El PHISING actualmente consiste en una técnica para captar información bancaria de los usuarios a través de la utilización de la imagen de una la entidad financiera.
De esta manera, el usuario, creyendo estar en un
sitio de toda confianza, introduce la información solicitada que,
en realidad, va a parar a manos del estafador.
Existe un amplio abanico de software
y aplicaciones de toda índole que quedan clasificados
dentro de la categoría de robo de información personal o
financiera, algunas de ellas realmente complejas.
- Uso de nombres de compañías
ya existentes. En lugar de crear desde cero el sitio web
de una compañía ficticia, los estafadores adoptan la imagen corporativa y
funcionalidad del sitio de web de una empresa existente,
con el fin de confundir aún más al receptor del mensaje.
- Utilizar el nombre de un
empleado real de una empresa para enviar un correo Phishing.
De esta manera, si el receptor intenta confirmar la veracidad del
correo llamando a la compañía, desde ésta le podrán confirmar
que la persona que dice hablar en nombre de la empresa trabaja en
la misma.
- Direcciones web con la
apariencia correcta. El correo
fraudulento suele conducir al lector hacia sitios web que replican
el aspecto de la empresa que está siendo utilizada para robar la
información. En realidad, tanto los contenidos como la
dirección web son falsos e imitan los contenidos reales. Incluso la
información legal y otros enlaces no vitales pueden redirigir al
confiado usuario a la página web real.
- Factor miedo. La
ventana de oportunidad de los defraudadores es muy breve, ya que
una vez se informa a la compañía de que sus clientes están
siendo objeto de este tipo de prácticas, el servidor que aloja al sitio web fraudulento y sirve para la
recogida de información se cierra en el intervalo de unos pocos días.
Por lo tanto, es fundamental para el defraudador el conseguir una
respuesta inmediata por parte del usuario. En muchos casos, el
mejor incentivo es amenazar con una pérdida, ya sea económica o
de la propia cuenta existente, si no se siguen las instrucciones
indicadas en el correo recibido.
- Man-in-the-middle (hombre
en el medio). En esta técnica, el atacante se
sitúa entre el usuario y el sitio web real, actuando a modo de proxy. De esta manera, es capaz de escuchar toda la comunicación
entre ambos.
- Aprovechamiento de vulnerabilidades
de tipo 'Cross-Site Scripting' en un sitio web,
que permiten simular una página web segura de una entidad
bancaria, sin que el usuario pueda detectar anomalías en la
dirección ni en el certificado de seguridad que aparece en el
navegador.
- Aprovechamiento de
vulnerabilidades
en navegadores
¿Cómo funciona? ¿Cómo se distribuye?
El mecanismo más habitualmente
empleado es la generación de un correo electrónico falso que simule proceder de una determinada compañía, a cuyos clientes se
pretende engañar. Dicho mensaje contendrá enlaces que
apuntan a una o varias páginas web que replican en todo o en parte el
aspecto y la funcionalidad de la empresa, de la que se espera que el
receptor mantenga una relación comercial. Si el receptor del mensaje
de correo efectivamente tiene esa relación con la empresa y confía
en que el mensaje procede realmente de esta fuente, puede acabar
introduciendo información sensible en un formulario falso ubicado
en uno de esos sitios web.
En cuanto a su distribución,
también presentan características comunes:
- De la misma manera que el spam, es enviado masiva e indiscriminadamente por
correo electrónico o sistemas de mensajería instantánea:
- El mensaje insta al usuario a
pulsar sobre un enlace, que le llevará a una página en la
que deberá introducir sus datos confidenciales, con
la excusa de confirmarlos, reactivar su cuenta, etc.
- Se envía como una alerta
de una entidad financiera advirtiendo de un ataque.
Incluye un enlace que se insta a pulsar y en el que se
solicitan datos personales.
- Dado que el mensaje se distribuye
masivamente, alguno de los receptores será efectivamente
cliente de la entidad. En el mensaje se indica que,
debido a algún problema de seguridad es necesario acceder
a una dirección web donde debe reconfirmar sus datos:
nombre de usuario, contraseña,
número de tarjeta de crédito, PIN, número de seguridad social,
etc.
- Por supuesto, el enlace no dirige a
ninguna página de la compañía, sino más bien a un sitio web
(similar al original) desarrollado a propósito por los estafadores y que reproduce
la imagen corporativa de la entidad financiera en cuestión.
Normalmente la dirección web contiene el nombre de la institución
legítima por lo que el cliente no sospecha de la falsedad de la
misma.
