[HACK] phone phishing

[merce]

05/07/06 17:01:41



EL "PHISHING" SE EXTIENDE AL TELÉFONO


Mercè Molist
Si una voz en su contestador le avisa de que el banco ha congelado
su cuenta y debe llamar a un teléfono gratuito, no llame. Si recibe
un mensaje electrónico que le pide lo mismo, no lo crea. Si le
envían un SMS de bienvenida a un servicio que no ha contratado,
bórrelo y olvídese. Son las nuevas tácticas del fraude más extendido
en Internet, el "phishing", que ha saltado del correo electrónico a
los teléfonos móviles y la voz sobre IP.

Hasta ahora, el ejemplo típico de "phishing" era el mensaje
electrónico, supuestamente enviado por un banco, que asustaba a los
receptores, amenazándoles con perder el dinero de su cuenta si no
accedían a una web y confirmaban sus datos bancarios. La web era
falsa y los datos que se introducían en ella pasaban directamente a
manos de los ladrones.

En los últimos meses, han aparecido casos de "phishing" en Australia
y Estados Unidos que usan el mismo esquema, pero en un nuevo
escenario: la telefonía IP. Una de sus estrategias es enviar correos
electrónicos que especifican un número de teléfono al que llamar,
donde voces automáticas piden a la víctima su número de cuenta o
tarjeta, contraseña, etc.

Así sucedió en el primer caso de "phishing" telefónico conocido, en
abril, en Australia. Las víctimas recibieron un mensaje electrónico,
supuestamente procedente del Chase Bank, que les pedía que
telefonearan a un número gratuito, contratado con información falsa.
Cuando llamaban, un mensaje grabado les pedía los dígitos de su
tarjeta, fecha de expiración y números de seguridad.

Otra modalidad es usar un programa que llama indiscriminadamente a
números de teléfono de una zona. Cuando descuelga un contestador
automático, el programa deja el mensaje: "Llame inmediatamente al
número xxxxxxx, pues hay importantes problemas con su cuenta
bancaria". Diversas personas en Estados Unidos han denunciado haber
recibido estos mensajes en sus contestadores, entre ellos Ed
Skoudis, consultor de la empresa Intelguardians.

Según Skoudis, estos intentos de fraude irán a más: "La voz IP es
fácil de usar, está a su disposición y les funciona. Hay programas
gratuitos para crear centralitas que reciben las llamadas como si
fuesen empresas, con voces grabadas que parecen profesionales.
Además, es barato. Usando estas tecnologías, pueden tener una
presencia telefónica virtual desde cualquier país del mundo, usando
un número local y redireccionando las llamadas, para simular ser una
gran institución financiera".

Otra tipo de "phishing" telefónico es el que usa los mensajes SMS de
los teléfonos móviles. El primer caso se dió en China, en octubre
del año pasado. Wang, un ciudadano de Pequín, recibió un mensaje en
su móvil informándole que el banco le había cargado la compra de
objetos valorados en más de 2.000 euros. El mensaje adjuntaba un
número de teléfono al que llamar. Wang lo hizo y una voz grabada le
pidió los datos de su cuenta. Horas después la habían vaciado.

En las últimas semanas, se han conocido fraudes parecidos en Gran
Bretaña e Islandia: un SMS informa al receptor de que alguien le ha
dado de alta en un servicio de pago para conocer gente. Si quiere
darse de baja, debe hacerlo en una dirección web. Cuando la víctima
accede al sitio y pincha el botón para desuscribirse, le instalan un
programa troyano en el ordenador.



Phishing Hooks
http://www.f-secure.com/weblog/archives/archive-062006.html#00000912

A new kind of telephone scam: phishing
http://www.crime-research.org/news/11.04.2006/1937/

Phone phishing: The role of VoIP in phishing attacks
http://searchsecurity.techtarget.com/tip/1,289483,sid14_gci1193304,00.html

Beijingers fall victim to SMS scam
http://www.chinadaily.com.cn/english/doc/2005-10/12/content_484196.htm

SMS True Date Service / Irreal Dating scam
http://fugato.net/2006/06/10/trojan-trickery/



Copyright 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital medium, provided this notice is
preserved.