing desde Octubre de 2013.
El vishing consiste en el robo de credenciales bancarias utilizando VoIP. En un caso típico, un cibercriminal utilizará llamadas telefónicas o mensajes SMS para hacerse pasar por una entidad bancaria u otra institución importante y llevar a cabo ingeniería social para obtener la información sensible. Luego, esa información podrá ser vendida o utilizada para llevar a cabo acciones fraudulentas.
En este caso puntual, la operación se llevaba a cabo gracias a gateways SMS, encargados de enviar SMS a las víctimas. El mensaje supuestamente los alertaba de la necesidad de reactivación de su tarjeta de crédito, acción que debía llevarse a cabo llamando a un número telefónico. Al efectuar la llamada, los usuarios bancarios ingresarán los datos en un IVR (sistema de respuesta de voz interactiva). Así, los cibercriminales detrás de la campaña tenían en su poder la información robada para hacer con ella lo que desearan.
Para llevar a cabo este tipo de ataques, el atacante debe contar con algún mecanismo para enviar spam, y dirigirlo hacia el Gateway SMS para que lo envíe a los teléfonos de las víctimas. Por otro lado, la víctima que caiga en la trampa llamará hacia un servidor VoIP, que a su vez interactuará con un servidor con software IVR.
Los casos de vishing son costosos para las entidades bancarias por muchos aspectos. Mientras que pueden desembocar en pérdidas monetarias considerables también presentan otras consecuencias no tan tangibles, como afectar el renombre de la entidad financiera o colapsar los servicios de atención al cliente. Por otro lado, las medidas de protección se deben implementar mayoritariamente en las prestadoras de telefonía. De todos modos, el usuario se encuentra provisto de unas de las herramientas más importantes para estar protegido: su criterio. Si la propuesta parece dudosa, es necesario manejarse con cuidado y en todo caso contactarse directamente con el número de atención telefónica oficial de cada entidad.