- Cuando el usuario introduce sus
datos confidenciales, éstos se almacenan en una base de datos y
lo que ocurre a continuación no necesita de un gran esfuerzo de
imaginación: los estafadores utilizan esta información
para conectarse a su cuenta y disponer libremente de los fondos.
Los principales daños provocados
por el phishing son:
- Robo de identidad y
datos confidenciales de los usuarios (tarjetas de crédito, claves
de acceso, etc).
- Pérdida de productividad.
- Consumo de recursos de
las redes corporativas (ancho de banda, saturación del correo,
etc.).
¿Cómo puedo reconocer un mensaje de phishing?
Distinguir un mensaje de phishing de otro legítimo puede no resultar fácil para un
usuario que haya recibido un correo de tales características,
especialmente cuando es efectivamente cliente de la entidad financiera
de la que supuestamente proviene el mensaje.
- El campo De: del mensaje
muestra una dirección de la compañía en cuestión. No obstante, es sencillo para el estafador modificar la dirección de
origen que se muestra en cualquier cliente de correo.
- El mensaje de correo electrónico
presenta logotipos o imágenes que han sido recogidas del
sitio web real al que el mensaje fraudulento hace
referencia.
- El enlace que se muestra
parece apuntar al sitio web original de la compañía,
pero en realidad lleva a una página web fraudulenta, en la que se
solicitarán datos de usuarios, contraseñas, etc.
- Normalmente estos mensajes de correo
electrónico presentan errores gramaticales o palabras
cambiadas, que no son usuales en las comunicaciones de la
entidad por la que se están intentando hacer pasar.
Ejemplo 1: Página
clonada del Banco Cajamadrid en España.
Ejemplo2: Otro
ejemplo de Phishing: Banco Viabcp - Paypal
Todos los usuarios corremos el riesgo de ser víctimas de estos intentos de estafa. Cabe detallar que es realmente barato el realizar un ataque de
este tipo y los beneficios obtenidos pueden ser cuantiosos con tan sólo
un pequeñísimo porcentaje de éxito.
¿Cómo puedo
protegerme del phishing?
En caso de que crea que el
mensaje recibido pudiera ser legítimo, algo que de entrada debe ser
considerado como altamente improbable, en primer lugar debería
contactar con la institución financiera, telefónicamente o a través
del medio que utilice habitualmente. Aun en caso afirmativo, verifique
siempre los siguientes puntos antes de introducir cualquier clase de
datos que puedan llegar a ser utilizados maliciosamente por terceros,
para reducir drásticamente el riesgo de sufrir un ataque de phishing:
- Verifique la fuente de la
información. No conteste automáticamente a ningún
correo que solicite información personal o financiera. Si tiene
dudas sobre si realmente esa entidad necesita el tipo de información
que le solicita, basta con telefonear a su contacto habitual para
asegurarse de la fuente de la información.
- Escriba usted mismo la
dirección en su navegador de Internet. En lugar de hacer
clic en el hipervínculo proporcionado en un correo electrónico,
escriba la dirección web directamente en el navegador o utilice
un marcador que haya creado con anterioridad. Incluso direcciones
que aparentan ser correctas en los correos electrónicos pueden
ocultar la ruta hacia un sitio web fraudulento.
- Refuerce su seguridad.
Aquellos usuarios que realizan transacciones a través de Internet
deberían configurar su sistema con suites de seguridad
capaces de bloquear estas amenazas, aplicar los últimos parches
de seguridad facilitados por los fabricantes y
asegurarse de que operan en modo seguro a través de certificados
digitales o protocolos de comunicación seguros como https://
-
Revise periódicamente sus
cuentas. Los extractos mensuales son especialmente útiles
para detectar transferencias o transacciones irregulares, tanto
operaciones que no haya realizado y se vean reflejadas en el
extracto, como operaciones realizadas online y que no
aparezcan en el extracto.
Cumplidos todos estos
requisitos, el usuario puede proporcionar su información con una
razonable seguridad de que ésta no será utilizada contra sus
intereses.
La mejor manera de
protegerse del phishing es entender la manera de actuar de
los proveedores de servicios financieros y otras entidades
susceptibles de recibir este tipo de ataques.
IMPORTANTE
Si
tiene necesidad de realizar una transacciones en línea, tome en cuenta
estas recomendaciones:
- Verifique que su ordenador este libre
de cualquier tipo de malware (virus, spywares, rootkits, etc.)
-
Nunca realice una transacción desde un lugar público, cabina pública o cibercafé.
- La web donde va a realizar la transacción o la 'Pasarela de pagos' debe empezar, en la barra de direcciones, con https:// (encriptación de los datos).
|