Suena el teléfono inteligente, supuestamente un asesor bancario: «Habla el equipo de seguridad de su banco: los mensajes que está recibiendo no son un problema, ¡no se preocupe!» Tal llamada es parte de una sofisticada campaña de phishing de voz que acaba de ser revelada, específicamente cuyo nombre en código es «letscall». Voice Phishing o Vishing para abreviar es una estafa insidiosa.
Publicidad
Los investigadores de TI de Threatfabric han descubierto una estafa de phishing avanzada, sofisticada y compleja que actualmente opera en Corea del Sur. No obstante, explican que también se pueden implantar en Europa sin problemas Analistas de TI en su publicación de blog.
Fraude de vishing: préstamo de dinero en nombre de las víctimas
Los atacantes inicialmente atraen a las víctimas a un sitio de phishing bien diseñado, similar a Google Play Store. Desde allí, las víctimas descargan las primeras capas de aplicaciones maliciosas. Solicita los permisos necesarios, abre la página de phishing real y descarga una segunda pieza de malware del servidor de control. El secundario recopila datos, los envía a los ciberdelincuentes e integra los dispositivos de las víctimas en una red VoIP punto a punto.
Letscall se basa en la tecnología WebRTC para redirigir el tráfico de VoIP y conectar a las víctimas con el personal del centro de llamadas. Otra tercera pieza de malware agrega un segundo archivo de código malicioso para llamar a funciones que los estafadores usan para desviar llamadas.
Una historia de un ataque Vishing Letscall
(Imagen: Tela de miedo)
Con información confidencial robada durante una infección de teléfono celular, los autores intelectuales detrás de la estafa solicitan microcréditos en nombre de las víctimas. Si las víctimas escuchan una actividad inusual, los estafadores los llamarán y se harán pasar por miembros del equipo de seguridad del banco. Se asegura a las víctimas que no se preocupen.
Publicidad
Cuando una víctima intenta llamar a un banco para hacer preguntas sobre actividades sospechosas, los estafadores redirigen la llamada a los centros de llamadas que controlan. Un agente bien preparado responderá la llamada y podrá recopilar información adicional que ayudará a quienes están detrás de sus actividades delictivas y completar la transacción fraudulenta.
Ciberdelincuentes profesionales
Los investigadores de ThreadFabric dicen que un equipo contra el crimen debe constar de varios especialistas. Necesita desarrolladores de Android con conocimientos de enrutamiento de VoIP, diseñadores web para íconos y contenido de sitios de phishing, paneles de administración y aplicaciones móviles maliciosas, desarrolladores front-end con conocimientos de Javascript, incluido el procesamiento de tráfico de VoIP, y desarrolladores de back-end con conocimientos de API de back-end seguras. . . Por supuesto, las bandas criminales también incluyen trabajadores de centros de llamadas con habilidades de ingeniería social que dominan varios idiomas.
(DMK)
«Amante de los viajes extremos. Fanático del tocino. Alborotador. Introvertido. Apasionado fanático de la música».
