 | Esta conocida técnica busca apoderarse de datos de usuario para acceder a cuentas de bancas on-line mediante el clásico método de duplicación de sitios Web, correspondientes a entidades financieras, pero en la actualidad, dicha técnica se aplica en medios telefónicos y SMS (servicio de mensajes cortos) en teléfonos móviles. |
| Luego de creado el sitio fraudulento, se procede al envío masivo e indiscriminado de correos spam, los cuales emplean la persuasiva ingeniería social para atraer al usuario a dicho sitio y convencerlo de ingresar sus datos personales. Los motivos presentados ante el usuario para ingresar al supuesto sitio de la firma financiera pueden variar: la pérdida del capital almacenado, consiguiendo así la desesperación de la víctima y su rápida participación; la actualización de la base de datos del banco o la pérdida de los datos de cientos de sus usuarios por parte de la entidad, por lo que requiere la información nuevamente. Cualquiera sea el motivo, todas las solicitudes derivan en la petición de los datos confidenciales del individuo. |
Actualmente, el phishing se escurre por otros medios como los SMS y llamados telefónicos, pero la temática es la misma: engañar a la víctima para que deposite ingenuamente sus datos.
Vía SMS:
Ejemplo 1_ El usuario recibe un mensaje de texto en el que se le informa que su banco cargó en su cuenta una compra correspondiente a una determinada suma de dinero. Adicionalmente, se incluye un número telefónico para mayor información. Cuando se acude al número en cuestión, una grabación nos espera del otro lado de la línea y solicita los datos de usuario para confirmar el acceso. Transcurridas unas horas… la cuenta bancaria se vacía.
Ejemplo 2_ El usuario recibe un SMS en el que se le agradece por suscribirse a un servicio inexistente y el cual le extraerá 1 dólar diario de su cuenta bancaria como parte del sistema de dicho servicio. En el mensaje se incluye una URL que el usuario podrá visitar para darse de baja y no suministrar un dólar diario. Una vez en el sitio Web, se solicitan los datos financieros para procesar la cancelación de la suscripción y luego de ingresada dicha información, los responsables del fraude proceden a vaciar la cuenta bancaria.
Vía telefónica:
Ejemplo 1_ Los primeros casos de phishing telefónico se registraron en Australia y Estados Unidos y consiste en enviar correos electrónicos a cientos de usuarios solicitándoles comunicarse con un número telefónico de manera gratuita, el mismo se encontraba adjunto al mensaje. Una vez establecida la comunicación, una grabación atendía al usuario y le pedía ingresar su número de tarjeta digitándolo con el teclado del teléfono. El destino de esta información es el mismo que implanta el phishing tradicional.
Ejemplo 2_ Cientos de personas reciben en su contestador automático una grabación que, empleando la ingeniería social, intenta convencer al usuario de establecer comunicación telefónica con un número brindado en este mismo mensaje. Los motivos empleados para intentar convencer a las potenciales víctimas no difieren a los utilizados en el phishing clásico, buscando la atención inmediata y una participación instantánea.
Ed Skoudis, consultor de la empresa Intelguardians, fue uno de los destinatarios de dichos mensajes y posterior a la recepción, comunicaba lo siguiente, “La voz IP es fácil de usar, está a su disposición y les funciona. Hay programas gratuitos para crear centralitas que reciben las llamadas como si fuesen empresas, con voces grabadas que parecen profesionales. Además, es barato. Usando estas tecnologías, pueden tener una presencia telefónica virtual desde cualquier país del mundo, usando un número local y redireccionando las llamadas, para simular ser una gran institución financiera”.
Más Información:
|
Noticias 
