En los últimos meses se ha detectado un intento de vishing suplantando la identidad de distintas compañías energéticas. Mediante la emisión de llamadas telefónicas, el ciberdelincuente se hace pasar por operador de una determinada compañía eléctrica y/o gas.
A continuación, os dejamos un ejemplo de conversación, basado en hechos reales:
¿Cuáles son los puntos clave que podemos observar?
El «Operador» (estafador) está haciendo uso de algunos datos que ha podido obtener de Internet realizando una investigación OSINT para establecer un contacto inicial con el usuario, tales como el nombre, código postal y teléfono (ya sería trabajo de delitos telemáticos investigar los detalles de este tipo de mafias, etc).
Aprovechan la desesperación de la víctima cuando ve que el precio de su factura ha subido notablemente y no es que los ciberdelincuentes sean adivinos, sino que todo el mundo sabe que la factura ha subido por los aumentos constantes de los precios de las energías. La presión que sufre la víctima hace que no sea capaz de usar su sentido común ni analizar de forma objetiva la situación, logrando así entrar en el juego del “operador”.
Cuando este considera que ha convencido a la víctima, comienza a llevar la conversación al punto objetivo en la que comienza a solicitarle datos sensibles como domicilio, DNI, cuentas bancarias, etc. Aquí, si la víctima no reacciona y facilita la información, es cuando realmente comienza a poner en riesgo sus datos económicos más sensibles.
En el ejemplo anterior, la víctima responde con un poco de sentido común ¿por qué me preguntáis cosas que ya tenéis?. Eso hace que salte una alerta al «operador», el cual está viendo que la víctima se está saliendo del flujo de la estafa y decide acabar con la conversación. En otros casos, podría continuar indicando que es para “confirmar su identidad” y lograr que la víctima vuelva a confiar en el “operador”.
A continuación, os dejamos una serie de conclusiones para evitar caer en este tipo de estafas:
- Bajo ningún concepto debemos facilitar ningún dato de un remitente no verificado (que te digan que es de la compañía X, no significa que realmente lo sea).
- Jamás proporciones información a alguien que no has llamado tu (no sabes con quien estás hablando, ni para que son dichos datos).
- Utiliza el sentido común, no dejes que el argumento del usuario que te ha llamado te nuble una correcta decisión.
- DENUNCIA estas estafas a la Grupo de Delitos Telemáticos de la Guardia Civil (GDT), ellos se harán cargo de investigar y tomar las medidas necesarias.
- Y si eres una organización, conciencia a tus trabajadores para que no se pongan en riesgo a ellos mismos ni a la compañía.
Christian Prieto
Equipo Ciber