:: NORMAN :: Antivirus | Firewall

seguridad proactiva para IT

Inicio

Noticias

Productos & servicios

Virus & seguridad

Soporte

Descargar

Distribución

Comprar

Elige su país

Elige su producto

Virus & seguridad » Información de Seguridad » 2006 » "VISHING": la nueva tecnología reaviva las antiguas actividades delictivas

"VISHING": la nueva tecnología reaviva las antiguas actividades delictivas

Agregar a mis favoritos de Norman

Información de seguridad, semana 32, 2006

Security Information

Introducción

Una de las herramientas más populares entre los cracker desde los comienzos de la comunicación informática es el war-dialling. El cracker utiliza un programa para que su equipo realice llamadas (mediante un módem) a secuencias de números de teléfono semialeatorios dentro de una zona. Si responde un módem, entonces se puede asumir con seguridad que su interlocutor es un ordenador. A continuación, la lista de respuestas de módem (ordenadores) puede convertirse en el objetivo de la intrusión informática para, de ese modo, obtener lo que busca.
Puesto que los módem ya no se utilizan, han ocupado su lugar los ataques del tipo port scan (buscadores de puertos) que pueden llevar a cabo funciones muy parecidas. Desde un ordenador, el intruso explora un intervalo de direcciones IP en busca de equipos con puertos especiales abiertos. Los que dan una respuesta positiva son más susceptibles de ser el objetivo de una exploración más concienzuda que se materializa en un intento de intrusión para acabar en un control absoluto del ordenador. A continuación, el intruso puede utilizar el ordenador para cualquier fin que desee (spamming, botnets, etc.).

En términos generales podríamos definir el phishing como

""un ataque de ingeniería social que intenta engañarle para que revele información personal, como contraseñas y números de tarjeta de crédito, con la intención de cometer un fraude".

Si precisa información adicional sobre el phishing, encontrará diversos artículos en nuestro sitio Web al respecto como, por ejemplo, la Información de seguridad, semana 15/2005.

Escriba Vishing, que es el resultado de combinar las dos técnicas mencionadas anteriormente, el uso de la voz sobre IP (voice over IP) y el phishing.

Cómo funciona el vishing

1. Se utiliza un ordenador para realizar llamadas a secuencias de números (la parte "V")

El primer paso consiste en configurar un equipo que utilice voz sobre IP (VoIP) para llamar a muchos números de teléfono pertenecientes a una zona.
A diferencia de la "entrañable" técnica del war-dialling, aquí la distancia no es un problema ya que el coste telefónico deja de tener importancia. No obstante, tal y como veremos en el segundo punto, el idioma empleado en la región a la que se llama puede ser crucial para el éxito del vishing.

2. Se reproduce un mensaje pregrabado (la parte "ishing")

Probablemente algunos números a los que se llame responderán. La persona que haya puesto en marcha todo el plan tendrá en ese momento un mensaje pregrabado que desempeña la función del phishing. Por ejemplo, puede recibir un mensaje que parece proceder del departamento de fraudes de tarjetas de crédito del banco y en él se le proporcionan instrucciones para llamar a otro número de teléfono y así poder arreglar el problema.

Este mensaje pregrabado debe realizarse en el mismo idioma que el utilizado en la región en la que se realiza el vishing. Un mensaje automático, por ejemplo, enviado en alemán a personas de Francia que afirme proceder de su banco no resulta muy creíble y sólo conseguirá engañar a los más crédulos (quienes por supuesto podrían ser el objetivo).

3. Se obtiene la información más "suculenta"

Woman in phone

Si el chanchullo del punto 2 resulta convincente, algunos de los que contestaron a la llamada automática y escucharon el mensaje llamarán al número sugerido.

En este paso, el intruso dispone de varias opciones.

