bienvenido a t-cert
Delincuentes están utilizando bots como herramienta para realizar estafas telefónicas, conocidas como vishing. El uso de bots de voz ayuda muchas veces a convencer a usuarios desprevenidos de que se trata de una llamada legítima y son usados para obtener las contraseñas de único uso (OTP, por sus siglas en inglés) o el código de verificación, también conocido como doble factor de autenticación (2FA) o verificación en dos pasos. De esta manera, logran acceder a cuentas de usuarios en servicios como PayPal, Amazon, Coinbase o entidades bancarias, entre otros servicios, explica un artículo de Vice.
A través de estos bots, denominados en inglés OTP Bots, los criminales sin tantas habilidades de ingeniería social encuentran una buena opción para persuadir a las potenciales víctimas. En las estafas telefónicas tradicionales es el propio delincuente el que busca convencer a la víctima del otro lado del teléfono. En estos casos, el riesgo de que la víctima se dé cuenta de que se trata de un fraude depende en gran medida de las habilidades del criminal al teléfono. Lo que ocurre también es que muchas compañías en la actualidad utilizan bots para prestar servicio de atención al cliente, y el sonido familiar debido a la falta de personalización contribuye a que la víctima no sospeche que algo está ocurriendo.
Para poder comprometer las cuentas mediante el código de verificación los cibercriminales deberán hacerse previamente de las credenciales de acceso (dirección de correo y contraseña) de los usuarios. Recordemos que un bien muy preciado en el negocio del cibercrimen son los datos personales, ya que tienen un valor comercial al ser utilizados para llevar adelante ataques de ingeniería social. Una de las consecuencias más frecuentes de los ciberataques es el robo de información. Cuando una compoañía o servicio sufre una brecha de datos por lo general esta información luego es puesta a la venta o publicada incluso de forma gratuita en foros clandestinos, y contienen credenciales y otro tipo de información personal de los usuarios. Un ejemplo de esto es lo que ocurrió con la plataforma de trading Robinhood recientemente, que sufrió una intrusión a sus sistemas que derivó en el robo de información personal de 7 millones de clientes. Pocos días después se conocía que en foros de hacking estaban vendiendo 7 millones de direcciones de correo de usuarios de Robinhood.
Una vez que el atacante tiene en su poder los nombres de usuario y contraseña de la cuenta que quieren comprometer, los delincuentes ingresan el número de teléfono junto a un comando y el nombre del servicio o cuenta que quieren comprometer; por ejemplo, PayPal. Luego, el bot llama a la víctima haciéndose pasar por ese servicio utilizando algún pretexto, como un movimiento sospechoso. En un momento de la conversación el bot solicita a la víctima que verifique su identidad ingresando un código que recibirá en su teléfono. La víctima ingresa la clave y automáticamente la recibe el atacante a través de la herramienta.
El uso de estos bots demuestra una vez más cómo los criminales buscan nuevas formas de cometer fraude y al parecer su popularidad está creciendo. Ante este escenario es importante que los usuarios sepan que existe esta modalidad de estafa y que tengan presente nunca ingresar información personal o claves si no fueron ellos quienes realizaron la llamada.
.jpg){kind=small}