La majoria de persones han sentit parlar del phishing, però el vishing és un tipus d’atac diferent que també forma part de la mateixa família i que comparteix els mateixos objectius:
Els atacants que fan servir vishing utilitzen números de telèfon falsos, programes de modificació de veu, missatges de text i tècniques de manipulació social per enganyar els usuaris i aconseguir informació sensible.
En general, el vishing es basa en l’ús de la veu per enganyar les víctimes, a diferència del smishing, que utilitza missatges de text (SMS) i sovint es combina amb trucades telefòniques segons les tècniques de l’atacant.
Quina és la diferència entre vishing i phishing?
El phishing i el vishing tenen el mateix objectiu: obtenir dades sensibles dels usuaris que es poden utilitzar per a robatori d’identitat, guany econòmic o control de comptes.
La principal diferència entre el phishing i el vishing és el mitjà que s’utilitza per atacar les víctimes potencials.
Mentre que el phishing és principalment un atac basat en correus electrònics, el vishing utilitza la veu, habitualment mitjançant trucades al número de telèfon mòbil de l’usuari. Els atacants de phishing envien un gran nombre de correus electrònics a una llista de possibles objectius. Si l’atac es dirigeix a una organització específica, només s’utilitzarà una llista de correus electrònics d’usuaris amb privilegis elevats d’aquesta organització.
Els phishers sovint utilitzen missatges de correu electrònic persuasius per enganyar els usuaris perquè responguin amb informació sensible o facin clic en un enllaç que conté programari maliciós. Alguns atacs de phishing també inclouen adjunts maliciosos. Els atacants de vishing poden enviar missatges de text a les víctimes potencials des d’una llarga llista de números de telèfon, demanant que facin una trucada al número de l’atacant.
Una altra tècnica de vishing és crear missatges automatitzats i fer trucades automàtiques massives a les víctimes. Es fan servir veus generades per ordinador per eliminar accents i guanyar-se la confiança de l’usuari. El missatge de veu pot enganyar l’usuari perquè es connecti amb un agent humà que continua amb l’estafa o bé demanar-li que obri un lloc web controlat per l’atacant.
Tot i que hi ha diferències menors entre el vishing i el phishing, l’objectiu final sempre és el mateix: obtenir credencials, dades personals identificables i informació financera. Els usuaris que estan familiaritzats amb el phishing poden no estar-ho amb el vishing, cosa que augmenta les possibilitats d’èxit dels atacants.
Quina és la diferència entre vishing i smishing?
El smishing és un atac de phishing estretament relacionat que també utilitza números de telèfon mòbil, però en lloc de missatges de veu, utilitza missatges de text per enganyar els usuaris. Aquests missatges poden contenir un número de telèfon perquè l’usuari contacti o un enllaç a un lloc web controlat per l’atacant que allotja programari maliciós o una pàgina de phishing. El smishing es basa principalment en la confiança que els usuaris tenen en els missatges de text. Aquests missatges solen prometre premis, cupons o amenacen de cancel·lar comptes si l’usuari no autentica i restableix les credencials. Com que els missatges de text solen ser més informals, les víctimes poden confiar més en un SMS que en un correu electrònic sospitós.
Hi ha una gran superposició entre el smishing i el vishing. Un atac de vishing pot començar amb un missatge de text que conté un número de telèfon, però també pot incloure missatges automatitzats i trucades robòtiques. El smishing pot incloure un número de telèfon en un missatge de text, però molts atacs es centren principalment en enganyar els usuaris perquè facin clic en enllaços i obrin una pàgina web maliciosa.
Exemple d’atac de vishing
Els estafadors utilitzen tàctiques de por per convèncer els usuaris perquè facin una trucada. En aquest cas, l’atacant es fa passar per un agent de l’Agència Tributària (IRS als Estats Units).
La majoria d’usuaris tenen por de les multes i penalitzacions de l’Agència Tributària, de manera que aquells que truquen al número proporcionat seran informats que deuen diners. L’atacant convenç l’usuari perquè carregui els diners al seu compte o els transfereixi directament des del seu compte bancari. Aquest tipus d’estafes són molt comuns als Estats Units. A més, és important tenir en compte que els números mostrats en l’identificador de trucades solen ser números curts de 6 dígits, que no són vàlids com a números de contacte. Aquests números s’utilitzen sovint per les operadores de telecomunicacions per enviar missatges als usuaris, però també poden indicar que el missatge prové d’un API de marcatge automàtic o d’un compte de correu electrònic. Si un missatge prové d’un d’aquests números, cal estar sempre suspicaç i considerar que podria ser una estafa de smishing o vishing.
Tot i això, no tots els missatges amb un número no vàlid a l’identificador de trucades són maliciosos. Aquests números també s’utilitzen en les sol·licituds d’autenticació multifactorial quan s’envia un codi PIN a l’usuari per completar el procés d’autenticació. Els atacants que utilitzen enginyeria social poden intentar enganyar els usuaris perquè enviïn aquest codi PIN, combinant així vishing, phishing i smishing en atacs a gran escala contra comptes d’alt privilegi.
Entre els atacants que utilitzen trucades telefòniques, s’ha fet més popular l’ús de programes informàtics per modificar veus i accents geogràfics. Fins i tot poden utilitzar veus d’un altre gènere per llançar un atac. Sovint, aquestes veus són clarament generades per ordinador i fàcils d’identificar com a intents de vishing. Tot i això, sempre és important ser conscients de les trucades telefòniques que sol·liciten informació privada.
Com prevenir el vishing
La millor manera d’evitar ser víctima de vishing és ignorar els missatges sospitosos. Les operadores de telecomunicacions tenen sistemes de detecció de fraus que mostren avisos de “Risc de Frau” a l’identificador de trucades quan es rep una trucada maliciosa coneguda. Tanmateix, no es pot confiar totalment en aquestes operadores per interceptar totes les trucades malicioses. Els usuaris poden prendre les seves pròpies precaucions per evitar convertir-se en víctimes.
Evita l’intercanvi de SIM i l’enginyeria social: L’intercanvi de SIM implica enganyar un representant de telecomunicacions perquè doni a l’atacant accés al teu número de telèfon. Si reps un missatge estrany sobre un codi PIN d’autenticació multifactorial o canvis al teu compte de mòbil, sempre contacta amb la teva operadora per assegurar-te que no has estat víctima d’un intercanvi de SIM o segrest del compte.
Alguns passos per evitar ser víctima del vishing i atacs relacionats inclouen:
- Estar conscient del vishing: En organitzacions, educar els usuaris ajuda a identificar atacs de vishing perquè puguin ignorar-los i informar-ne. A nivell individual, mai donis informació privada a algú que et contacti per missatge de text o trucada de veu. Una institució legítima et proporcionarà un número principal per verificar que es tracta d’una trucada oficial.
- Identificar tàctiques de pressió i por: Els estafadors pressionaran les víctimes perquè enviïn diners immediatament, ja sigui amb targetes de crèdit, transferències bancàries o fins i tot targetes de regal. Per exemple, una manera comuna d’enganyar les víctimes amb l’estafa de l’IRS és amenaçar amb presó si no s’envien els diners immediatament.
- Ignorar trucades de números desconeguts: Si no reconeixes el número, deixa que la trucada vagi a la bústia de veu.
Ser escèptic amb qualsevol trucada que demani informació sensible: Mai proporcionis informació sensible per telèfon, independentment d’on diguin treballar els interlocutors.
Seguint aquestes pautes, pots protegir-te millor contra els atacs de vishing, phishing i smishing.
