Phishing telefónico
El phishing telefónico, también conocido como vishing o phishing de voz, es un tipo de fraude que utiliza llamadas telefónicas para intentar obtener acceso a información confidencial. Es similar en concepto y ejecución al phishing por correo electrónico, pero en lugar de utilizar correos electrónicos como vector de ataque, los atacantes utilizan llamadas telefónicas. Los phishers telefónicos suelen intentar que las víctimas revelen datos personales, como números de tarjetas de crédito y contraseñas, haciéndose pasar por una organización legítima.
El primer paso que debe dar un atacante cuando realiza un phishing telefónico suele ser investigar los objetivos potenciales. Esto implicaría recopilar información sobre la persona o empresa objetivo, ya sea a través de fuentes disponibles públicamente o tácticas de ingeniería social, como llamar a representantes de servicio al cliente de otras empresas y hacerse pasar por alguien que trabaja en la empresa objetivo. Una vez que hayan recopilado suficiente información sobre su(s) objetivo(s), comenzarán a realizar llamadas no solicitadas para iniciar contacto con ellos.
Una vez que se ha establecido el contacto, el atacante intentará diferentes métodos para convencer a la víctima de que proporcione datos confidenciales, como intentar asustarla haciéndole creer que algo malo podría suceder si no los proporciona (por ejemplo, "Necesitamos su número de tarjeta de crédito para ordene que no congelemos su cuenta”). Otras técnicas comunes incluyen ofrecer servicios o productos gratuitos si brindan sus datos y fingir que hubo algún tipo de problema con su cuenta que necesita verificación antes de poder solucionarse. Sin embargo, en general, cualquier intento de una entidad desconocida de solicitar información confidencial siempre debe considerarse sospechoso, sin importar cuán persuasivo pueda parecer el argumento a primera vista.
Para protegerse contra este tipo de ataques, los usuarios nunca deben dar detalles financieros por teléfono a menos que sea absolutamente necesario y sólo después de verificar con quién están hablando exactamente. Si es posible, solicite más información de identificación además del nombre (como la identificación del empleado) para saber que está hablando con alguien autorizado dentro de esa organización. Además, nunca responda directamente por correo electrónico; esto podría fácilmente llevar a los estafadores a obtener acceso a su sistema. Además, considere configurar la autenticación de dos factores en todas las cuentas que requieran medidas de seguridad adicionales, como sitios web bancarios o intercambios de criptomonedas, donde se podrían perder grandes sumas de dinero debido a intentos de robo como los descritos anteriormente.
