Cualquiera que tenga un teléfono y pueda recibir llamadas es susceptible a un ataque falso. Los atacantes de pretexto pueden llamarlo con falsos pretextos, como pretender ser parte del departamento técnico de una empresa u otro equipo con acceso a contraseñas, para manipularlo y obtener información. Estos atacantes pueden vender o hacer mal uso de estos datos, por lo que debe proteger activamente su información.
Entonces, ¿qué es la prevención? ¿Cómo puedes protegerte?
¿Qué es la pretensión?
El pretexto, una forma de ingeniería social, ocurre cuando un pirata informático utiliza medios engañosos para intentar obtener acceso a un sistema, red u otra información. El atacante evoca un escenario falso, conocido como simulación, haciéndose pasar por alguien con experiencia, como un miembro del personal de TI, un gerente de recursos humanos o incluso un agente del gobierno. Este ataque puede ocurrir en línea y en persona.
La simulación comenzó en el Reino Unido a principios de la década de 2000, cuando los periodistas que buscaban jugosas primicias de celebridades utilizaron medidas extremas para espiarlas. La competencia entre las marcas de noticias era feroz, lo que provocó que los periodistas inventaran nuevas formas de obtener información privada.
Primero, era tan simple como espiar el correo de voz de la celebridad objetivo. Los mensajes de correo de voz venían con un PIN predeterminado que muchos usuarios no se molestaban en cambiar y los periodistas lo explotaban. Si se hubiera cambiado el PIN predeterminado, algunos llegarían a llamar a sus objetivos y hacerse pasar por técnicos de la compañía telefónica. Obtendrían los códigos PIN del correo de voz y tendrían acceso a la información escondida allí.
Por lo general, los escenarios ficticios parecen requerir mucha urgencia o simpatía por parte de la víctima potencial. Los atacantes pueden usar correos electrónicos, llamadas telefónicas o mensajes de texto para ponerse en contacto con sus objetivos.
Elementos de un ataque de pretexto
En un escenario ficticio, hay dos elementos principales: el “personaje” interpretado por el estafador y la “situación plausible” destinada a engañar al objetivo haciéndole creer que el personaje tiene derecho a la información que está buscando.
Imagine tratar de procesar una transacción y falla. No recibes la pizza que pediste y la tienda online está cerrada. ¡Qué decepción! Pero eso no es todo. Unos minutos más tarde, por un error inexplicable, descubre que su cuenta ha sido debitada.
Poco después, el atacante llama y se hace pasar por un agente de servicio al cliente en su banco. Debido a que está esperando una llamada, cae en esta situación plausible y proporciona la información de su tarjeta de crédito.
¿Cómo funciona la simulación?
Pretextar se aprovecha de las debilidades en la verificación de identidad. En las transacciones de voz, la identificación física es casi imposible, por lo que las instituciones recurren a otros métodos para identificar a sus clientes.
Estos métodos incluyen solicitar la verificación de la fecha de nacimiento, pariente más cercano, número de hijos, dirección de contacto, apellido de soltera de la madre o número de cuenta. La mayor parte de esta información se puede obtener en línea desde las cuentas de redes sociales del objetivo. Los pretendientes usan esta información para “probar” la autenticidad de su personaje.
Los estafadores usan su información personal para engañarlo para que revele información más confidencial que puedan usar. Obtener esta información personal requiere una investigación cuidadosa, porque cuanto más precisos sean los datos obtenidos, más se verá obligado a proporcionar información aún más valiosa.
Los estafadores también tienen fuentes directas de información además de las redes sociales. Pueden falsificar el número de teléfono o el nombre de dominio de correo electrónico de la organización a la que se están haciendo pasar para agregar más credibilidad a la situación plausible que se vende al objetivo.
3 técnicas de simulación notables
Existen varias técnicas de simulación que los estafadores y piratas informáticos utilizan para obtener acceso a información confidencial.
1. Vishing y Smishing
Estas técnicas son muy similares. Los ataques de vishing implican el uso de llamadas de voz para persuadir a la víctima de que proporcione la información que necesita el estafador. Las estafas Smishing, por otro lado, usan SMS o mensajes de texto.
Vishing tiene una mayor probabilidad de éxito porque es más probable que los objetivos ignoren los mensajes de texto que las llamadas directas del personal aparentemente esencial.
2. cebo
El cebo implica el uso de una gran recompensa para recopilar información y también puede incluir la simulación de una fuente confiable.
El estafador podría hacerse pasar por un abogado que afirma que usted tiene una herencia de un pariente lejano y necesitaría su información financiera para procesar la transacción. El personal de alto rango de una organización objetivo también podría ser víctima.
Otra maniobra habitual es dejar un sobre que contiene una llave USB con el logo de la empresa y un mensaje para trabajar en un proyecto urgente. La unidad flash se cargaría con malware que los piratas informáticos utilizarían para obtener acceso a los servidores de la empresa.
3. Software espeluznante
En este método, los piratas utilizan el miedo como táctica. Un ejemplo notable es una ventana emergente en un sitio inseguro que le dice que hay un virus en su dispositivo y luego le pide que descargue un programa antivirus que en realidad es malware. El scareware también se puede distribuir mediante correos electrónicos y enlaces en mensajes de texto.
Cómo protegerse de los ataques falsos
Los ataques de pretexto son tan frecuentes que casi no hay forma de detenerlos por completo. Sin embargo, se pueden tomar medidas para reducirlos significativamente.
Un paso es el análisis de los correos electrónicos. Mirar el nombre de dominio de un correo electrónico puede proporcionar información sobre si es falso o genuino. Sin embargo, los ataques de simulación pueden falsificar dominios de correo electrónico y, por lo tanto, parecer casi idénticos al original, lo que hace que sea extremadamente difícil detectar dichos pretextos.
Pero con el avance de la compleja tecnología de inteligencia artificial, el escaneo de correo electrónico se ha vuelto más accesible. AI ahora puede detectar patrones de phishing y buscar signos de simulación. Puede identificar anomalías en el tráfico de correo electrónico falsificado y mostrar nombres, así como frases y texto comunes a los ataques falsos.
La formación de los usuarios es, por supuesto, fundamental. Nadie debería pedirle su contraseña bancaria, PIN de tarjeta de crédito o número de serie. Debe informar de inmediato cualquier reclamo por cualquiera de estos a las autoridades correspondientes. Además, recordar a familiares, amigos y empleados que no hagan clic en enlaces desconocidos y que eviten visitar sitios web que no sean de confianza podría ser suficiente para evitar que el malware ingrese a los servidores de su empresa.
No caiga en estafas falsas
Pescar una operación de simulación puede no ser fácil, pero hay pasos simples que puede seguir para evitar convertirse en una víctima. No haga clic en enlaces de sitios web no seguros y no revele su información de inicio de sesión a nadie. Hay líneas de atención al cliente verificadas en la plataforma en línea de su banco. Cuando un agente de servicio al cliente lo llame, asegúrese de que los números coincidan con la línea oficial.