Los ataques de vishing, una combinación de voz y phishing, se realizan por teléfono y se consideran un tipo de ataque de ingeniería social, ya que utilizan la psicología para engañar a las víctimas para que entreguen información confidencial o realicen alguna acción en nombre del atacante.
Una táctica común es el uso de la autoridad. Por ejemplo, el atacante puede fingir ser del IRS fingiendo estar llamando para cobrar impuestos impagos. El miedo al arresto puede hacer que las víctimas hagan lo que el atacante les dice que hagan. Este tipo de ataques también suelen implicar el pago mediante tarjeta de regalo y han costado a las víctimas 124 millones de dólares en 2020, solo en los Estados Unidos.
Si bien el vishing y el phishing son tipos de ataques de ingeniería social y utilizan muchas de las mismas tácticas, la principal diferencia entre ellos es el medio utilizado para realizar los ataques.
Como se mencionó anteriormente, Vishing usa el teléfono para realizar un ataque. El atacante llamará a la víctima, o engañará a la víctima para que la llame, e intentará engañarla verbalmente para que haga algo. Los Phishers, por otro lado, utilizan formas de comunicación electrónicas basadas en texto para llevar a cabo sus ataques. Si bien el correo electrónico es el medio de phishing más común y conocido, los atacantes también pueden utilizar mensajes de texto (llamados smishing), aplicaciones de comunicaciones corporativas (Slack, Microsoft Teams, etc.), aplicaciones de mensajería (Telegram, Signal, WhatsApp, etc.), o redes sociales (Facebook, Instagram, etc.) para realizar sus ataques.
Los ataques de vishing pueden ser tan variados como los de phishing. Algunos de los pretextos más comunes utilizados en el vishing incluyen:
Al igual que otros ataques de ingeniería social, la conciencia del usuario es esencial para la prevención y protección. Algunos puntos importantes a incluir en la capacitación de concientización sobre ciberseguridad son:
Al igual que los ataques de phishing, la prevención del vishing basada en la formación es imperfecta. Siempre existe la posibilidad de que un ataque se escape. Sin embargo, a diferencia del phishing, el vishing es difícil de prevenir mediante el uso de tecnología. Dado que el vishing se produce por teléfono, la detección de posibles ataques requeriría la escucha de todas las llamadas telefónicas y la observación de señales de advertencia.
Por esta razón, las organizaciones deben abordar los ataques de vishing implementando la defensa en profundidad y enfocándose en los objetivos del atacante. En un contexto corporativo, un ataque de vishing puede estar diseñado para infectar el sistema de un empleado con malware o proporcionar al atacante acceso a datos corporativos confidenciales. El impacto de un ataque de vishing puede mitigarse mediante la puesta en marcha de soluciones que impidan que un atacante alcance estos objetivos, incluso si el vector de ataque inicial (es decir, la llamada telefónica de Vishing) es indetectable.
Check Point ofrece una gama de soluciones que pueden ayudar a las organizaciones a mitigar el vishing, el phishing y otros ataques relacionados. Harmony Email and Office de Check Point incluye protecciones antiphishing y puede ayudar a detectar intentos de filtración de datos inspirados en un ataque de vishing. Para obtener más información sobre cómo Check Point puede proteger su organización contra amenazas de ingeniería social, puede solicitar una demostración gratuita hoy.