Qué es el “callback phishing”: la evolución de los ataques de ingeniería social que deberías conocer

Date:

El phishing es uno de los ataques de ingeniería social más utilizados por los ciberdelincuentes para robar datos confidenciales de las víctimas y exigir dinero a cambio. Engañan a usuarios desprevenidos para que abran un correo electrónico, un mensaje vía WhatsApp o un SMS y hagan clic en un enlace malicioso. 

Una vez haces clic, la mayoría de las veces se instala malware en el sistema, dando así acceso a información personal que luego se utiliza para extorsionar o simplemente hacer daño.

Dicho esto, los actores de amenazas se han vuelto más listos y utilizan constantemente nuevas técnicas y herramientas para embaucar a los usuarios. Ya hemos hablado, por ejemplo, del ransomware de triple extorsión y hoy queremos centrarnos en lo que se conoce como “callback phishing” o phishing de devolución de llamada, en español.

Y es que, pese a que la seguridad en Internet cada vez es más evolucionada y es capaz de hacer frente a diferentes tipos de ataques, los ciberdelincuentes parecen hacer encontrado una nueva forma de hacer caer a las víctimas.

Qué es el “callback phishing”

El phishing de devolución de llamada, “callback phishing” o también conocido como ataque de entrega telefónica (TOAD, por sus siglas en inglés), es un ataque de ingeniería social que requiere que un actor de la amenaza interactúe con la víctima para lograr sus objetivos. 

Aunque la idea que se esconde detrás requiere más recursos, la baja complejidad de los ataques, así como su efectividad, permite alcanzar una mayor tasa de éxito. El ataque comienza como un correo electrónico de phishing hacia una víctima que simulan ser suscripciones muy caras diseñadas para llevar a confusión al destinatario, ya que nunca se suscribió a estos servicios.

¿Qué es Spoofing?

Se incluye un número de teléfono al que el destinatario puede llamar para obtener más información sobre esta “suscripción” y cancelarla. Lo que la víctima no sabe es que se trata de un correo electrónico de phishing y que, una vez que marca el número del servicio de atención al cliente, es un ciberdelincuente quién está detrás.

A continuación, el atacante intentará recopilar información confidencial para validar la “transacción” y cancelar esa “suscripción”. La información recopilada serán números tarjetas de crédito y cuentas bancarias. Una vez que el atacante obtiene la información que necesita, la llamada finaliza y las cuentas de la víctima quedan vulnerables.

Lo que hace que este ataque sea único es que los correos de “callback phishing” eluden los filtros de correo electrónico básicos porque no incluyen enlaces maliciosos ni archivos adjuntos con malware. En su lugar, los ataques de phishing se centran en gran medida en la ingeniería social y ese número de teléfono que proporcionan. 

Sabiendo esto, la única barrera que pueden encontrar los atacantes es que la víctima se niegue a dar sus datos personales o conozcan este tipo de casos.

PayPal

Cómo evitar ser víctima de este nuevo ataque de ingeniería social

Con todo esto como base, queremos dejarte algunos trucos para evitar convertirnos en las próximas víctimas de estos nuevos ataques.

Por un lado, es vital revisar que las empresas o personas que se ponen en contacto con nosotros son legítimas. Para ello, haz clic en la dirección de correo electrónico del remitente y comprueba si pertenece al dominio de la empresa oficial. Si hay faltas de ortografía o caracteres sospechosos en una dirección de correo electrónico, es probable que el remitente esté intentando suplantar una identidad.

Por ejemplo, si los correos electrónicos típicos del servicio de atención al cliente de Netflix siempre proceden de esta dirección: “[email protected].” y, de repente, recibes un correo del servicio [email protected]_1.com.” con el logotipo de la empresa y un número de devolución de llamada, es probable que se trate de un intento de phishing de devolución de llamada. 

ordenador y candado

Por otro lado, si el lenguaje del correo electrónico intenta convencerte de que hagas algo con urgencia, es una señal de alarma. Los ciberdelincuentes son siempre muy persistentes en sus correos electrónicos de phishing y, al igual que los tradicionales, intentarán convencerte para que llames, en este caso.

Del mismo modo que antes, revisa ese número de teléfono en Internet y comprueba que se trate del oficial del servicio de atención al cliente o aquello por lo que se estén haciendo pasar.

Ahora que sabes de qué se trata este nuevo ataque de ingeniería social basado en el phishing, es de vital importancia que cuando recibas un correo de este tipo, primero de todo, sospeches. Es realmente necesario siempre ir con mucho cuidado cuando se trata de nuestro datos personales y bancarios.

Share post:

Subscribe

spot_imgspot_img
spot_imgspot_img

Populares

Otras Noticias
Related

Estudiantes del Intec entrenan IA para predecir variantes genéticas asociadas a enfermedades complejas

Stand presenta bioplásticos y biomateriales realizados en el...

Destacan creciente incidencia del cáncer colorrectal en pacientes jóvenes en 3% anual

George Molina, médico cirujano oncólogo. (Foto: Luis Montero) EL...

Un trabajador revela el secreto de Apple a la hora de fabricar sus propios chips

Pese al hermetismo que caracteriza a Apple, parece que...

SJC aclara alcance de su política de protección de datos

La Suprema Corte de Justicia aclara que la política...

Parece que la IA se le está quedando grande a NVIDIA, y eso es un grave problema

Si hay que hablar de inteligencia artificial y grandes...

San Cristóbal será sede del Congreso Hispanoamericano de Prensa

San Cristóbal;- El próximo viernes 29 de noviembre, San...

Cuatro nuevos hoteles Súper 8 serán construidos en varios destinos

El Grupo De Valle anunció la construcción de cuatro...