Home Opinión Nueva tendencia de la Ingeniería Social: ¿qué es el Callback Phishing?

Nueva tendencia de la Ingeniería Social: ¿qué es el Callback Phishing?

Por Belkys Cabrera R.*

Ya no es suficiente intentar acceder a pescar incautos a través de correo electrónico para el robo de credenciales y la distribución de malware, pues las empresas tienen soluciones de seguridad que escanean los correos entrantes en busca de contenido malicioso. Los mails de phishing y los archivos maliciosos distribuidos por esa vía a menudo se identifican como tales y se rechazan o se ponen en cuarentena o simplemente se bloquean.

Visto esto surge una nueva tendencia invasiva que pretende vulnerarnos el “Callback Phishing”. Algunos actores de amenazas realizan phishing de voz, donde se contacta a un individuo por teléfono y se intenta engañarlo para que tome una acción que beneficie al estafador, utilizando una variedad de tácticas de ingeniería social, referencias familiares, trabajos a los que ha postulado recientemente, sitios que ha visitado en la web, Instagram, Facebook, etc.

El phishing de devolución de llamada o Callback Phishing, es un tipo de ataque híbrido en el que se combinan estos dos métodos: el comúnmente conocido a través de correo y el del llamado o devolución de llamado telefónico.

La metodología para este Phishing se desarrolla de la siguiente manera: inicia con el e envío de un correo electrónico a una persona o empresa específica que se supone va a alertar al destinatario sobre un posible problema. Los ejemplos más comunes son una factura pendiente, un próximo pago o cargo, una infección de programa maligno ficticio o un problema de seguridad o cualquiera de una larga lista de señuelos. En lugar de proporcionar más información en un archivo adjunto o en un sitio web vinculado en el correo electrónico, se entrega un número de teléfono. El destinatario debe llamar al número para obtener más información y abordar el problema detallado en el correo electrónico.

El número de teléfono en este caso pertenece al actor principal que perpetrará la amenaza, utilizando técnicas de ingeniería social que ha evaluado previamente de acuerdo a la víctima escogida. Con esto, la posibilidad de engañar a la persona que llama para que realice una acción será mayor. Así, revelará credenciales, descargará un archivo malicioso o abrirá una sesión de escritorio remoto. En el caso de este último, se usa para entregar un programa maligno (malware) que sirve como puerta trasera en la computadora y la red de la víctima.

Aquí, la clave para resguardarse de los ataques es implementar defensas en capas, es decir, soluciones de seguridad de correo electrónico que realicen una variedad de controles de correos entrantes para identificar direcciones IP maliciosas. Algunas soluciones de seguridad de mail incorporan mecanismos de aprendizaje automático que pueden detectar correos electrónicos que se desvían de los que normalmente recibe una organización. La autenticación multifactorial es otra herramienta vital que debe implementarse en las cuentas para bloquear los intentos de usar credenciales robadas.

No obstante, la mejor defensa contra el phishing de devolución de llamadas es brindar capacitación, conciencia, campañas de divulgación sobre seguridad a las organizaciones. La información oportuna a los empleados sobre las tácticas de ingeniería social más comúnmente utilizadas en estos y otros ataques debe ser una información diaria que se debe difundir, de manera que cualquier evento sospechoso de forma capciosa sea tratado por el colaborador y genere las alertas a los eventos de forma predictiva a las áreas de seguridad y ciberseguridad de la organización.
La conciencia del colaborador, el conocimiento y las competencias necesarias que podamos suministrarles para dar respuestas a estos eventos es la herramienta más fuerte para ser predictivos en estos escenarios de Callback Phsishing.


* Experto en Gestión de Seguridad y Ciberseguridad, Líder Auditor de Seguridad de la Información de ITQ latam
Las opiniones expresadas en este artículo son exclusiva responsabilidad de su autor y no reflejan necesariamente las opiniones de Ciberseguridad LATAM.