Vhishing…[V]oice-[Phishing].

Hoy escuchaba un poco de música diferente a la que acostumbro escuchar…un tema llamado “My Way” compuesta por Frank Sinatra, pero esta versión es ejecutada por su autor con una espectacular colaboración de Luciano Pavarotti. Mientras tanto leía un poco sobre Comunicaciones integradas…y sus problemas de seguridad.

Entonces lo vi. Ahí metida entre una palabra muy conocida, Phishing, una “V” que cambia completamente el significado de lo que conocemos.
“Vhishing” pensé…”¿se abran equivocado?”. Tengo que confesarlo. No soy más que un aprendiz de la Seguridad de la Información y no hace mucho estoy interactuando con la Telefonía IP, por eso no sabia de este tipo de ataques.
¿De que se trata? bueno hay dos formas posibles de ataque.

La primera, de una u otra forma te indican que debes llamar a un numero telefónico específico. La segunda te llaman a tu numero telefónico.
Por obvias razones es mucho mas convincente la primera. El hecho de que te llamen de determinado banco supone un riesgo muy alto para el atacante.

¿Por que pueden haber victimas? cuando llamas a la líneas “800” de los bancos, normalmente contesta un IVR (interactive voice response) y haces tu solo el proceso de “desbloqueo de cuenta” o de cambio de clave personal, en estos sistemas el usuario es la “única” persona, el IVR se conecta a la base de datos del banco y ejecuta consultas para determinar la veracidad de los datos del usuario, si estos son positivas ejecuta las acciones pertinentes.

Las victimas pueden caer por que los sistemas de IVR son muy sencillos de hacer (y de grabar) y cada vez los atacantes los hacen mas parecidos.
Al mismo tiempo la ingenuidad de los usuarios hacen que excusas como :

  • Cuenta bloqueada.
  • Actualización de Datos.
  • Cancelación de cuenta por no usar servicios WEB.
  • Borrado de Base de datos.

Sigan siendo lo suficientemente “valederas” como para hacer clic o llamar a determinado numero.

¿Como prevenirlo?

  • Antes que nada no creer en todo.
  • Hacer caso omiso a los Correos electronico con asuntos enumerados en la lista anterior
  • VERIFICAR el numero a llamar, puede ser con la guia de telefonos local o por medio de la pagina WEB de la entidad
  • MALICIA INDIGENA

Ojala algun dia en colombia contemos con un servicio como el de esta paginapara saber quien nos llama.

No Comments