Los emails del príncipe nigeriano quedaron atrás. La estafa telefónica que describe el empresario Pieter Gunst en Twitter demuestra que los nuevos ataques de phishing no se deberían subestimar. Una llamada y ¡adiós dinero!
En el caso Gunst, esa llamada transcurrió así:
—Hola, le llamo de su banco. Ha habido un intento de usar su tarjeta en Miami, Florida. ¿Ha sido usted?
—No.
—De acuerdo, hemos bloqueado la transacción. Para verificar que estoy hablando con Pieter, ¿me podría decir su número de miembro?
—Es...
(El número de miembro no es una clave privada, así que hasta aquí todo bien).
—Le hemos enviado un pin de verificación a su teléfono.
(Gunst recibió un SMS de la centralita de su banco con el código de verificación y se lo leyó en voz alta al estafador).
—De acuerdo, voy a leer otras transacciones, dígame si son suyas...
—Sí, son transacciones legítimas que yo mismo hice.
—Gracias, ahora queremos bloquear el PIN de su cuenta para que reciba una alerta de fraude cuando se vuelva a usar, ¿cuál es su PIN?
—¿Está de broma? No le voy a dar mi PIN.
—De acuerdo, pero entonces no podremos bloquear su tarjeta.
Gunst colgó el teléfono e informó a su banco de lo ocurrido. El atacante había aprovechado el número de miembro que la propia víctima le proporcionó para restablecer su contraseña de la web del banco, lo que generó un número de verificación que el banco envió a Gunst por SMS. Pieter ya había recibido otros códigos de verificación de ese mismo número, por lo que creyó que realmente estaba hablando con su banco y reveló al atacante esa información.
Una vez que el atacante obtuvo el número, accedió a la cuenta bancaria y leyó algunas transacciones reales para dar más credibilidad a la llamada. Sin embargo, necesitaba el PIN para transferir o retirar dinero, y eso fue lo que destapó la mentira. Un empleado del banco no debería pedirte tu clave privada.
En esencia, es lo mismo que mencionaba en otro artículo: hackear la verificación en dos pasos puede ser absurdamente fácil con un poco de ingeniería social. Si te haces con algunos datos personales de la víctima y te inventas una buena historia, convencerlo de que te lea un número que le llega por SMS es trivial.
En el contexto de la seguridad informática, el usuario suele ser el factor más débil porque puedes sacarle información confidencial mediante la manipulación. Pero la culpa de esto ocurra la tienen las empresas que diseñan los sistemas de verificación: el banco podría avisar en el SMS de que no debes dar el código a nadie, ni siquiera a un supuesto empleado del banco.