05/07/06 17:01:41
EL "PHISHING" SE EXTIENDE AL TELÉFONO
Mercè Molist
Si una voz en su contestador le avisa de que el banco ha congelado su
cuenta y debe llamar a un teléfono gratuito, no llame. Si recibe
un mensaje electrónico que le pide lo mismo, no lo crea. Si le
envían un SMS de bienvenida a un servicio que no ha contratado,
bórrelo y olvídese. Son las nuevas tácticas del
fraude más extendido en Internet, el "phishing", que ha saltado
del correo electrónico a los teléfonos móviles y
la voz sobre IP.
Hasta ahora, el ejemplo típico de "phishing" era el mensaje
electrónico, supuestamente enviado por un banco, que asustaba a
los receptores, amenazándoles con perder el dinero de su cuenta
si no accedían a una web y confirmaban sus datos bancarios. La
web era falsa y los datos que se introducían en ella pasaban
directamente a manos de los ladrones.
En los últimos meses, han aparecido casos de "phishing" en
Australia y Estados Unidos que usan el mismo esquema, pero en un nuevo
escenario: la telefonía IP. Una de sus estrategias es enviar
correos electrónicos que especifican un número de
teléfono al que llamar, donde voces automáticas piden a
la víctima su número de cuenta o tarjeta,
contraseña, etc.
Así sucedió en el primer caso de "phishing"
telefónico conocido, en abril, en Australia. Las víctimas
recibieron un mensaje electrónico, supuestamente procedente del
Chase Bank, que les pedía que telefonearan a un número
gratuito, contratado con información falsa. Cuando llamaban, un
mensaje grabado les pedía los dígitos de su tarjeta,
fecha de expiración y números de seguridad.
Otra modalidad es usar un programa que llama indiscriminadamente a
números de teléfono de una zona. Cuando descuelga un
contestador automático, el programa deja el mensaje: "Llame
inmediatamente al número xxxxxxx, pues hay importantes problemas
con su cuenta bancaria". Diversas personas en Estados Unidos han
denunciado haber recibido estos mensajes en sus contestadores, entre
ellos Ed Skoudis, consultor de la empresa Intelguardians.
Según Skoudis, estos intentos de fraude irán a
más: "La voz IP es fácil de usar, está a su
disposición y les funciona. Hay programas gratuitos para crear
centralitas que reciben las llamadas como si fuesen empresas, con voces
grabadas que parecen profesionales. Además, es barato. Usando
estas tecnologías, pueden tener una presencia telefónica
virtual desde cualquier país del mundo, usando un número
local y redireccionando las llamadas, para simular ser una gran
institución financiera".
Otra tipo de "phishing" telefónico es el que usa los mensajes
SMS de los teléfonos móviles. El primer caso se
dió en China, en octubre del año pasado. Wang, un
ciudadano de Pequín, recibió un mensaje en su
móvil informándole que el banco le había cargado
la compra de objetos valorados en más de 2.000 euros. El mensaje
adjuntaba un número de teléfono al que llamar. Wang lo
hizo y una voz grabada le pidió los datos de su cuenta. Horas
después la habían vaciado.
En las últimas semanas, se han conocido fraudes parecidos en
Gran Bretaña e Islandia: un SMS informa al receptor de que
alguien le ha dado de alta en un servicio de pago para conocer gente.
Si quiere darse de baja, debe hacerlo en una dirección web.
Cuando la víctima accede al sitio y pincha el botón para
desuscribirse, le instalan un programa troyano en el ordenador.
Phishing Hooks
http://www.f-secure.com/weblog/archives/archive-062006.html#00000912
A new kind of telephone scam: phishing
http://www.crime-research.org/news/11.04.2006/1937/
Phone phishing: The role of VoIP in phishing attacks
http://searchsecurity.techtarget.com/tip/1,289483,sid14_gci1193304,00.html
Beijingers fall victim to SMS scam
http://www.chinadaily.com.cn/english/doc/2005-10/12/content_484196.htm
SMS True Date Service / Irreal Dating scam
http://fugato.net/2006/06/10/trojan-trickery/
Copyright 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire article
is permitted in any digital medium, provided this notice is preserved.
<<