Ataque de vishing a una empresa ofreciéndole cursos del SEPE

¿Qué ha ocurrido?
Contacta con la Línea de Ayuda de Ciberseguridad, a través del teléfono 017, una empleada de una empresa, tras haber recibido una llamada ofreciéndole información sobre cursos homologados por el SEPE y solicitándole un correo electrónico para ampliar información.
Además, los interlocutores se identificaron como empleados de una empresa de formación que realmente existe, dotando de más credibilidad la llamada.
Nuestra usuaria facilitó el correo electrónico donde le enviaron un email con un PDF adjunto y le solicitaban el NIF del gerente de la empresa, explicando que, en caso de no facilitarse, podría ser sancionada, ya que el carácter de los cursos era obligatorio.
A parte, requerían también la nómina de algún empleado para poder realizar la reserva del curso, así como la firma de consentimiento para comenzar el proceso de inscripción. Todo ello a través de un enlace.
Al ser consciente de todos los datos que le exigían, la empleada comenzó a sospechar y, por precaución, contestó que no disponía de autorización para facilitar dicha información.
Decidió ponerse en contacto con nosotros para informarse sobre este tipo de fraude y notificar lo sucedido.
¿Qué pautas le hemos dado?
En primer lugar, le explicamos que había sido víctima del vishing, una técnica de manipulación y persuasión conocida como ingeniería social que se realiza a través de llamada telefónica.
A continuación, le ofrecimos las siguientes pautas de actuación de forma reactiva:
- Eliminar el email que recibió.
- Instalar una herramienta antivirus en todos sus ordenadores y dispositivos por si hubiesen podido ser infectados por malware.
- Bloquear el número de teléfono desde el que recibió la llamada.
- Informar al resto de empleados sobre la situación para que estén al tanto por si volviesen a recibir alguna llamada telefónica o correo electrónico similar.
- Recopilar todas las evidencias de lo sucedido.
- Valorar interponer una denuncia antes las Fuerzas y Cuerpos de Seguridad del Estado.
- Ponerse en contacto con la empresa de formación que había sido suplantada para informarles de lo sucedido y puedan actuar en consecuencia.
Además, le ofrecimos consejos preventivos para no caer en este tipo de engaños en el futuro:
- Ante cualquier sospecha, siempre contrastar la información a través de los canales oficiales.
- Nunca facilitar información confidencial o bancaria.
- No entrar en enlaces ni descargar ficheros adjuntos.
Por último, le indicamos que ante cualquier duda que le pudiera surgir, podía volver a contactar con el servicio Tu Ayuda en Ciberseguridad de INCIBE, disponible los 365 días del año de 8:00 a.m. a 11:00 p.m.