Puede utilizar sus habilidades de ingeniería social personales y responder al teléfono en persona para intentar engañar a la persona y que ésta le facilite información personal, como el número de tarjeta de crédito, su código PIN, fecha de nacimiento, dirección, etc..
En este paso, la opción con un mayor índice de éxitos es el contacto telefónico personal. No obstante, la desventaja es que el intruso sólo puede hablar con una persona al mismo tiempo.
Puede grabar con anterioridad otro mensaje en el que se cuente alguna historia creíble para intentar engañar a la persona y que de ese modo desvele información personal.
Por ejemplo, una historia creíble podría ser que el departamento de tarjetas de crédito del banco ha sufrido una avería en sus bases de datos al mismo tiempo que se han robado algunos números de tarjetas de crédito. Puesto que la información de base de datos y de clientes no está disponible, se le pregunta a la persona en cuestión si no le importaría introducir su número de tarjeta de crédito y el número de teléfono, y el banco le devolverá la llamada en el caso de que la tarjeta de crédito se encuentre entre las extraviadas.
Las técnicas de persuasión que se pueden utilizar en esta situación sólo se ven limitadas por la imaginación del estafador. La desventaja es que la invención tiene que lo bastante general como para que se aplique y convenza al mayor número de personas posible.

4. Se comete el fraude y/o se obtiene más información

A continuación, si la recopilación de información obtenida mediante los tres pasos anteriores ha tenido éxito, el estafador puede utilizar esa información para cometer el fraude en sí. En el ejemplo mencionado anteriormente, se trataba de un fraude de tarjetas de crédito, pero podría tratarse de cualquier cosa.

En este punto, el estafador también puede utilizar la información recopilada para obtener incluso más información, en lo que sería la conspiración definitiva (aunque poco común), que le permitiría adoptar la identidad de la otra persona.

Algunas observaciones generales

En Información de seguridad de Norman, semana 10/2005 , analizamos el hecho de que se estaban utilizando nuevas aplicaciones (en ese caso la mensajería instantánea) para propagar el software malintencionado. Nuestra postura afirmaba que esto ocurría principalmente porque la mensajería instantánea era un medio nuevo y los usuarios no estaban alerta de la misma forma que lo estaban con respecto a, por ejemplo, el uso de mensajes de correo electrónico para distribuir el software malintencionado.

El vishing se puede considerar de igual forma. La atención que las organizaciones de seguridad, las financieras y los medios han dedicado al phishing ha sido bastante exhaustiva desde hace algún tiempo. El enfoque se ha centrado principalmente en los intentos de phishing a través del correo electrónico. Sin embargo, un canal nuevo (como VoIP), utilizado como canal de comunicaciones para el phishing, proporcionará durante algún tiempo un índice de éxito mayor que el que obtenía el phishing con canales más tradicionales.

Esto siempre es así cuando se empiezan a utilizar nuevos canales. El consejo general que se puede aplicar, independientemente de los medios y técnicas empleadas por los estafadores, es el siguiente:

utilizar el escepticismo inteligente en cualquier relación en la que se le pida que divulgue datos personales

ALARMAS DE VIRUS

Medium risk
15	Aug	08	AntiVirus 2008
24	Oct	07	Pidief.A
24	Jan	07	Tibs
25	Sep	06	Stration
18	Jan	06	Small.KI
12	Sep	05	Bagle.CS
17	Aug	05	Zotob.B
08	Jun	05	Mytob
17	Feb	05	MyDoom.AQ
26	Jul	04	MyDoom.L
25	Mar	04	Netsky.P
Low risk
05	Mar	07	Viking.GT
27	Jan	06	Feebs
16	Jan	05	MyDoom.AH
22	Apr	04	SDBot
30	Mar	04	Netsky.Q

Latest virus definition file published

>>	2008-10-15

Información de Seguridad

>>	Clickjacking - a new danger or an innovational new name?
>>	Informe del Internet Crime Complaint Center correspondiente a 2007

Consejos de Seguridad

>>	Four critical updates for Microsoft systems in October 2008
>>	Cuatro actualizaciones críticas para sistemas Microsoft en septiembre de 2008

Norman es una de las empresas principales del mundo en el ambito de seguridad de los datos. La empresa juega un papel importante en la industria informatica, con los productos para antivirus (Virus Control), cortafuego personal y antispam.