Creciente amenaza de “Vishing” advierten FBI y CISA, a consecuencia del aumento del trabajo remoto
Cómo evitar el Phishing
Según el FBI y la CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad), hay una nueva amenaza que despierta la atención de importantes organismos que vigilan la aplicación de la ley.
Dicha amenaza está dirigida directamente a los trabajadores remotos, cuyo número ha crecido durante la pandemia de Covid-19. Otra de las razones por las cuales se ha generado este incremento de ataques, es el uso de VPN.
Pues bien, Vishing o phishing de voz, como también se le conoce, es un procedimiento o técnica de ingeniería social bastante utilizada por estafadores en línea. Fingiendo representar a cualquier agente de soporte, proveedor de servicios, etc; establecen contacto con las empresas. Algunos ciberdelincuentes tienen incluso conocimiento profundo de las principales estructuras de la misma.
Uno de los eventos más notables tuvo lugar en la cuenta de varias celebridades, atacadas con una estafa de Bitcoin. Los expertos de las entidades de seguridad anteriormente citadas afirman:
“A mediados de julio de 2020, los ciberdelincuentes comenzaron una campaña de vishing, obteniendo acceso a las herramientas de los empleados en varias empresas con orientación indiscriminada, con el objetivo final de monetizar el acceso. Mediante el uso de credenciales vished, los ciberdelincuentes minaron las bases de datos de la empresa víctima en busca de información personal de sus clientes para aprovechar otros ataques. El método de monetización varió según la empresa, pero fue muy agresivo con un cronograma ajustado entre la infracción inicial y el esquema de reintegro disruptivo”.
Qué es y cómo funciona el Vishing
Los ataques de Vishing ocurren cuando los usuarios (o víctimas) reciben llamadas telefónicas de origen fraudulento por parte de piratas informáticos. Estos estafadores se hacen pasar por una persona que brinda un servicio, por el representante de una empresa o incluso por el soporte técnico de algún servicio que el banco del ataque contrató previamente.
Nuestro experto en ciberseguridad nos da una descripción más detallada de cómo funciona el Vishing:
“El phishing es una amenaza global que día a día afecta a las personas y a las empresas. El propósito de este ataque, es hacer que las personas suministren a través de llamadas y mensajes, toda la información posible de sus cuentas personales, ya sea bancarias, redes sociales etc. El ciberdelincuente busca a través de estos medios, hacerle creer a la víctima que es algo que necesita para así tenderles la trampa”. Explica José Domingo Abogabir, CEO y Director General de Measured Security
“Los actores de amenazas registran dominios y crean páginas de phishing que duplican la página de inicio de sesión de VPN interna de una empresa, y también capturan autenticación de dos factores (2FA) o contraseñas de un solo uso (OTP)”, dice el aviso.
Después de esto, los criminales compilan expedientes sobre empleados de empresas específicas que son de su interés utilizando como respaldo masivo sus perfiles sociales, herramientas de marketing y reclutamiento; así como servicios de verificación.
Usando números de VoIP no atribuidos, los delincuentes se comunican personalmente con sus víctimas e incorporan números falsos de otras oficinas y empleados en la empresa que es blanco de su ataque.
Se usan técnicas de ingeniería social y muchas veces se recurre a los datos personales que se conocen del empleado de la empresa atacada para ganar la confianza del mismo. Suplantando la identidad de un ingeniero de soporte, el atacante persuade a su víctima, quien ingresa posteriormente su nombre de usuario (incluido cualquier 2FA u OTP) y dichos datos se usan para obtener acceso a los sistemas de su empresa en tiempo real.
Al respecto, el FBI explica lo siguiente:
“En algunos casos, empleados desprevenidos aprobaron el mensaje 2FA u OTP, ya sea accidentalmente o creyendo que era el resultado del acceso anterior otorgado al imitador de la mesa de ayuda.
En otros casos, los atacantes han utilizado un ataque SIM-Swap2 en los empleados para evitar la autenticación 2FA y OTP. Luego, los actores utilizaron el acceso de los empleados para realizar más investigaciones sobre las víctimas y / o para obtener fondos de manera fraudulenta utilizando diversos métodos que dependen de la plataforma a la que se accede”.
Cómo puede usted prevenir el Vishing en su organización
Estos son algunos de los consejos que los expertos de FBI y CISA han hecho públicos para que las empresas se protejan de este tipo de ciberataque:
- Restrinja las conexiones VPN únicamente a los dispositivos administrados con mecanismos como comprobaciones de hardware y/o certificados instalados, de modo que el usuario no pueda ingresar solamente con sus credenciales a la VPN corporativa.
- Restrinja las horas de acceso a VPN a los horarios permitidos
- Emplee la supervisión de dominios para estar siempre al tanto de la creación o de los cambios en los dominios corporativos de la marca
- Monitoree las aplicaciones web en busca de accesos no autorizados y/o actividades inusuales.
- Supervise los accesos de usuarios y emplee el principio de privilegio mínimo; implemente políticas de restricción de software.
- Mejore la mensajería 2FA y OTP para reducir la confusión sobre los intentos de autenticación de los empleados.