El phishing o estafa para obtener información es ingeniería social aplicada a lo más básico de la forma en la que funcionan nuestros sistemas informáticos.
Hoy les voy a hablar de esta brecha de ciberseguridad: una estafa telefónica fingiendo ser tu banco y cómo prevenirlo.
Imagina que de repente te entra una llamada y es el banco que usas, al que le confías todo tu dinero.
> Hola, Lupita, este tu banco Xbank. Hay una transacción sospechosa en su tarjeta con terminación 1819 desde Miami. ¿Fue usted?.
Es normal asustarse, pero sabes que no fuiste tú porque no estás en Miami y no has hecho nada relacionado con ese país en los últimos meses.
> No, no hice esa transacción.
Ellos podrán responderte con algo como:
> Para verificar que hablo con el propietario ¿Nos puede confirmar su nombre de usuario del banco e e-mail?
Ok, raro, sospechoso que empiecen a hacer ese tipo de preguntas, pero tampoco pueden hacer mucho con ese tipo de información y entonces puedes contestar con:
> Sí claro, nombre: lupita2828 y el email [email protected]
Y te responden:
> Le vamos a enviar un código de verificación por mensaje de texto a su teléfono"
“¿me lo puede dictar?
Segundos más tarde tienes un mensaje de texto en tu teléfono con dicho código. Te das cuenta que es el mismo número que usa tu banco siempre para comunicarse contigo. Todo se ve muy real.
Ahora te dicen:
> Ok, le voy a leer algunas de las últimas transacciones para verificar que sean suyas.
Proceden a leerte algunas de tus transacciones más recientes y confirmas que es tu cuenta. Porque en este punto es muy difícil dudar de que no se sea tu banco de confianza.
> Si, es 75982…
Y dictas el número.
Es probable que no te hayas dado cuenta en el momento en que te hackearon, muchos habríamos caído.
Arranquemos analizando de dónde llegó esta información.
> Hola Lupita este su banco BancoX. Hubo un intento de usar su tarjeta que termina en 1819 en Miami. ¿Fue usted?
Esto no es tan difícil.
Teniendo el nombre de la persona puedo buscarla en redes sociales para conocer donde vive y decir un lugar muy alejado a ese.
También puedo averiguar, tal vez en su Instagram, si esta persona ha viajado y decirle un lugar que ha visitado recientemente. Tendrá mucho más sentido la llamada. Puede pensar que le clonaron la tarjeta en dicho país.
Pero ¿de dónde sacan los últimos cuatro números de la tarjeta?.
De las miles de filtraciones de tarjetas de crédito que han habido últimamente.
Si has usado productos de Adobe, si vives en Ecuador, Chile o Colombia; si has usado servicios online. Probablemente has sido victima de estas filtraciones.
Las tarjetas de créditos por lo general no se filtran con el número completo, pero en ocasiones las empresas guardan los cuatro últimos números para procesos de verificación.
> Le vamos a enviar un código de verificación por mensaje de texto a su teléfono.
Y recibes un mensaje. Sabes que este mensaje proviene del banco y es un número que tu conoces.
¿Cómo lo hacen?
Cuando ya tienen el número de identificación o nombre de usuario, le dan a "olvidar contraseña"; o alguna opción similar para que el banco mande los datos necesarios y el PIN de confirmación al teléfono registrado por ellos.
Y este fue el momento en el que te hackearon.
Esta es una de las técnicas más avanzadas que hay.
> Hola te habla tu banco Xbank. Hubo una transacción sospechosa en su tarjeta con terminación 1819 desde Miami ¿Fue usted?
> Buenas tardes.
Y cuelgas…
Si llaman del banco, escucha, después cuelga y llama al teléfono en tu tarjeta para verificar el problema
Puedes intentar realizar este Phishing Quiz creado por Google para conocer algunos ejemplos y saber qué tan susceptible eres a estos ataques. Hazlo después de terminar de leer este blogpost.
Puedes dar a conocer este tipo de ataques compartiendo este blogpost con tus familiares y amigos. Además, es recomendable que explores otros cursos que ofrecemos en nuestra escuela de ciberseguridad para mantenerte informado y evitar este y otros ciberataques.
