Pharming, Smishing, Vishing y Whaling

Otras prácticas de suplantación de identidad para llevar adelante una estafa/fraude son las siguientes: pharming, smishing, vishing y whaling. A continuación las detallaremos brevemente.

Pharming

Consiste en la suplantación de un sitio web legítimo para que el usuario ingrese sus credenciales (usuario y contraseña) en un sitio web falso. El Pharming redirige erróneamente a los usuarios a un sitio web falso que parece ser el oficial, de esa forma los usuarios ingresan sus datos de acceso personal. Obteniendo así los ciberdelincuentes las credenciales de los usuarios.

Smishing

Es la suplantación de identidad a través de mensajes de texto (SMS) en teléfonos móviles. Los delincuentes se hacen pasar por una fuente legítima en un intento por ganar la confianza de la víctima. Por ejemplo, un ataque smishing puede consistir en enviar a la víctima un enlace de sitio web para llevar adelante la instalación de un malware (programa malicioso) en el dispositivo móvil.

Vishing

Este ataque de suplantación de identidad se realiza mediante el uso de la tecnología de comunicación de voz IP (VoIP). Los criminales pueden realizar llamadas de suplantación de fuentes legítimas mediante la tecnología de voz sobre IP. Las víctimas reciben un mensaje (puede que grabado) y supuestamente legítimo. A través del cual los delincuentes buscan obtener los números de tarjetas de crédito u otra información para robar la identidad de la víctima. El Vishing aprovecha el hecho de que las personas dependen de la red de telefonía IP.

Whaling

Es un ataque de suplantación de identidad dirigido. Los cibercriminales apuntan a objetivos personalizados, como ser, cargos de altos nivel dentro de una empresa u organización (ya sea pública o privada). Por ejemplo: CEOs; otras variantes, políticos o celebridades.

A diferencia del phishing (que no tiene un objetivo específico) y del spear phishing (que tiene un objetivo específico). El whaling está dirigido a personas “importantes” de una organización y el engaño se sucede mediante las comunicaciones fraudulentas de una supuesta persona influyente o que tiene un cargo de nivel superior dentro de la organización.

Aquí notamos la incorporación de la ingeniería social al ataque, ya que los empleados sienten “la natural obligación” de responder a las solicitudes de las personas que consideran importantes en su organización.