1/9/07

Delíto informático: El Phishing

Desde este blog, la seguridad en nuestro entorno, trato de dar respuesta a todo lo que puede ser susceptible de mejorar en lo que a nuestra seguridad se refiere. El abanico es amplio: la casa, la calle, el trabajo, las vacaciones, la carretera, los niños, los mayores, etc.

Hoy me voy a adentrar en un mundo en el que somos especialmente sensibles, pero a veces confiados: nuestro dinero, en especial el dinero electrónico, hablando de un tema de desgraciadamente esta cada vez más al día:

El Phishing

Lo podemos definir como una verdadera obra de ingeniería social con una única pretensión, hacer que desvelemos nuestras claves bancarias: usuario, password, y cualquier otro dato que pueda facilitar a estos ladrones de guante electrónico, la entrada a nuestra cuenta, libreta, o tarjeta de crédito.

¿Cómo detectar el phishing?

La esencia y el método es casi siempre el mismo. Recibimos un correo electrónico en el cual nos darán una serie de argumentos ingeniosos: Recomendaciones para nuestra seguridad, Detección de fraudes, Problemas técnicos, Cambios en la política de seguridad, etc. Nos pedirán que cliquemos en un enlace el cual nos redirecciona a una página prácticamente idéntica a la de nuestra entidad bancaria. Una vez allí, nos pedirán que rellenemos un formulario en el que, por supuesto s¡ no somos cautos, desvelaremos todos nuestros datos. En este momento hemos dado sin saberlo a estos “cacos”, la combinación de nuestra “caja fuerte”.

El ataque es como salir de pesca. Mandan mediante un envío masivo, miles de e-mails, con la intención o con la esperanza de que algún ingenuo “pique”. Suele ser habitual que se dirijan a nosotros de forma impersonal con algo parecido a: Estimado Sr. Apreciado cliente, este dato ya nos debe hacer desconfiar.

En cualquier caso debemos sospechar de un correo de esta índole. ¿En que caso nuestra entidad bancaria nos pedirá datos confidenciales para verificar?. ¡Nunca!, los tienen todos en sus bases de datos.

Más allá, si nos fijamos atentamente en la dirección desde dónde llega, veremos que tiene similitudes con la de nuestra entidad, pero con cambios sustanciales.

Si la dirección original podría ser
www.mibanco.com, ellos utilizarán deformaciones como las siguientes:www.mivanco.com, www.mi-banco.com, etc.

Normas de seguridad

Para no caer en ninguna de estas trampas, debemos tener muy en cuenta estas recomendaciones:

No responda a ningún correo electrónico que nos manden desde entidades financieras que no sean la nuestra, y en cualquier caso a ninguno que nos pida datos confidenciales.

No atienda ningún correo en un idioma que no sea el suyo.

No responda a ofertas que, de entrada, parecen desproporcionadas.

Si accede a la página de su entidad bancaria, hágalo desde la barra de direcciones del navegador, no desde un buscador.

No acceda jamás a su entidad bancaria desde un enlace.

Para tener la seguridad de conexión a un servidor seguro, compruebe que en la barra de direcciones de su navegador, que la URL empieza por
https://

En el caso de Internet Explorer o de Netscape, aparece, un candado que nos indica conexión segura. Al clicar sobre este podemos obtener el certificado de conexión a un web seguro.

En cualquier caso ante la duda, lo mejor será siempre llamar a su entidad bancaria y hacer la comprobación pertinente.

Y si no se trata de una duda sino de una realidad, póngase en contacto con el
Grupo de Delitos Telemáticos de la Guardia Civil ellos le atenderán de forma profesional indicándole las acciones que debe tomar.


2 comentarios:

Carolus dijo...

Sobre ingeniería social recomendaría los libros de “The Arto f Deception” y “The art of Intrusion” de Kevin Mitnick, y “El gran juego” de Carlos Martín Pérez. Imagino que debe de haber muchos más, pero son los que conozco. "El gran juego" se puede encontrar en http://www.librosenred.com/autores/CarlosMartinPerez.aspx
http://www.personal.able.es/cm.perez/Extracto_de_EL_GRAN_JUEGO.pdf

Josep Lluís Pouy dijo...

Grácias por tus aportaciones Carolus. Tenemos los dos primeros en casa aunque no los hemos leído aún.
Y tu blog me ha parecido muy interesante, lo he redirigido desde el mñio.