Puedes incluso avanzar de forma más personal y profesionalmente realizando el Curso de Análisis de Malware y así tener la oportunidad de conocer cómo defenderte de más ataques y no solo de phishing, sino de malware malicioso que puede acabar con las computadores de tus amigos.
Y así nunca parar de aprender.
El usuario SIEMPRE será el eslabón más débil…Ingeniería Social everywhere.
Hace años me ofrecieron un trabajo en un Call Center de “Asesor financiero” al cual acudí para saber de que se trataba y ¡Oh! sorpresa, todos los que estaban allí hablaban a la gente de una base de datos que la “empresa” compra, donde tienen tu numero, tu dirección, tu nombre y la tarjeta que utilizas. (todas las tarjetas inician con el mismo número cuando son del mismo banco) te haces pasar por algún banco y obviamente la gente tiene confianza porque le dices datos verídicos, entonces para reafirmar la gente te ayuda con los siguientes dígitos de sus tarjetas, ya teniendo esa información en el Call Center les vendían “seguros” y la gente tenia que pagar durante 3 meses para poder cancelar después. Bueno, el chiste que yo no quise trabajar allí por miedo, pero me “capacitaron” el primer y último día que asistí por eso sé todo esto. Saludos 😄
Nidia muchas gracias por tu aporte. De ahora en adelante voy a tener mucho cuidado de este tipo de ataques.
Que gran articulo, muchas gracias por compartir estos consejos. No tenia conocimiento sobre este tipo de ataque s que parece tan real y simple.
Yo estuve a punto de caer en ese fraude, porque incluso marcan del número que está anotado detrás de la tarjeta. Pero cuando me pidieron los 16 dígitos colgué de inmediato y llamé directamente al banco, me dijeron que ellos nunca llaman de ese número.
Muy interesante, creo que tomaré el curso.
Muchas Gracias, como dirian en Colombia, hay que tener malicia.
Interesante, afortunadamente no contesto números que no conozco y cuando contesto de igual forma cuelgo cuando no reconozco a la persona, gracias por la info.
you pretend to be a bank and obviously people have confidence because you tell them true data , so to reaffirm people they help you with the next digits of their cards, already having That information in the Call Center sold them “insurance” and people had to pay for 3 months to be able to cancel later.
Excelente post
Un artículo muy interesante… Lo tendré en cuenta
Saludos!
Gracias…
que interesante ya lo pasare a mi familia para que esten pendiente.
Justamente hoy me llamaron de un nùmero desconocido. Al no dar respuesta me dejaron un mensaje de voz, diciendo que debìa cuotas de mi telèfono y que debía llamar a un número que ellos me daban para resolver mi situación. En primer lugar uno debe fijarse en su cuenta de la compañía telefónica si de verdad debe algo, y en segundo lugar y para mayor seguridad, comunicarse con el nùmero de contacto que brinda dicha compañìa.
Cuando estaba leyendo ya sabia por donde iba la cosa, con tantas preguntas, yo me dije a lo mejor esta intentando hacer el proceso para recuperar la cuenta, con las respuestas que le daba “Lupita” como cuando FB te dice cuales fuerons tus ultimos comentarios. Y al final tuve razón, no me creo el que se las sabe todas, pero con mi corta experiencia conozco como funcionan ciertas cosas, además soy desconfiado en estos temas tan delicados. GRACIAS POR COMPARTIR ESTE POST.
Cada vez son mas expertos en ese tema, cada vez hacen caer a más y más gente. Hice el Quiz. 100% Recomendado.
yo caí en una de esa llamadas como esta que describen de estafas, esa gente tiene todo los datos de uno, yo pienso que son los mismo empleador del banco que da esa información a estos estafadores. Por fortuna me di cuenta a tiempo y bloque inmediatamente la tarjes de crédito y así ellos no pudieron hacer nada, pero fueron tan descarado que luego de un tiempo volvieron a llamarme pero esta ves no le hice caso.
Interesante el post, me han llamado varias veces y nunca contesto, pero no sabía que utilizaban esta técnica tan sutil, es bueno prevenirse con este tipo de Información.
Estos chabones cada dia son mas astutos.