Haciéndose pasar por la Seguridad Social o por un operador telefónico, nos piden que reembolsemos una cantidad a través de Bizum. Es el último timo del que han alertado organizaciones como la Oficina de Seguridad del Internauta o la OCU. Para materializar este fraude se utiliza la técnica del 'vishing', que vendría a ser el equivalente del 'phishing' a través de la voz.
Aquí os explicamos en qué consiste esta nueva estafa, cómo evitar caer en el engaño y qué otros ciberataques se han detectado que utilicen el 'vishing'.
En qué consiste el 'vishing' o el timo de la doble llamada
Estos ataques utilizan ingeniería social para engañar a las víctimas a través de llamadas telefónicas. El atacante se hace pasar por un trabajador, técnico o una organización como es el caso de la Seguridad Social y bajo este pretexto intenta que la víctima le facilite datos personales o bancarios y realice alguna aportación económica. Quién dice la Seguridad Social dice un operador telefónico o un banco.
Como en el caso del 'phishing', el gancho puede ser muy distinto en cada ocasión. Desde participar en un sorteo, recoger un cheque regalo o recibir soporte técnico. El objetivo del atacante es engañar al usuario, en esta ocasión a través del número de teléfono. Es lo que se conoce como el timo de la doble llamada.
La llamada puede realizarse desde un número móvil o fijo y los atacantes se basan en un reclamo inicial llamativo donde haga falta los datos del usuario para poder participar. Puede ser datos de la tarjeta de crédito para obtener una recompensa o que un falso soporte técnico convenza a instalar un programa que acabe siendo la puerta a un acceso remoto.
Sobre el timo de Bizum y la Seguridad Social
En el caso de 'vishing' más reciente, tenemos un fraude donde una persona llama en nombre de la Seguridad Social e indica que van a recibir un reembolso con una cantidad de dinero concreto, como una prestación por maternidad o hijos a cargo para hacer frente a la crisis del Covid-19 y que se gestionará a través de Bizum. Pero una vez aceptada la transacción, en lugar de recibir un reembolso, recibe un cargo de una determinada cantidad de dinero.
El mensaje que recibe el usuario proviene de un remitente que aparece como TGSS, siglas de Tesorería General de la Seguridad Social. Sin embargo, el mensaje no es para recibir el pago, sino una petición de cobro. El problema viene que si el usuario no se percata de ello, se le realiza un cargo de más de 300 euros en algunos casos. Si uno se fija es fácil darse cuenta, pero el hecho de haber recibido la llamada y la falta de costumbre ha provocado que algunos usuarios caigan.
🔴🔴 ¡¡OJO!! #estafa
— Guardia Civil 🇪🇸 (@guardiacivil) September 16, 2020
⚠ La #SeguridadSocial no utiliza la aplicación Bizum. Es un 𝗧𝗜𝗠𝗢
‼ RECORDAD: Cualquier gestión con la Seguridad Social o cualquier otro organismo de la Administración Pública ha de hacerse siempre a través de páginas oficiales#NoPiques pic.twitter.com/ibsfHBmw35
El problema del 'vishing' es que los atacantes cambian habitualmente de número de teléfono, por lo que no es tan sencillo como bloquear un determinado número. Desde los organismos oficiales alertan que la Seguridad Social no utiliza la aplicación Bizum y que cualquier gestión ha de hacerse a través de páginas oficiales.
Panda Security alerta de esta estafa y explica que "los atacantes no llaman de forma indiscriminada a una base de datos de teléfonos aleatoria, sino que estudian primero a sus víctimas". Buscan información en redes sociales para crear un perfil, conocer su dirección y poder crear una mejor coartada.
Un caso similar ocurre con las operadoras de telefonía, donde los estafadores llaman a la víctima haciéndose pasar por su compañía telefónica y alertando de una supuesta subida de precio. Esta subida falsa puede ser de, por ejemplo 15 o 20 euros mensuales, lo que genera un gran enfado en la víctima y motiva la llamada.
Qué recomendaciones de seguridad debemos seguir
Es importante señalar que el timo de Bizum se realiza con la Seguridad Social y los operadores, pero bien podría ser con cualquier otra entidad en el futuro. El fraude por 'vishing' no es precisamente nuevo y afortunadamente hay una serie de consejos bastante sencillos para minimizar el riesgo.
La recomendación más importante es la de no facilitar ningún tipo de información personal ni bancaria a través del teléfono. En caso de dudas, hay que ponerse en contacto con el banco o la entidad con la que supuestamente estamos hablando, pero a través de vías oficiales y de ninguna manera repitiendo el número de teléfono con el que estás en contacto.
Hoy en día, algunas aplicaciones de llamadas como la de Google incorporan un filtro 'anti-spam'. En caso de que la aplicación detecte la llamada como fraudulenta, muy probablemente debamos estar alerta.
La Oficina de Seguridad del Internauta (OSI) y el INCIBE aconsejan vigilar regularmente qué información existe de nosotros en internet, para detectar si nuestros datos privados pueden ser utilizados sin consentimiento. En caso de encontrar un dato que no hayamos consentido, existe el derecho de acceso, rectificación, cancelación u oposición. Como siempre, lo más importante en este tipo de gestiones es actuar con calma y reflexionar antes de proporcionar ningún tipo de dato.
En Xataka | Qué es el Ransomware y cómo te puedes proteger de él
Ver todos los comentarios en https://www.xataka.com
VER 13 Comentarios