Una broma en TikTok se convierte en fraude real que demuestra cómo los cibercriminales convencen a las víctimas a que los llamen. En los últimos cuatro meses, expertos de Kaspersky detectaron cerca de 350,000 correos electrónicos de vishing que solicitan a las víctimas que llamen y cancelen una ‘transacción’

Una broma en TikTok, donde las personas llaman a sus amigos usando la voz de un contestador automático para decirles que una gran cantidad de dinero está a punto de ser extraída de su cuenta de banco, está ganando popularidad. Los expertos de Kaspersky advierten que este formato, llamado vishing, también es utilizado por los ciberdelincuentes. Los investigadores de Kaspersky detectaron un aumento en el número de correos de vishing en junio (casi 100,000 en total) y recopilaron aproximadamente 350,000 correos electrónicos de vishing entre marzo y junio de 2022.

De acuerdo con los expertos de Kaspersky, vishing (abreviatura de phishing de voz) es la práctica fraudulenta de convencer a las personas a que llamen vía telefónica a los ciberdelincuentes y revelen información personal y datos bancarios. Como la mayoría de los ataques de phishing, comienza con un correo electrónico inusual de una tienda importante en línea o un sistema de pago. Por ejemplo, podría ser una carta falsa supuestamente enviada por PayPal para informar que acaba de recibir una solicitud para retirar una gran cantidad de dinero de la cuenta.

Mientras que los correos electrónicos regulares de phishing le piden a la víctima que siga un enlace para cancelar el pedido, los mails de vishing solicitan que llame urgentemente al número de atención al cliente proporcionado en el correo electrónico. Los expertos de Kaspersky enfatizan que este método es atractivo para los ciberdelincuentes porque cuando las personas ven un sitio de phishing tienen tiempo para pensar en lo que hacen o notar señales de que la página no es legítima. Pero cuando las víctimas hablan por teléfono, por lo general, se distraen y les resulta más difícil concentrarse. En estas circunstancias, los atacantes hacen todo lo posible para despistarlos aún más, apresurarlos, intimidarlos y exigirles que proporcionen urgentemente los datos de su tarjeta de crédito para cancelar la supuesta transacción fraudulenta. Después de obtener los detalles de la cuenta bancaria de la víctima, los ciberdelincuentes usan la información para robarles el dinero y dejan a la víctima con la cuenta vacía.

Los expertos de Kaspersky destacan que en los últimos cuatro meses (de marzo a junio de 2022) han detectado casi 350,000 correos electrónicos de vishing que solicitan a las víctimas que llamen y cancelen una transacción. Sin embargo, tan solo en junio la cantidad de correos electrónicos de este tipo aumentó, llegando a casi 100,000, lo que llevó a los investigadores de Kaspersky a concluir que esta tendencia está ganando impulso y es probable que continúe creciendo.

El vishing también ha sido puesto en práctica por los TikTokers, con la única diferencia de que no envían un correo electrónico fraudulento por adelantado ni roban nada a sus víctimas: su objetivo es el espectáculo, no el dinero. La llamada se realiza a través de un contestador automático, cuya voz se genera con un traductor en línea. La mayoría de las veces, se presentan como representantes del departamento de servicio al cliente de una tienda importante en línea, alegando que acaban de recibir un pedido de la víctima por varios miles de dólares y solicitando su confirmación. Sin importar lo que la víctima responda, el contestador automático señala lo siguiente: «Gracias, su pedido ha sido confirmado». Con ello, las personas piensan que el contestador automático escuchó mal y como consecuencia, que el dinero se retirará de su cuenta de inmediato.

La gran cantidad de videos que hay en TikTok replicando esta broma ejemplifica muy bien que cuando se convence a las personas de revelar sus datos personales durante una llamada telefónica en lugar de en una página de phishing, a menudo no tienen la oportunidad de considerar que son objeto de un engaño.

“Frecuentemente, me encuentro con vídeos en TikTok de blogueros que hacen bromas a otras personas llamándoles y diciéndoles que su cuenta está a punto de recibir un cargo de miles de dólares. Las víctimas se lo creen y se vuelven locas por ello. Al mirar estos vídeos en el teléfono, pensamos: «¿Cómo puede alguien caer con algo así?». Pero cuando las personas se encuentran con llamadas fraudulentas en la vida real, a menudo se ven afectadas por múltiples circunstancias al mismo tiempo. Tales llamadas pueden tomarlos desprevenidos, mientras pueda que estén pensando en otras cosas, imposibilitándolos de evaluar claramente quién está al otro lado de la llamada; un bromista, un estafador o un asesor bancario”, comenta Roman Dedenok, experto en seguridad de Kaspersky.

Para protegerse del vishing, Kaspersky recomienda:

●       Verificar la dirección del remitente. La mayoría de los correos electrónicos no deseados provienen de direcciones que no tienen sentido o aparecen como galimatías, por ejemplo: amazondeals@tX94002222aitx2.com o algo similar. Al pasar el cursor sobre el nombre del remitente, que podría estar escrito incorrectamente, se puede ver la dirección de correo electrónico completa. Si no se está seguro de si es legítima o no, se puede poner en un motor de búsqueda para verificarla.

●       Considerar qué tipo de información se solicita. Las empresas legítimas no entran en contacto inesperadamente a través de correos electrónicos no solicitados para pedir información personal, como datos bancarios o de tarjetas de crédito, el número de seguro social u otra información confidencial. En general, los mensajes no solicitados que piden «verificar los detalles de la cuenta» o «actualizar la información de su cuenta» deben tratarse con precaución.

●       Ser cauteloso si el mensaje está creando un sentido de urgencia. Los remitentes de spam a menudo tratan de ejercer presión mediante el uso de esta táctica. Por ejemplo, el asunto puede contener palabras como «urgente» o «se requiere acción inmediata» para presionarlo a que actúe.

●       Revisar la gramática y la ortografía es una forma eficaz de identificar a un estafador. Los errores tipográficos y la mala gramática son señales de alerta. También lo son las frases extrañas o la sintaxis inusual, que pueden ser resultado de varias traducciones en el correo electrónico.

●       Instalar una solución de seguridad en la que pueda confiar y seguir sus recomendaciones. La solución resolverá la mayoría de los problemas automáticamente y le avisará si es necesario.

Aprenda sobre otros métodos populares de fraude por correo electrónico leyendo el informe completo en Securelist.