Jueves, 11 de septiembre de 2008
Por Fernando Basto
Comprar en Internet es seguro. Deseo comenzar este articulo haciendo dicha claridad en el sentido que cualquier medio transaccional es seguro, en la medida que el usuario aprenda a protegerse de la delincuencia existente en cada uno.
Si bien a nuestros abuelos les toco aprender a diferenciar entre una piedrita dorada a una verdadera joya en oro, a nuestros padres sumado a lo anterior la diferenciación entre un billete falso y uno verdadero, pues en esta nueva era a nosotros nos tocara adicional a los dos anteriores, aprender a distinguir entre un sitio web “tramposo” y uno legal.
Modalidades de delincuencia informática existen varias, que van desde la interceptación pasiva de datos (sniffing), la modificación no autorizada de datos (tampering), la actuación a nombre de otros usuarios (spoofing), los ataques y saturación a sistemas (jamming) y el robo de identidad de una organización para capturar datos de clientes visitantes en sus sitios web falsos (phishing), y sobre el cual nos ocuparemos en este artículo, por ser tal vez hoy día uno de los más frecuentes y fáciles de realizar.
En primer lugar daré un definición más clara de lo que es el Phishing, tomada esta de la wikipedia: “Phishing es un término utilizado en informática con el cual se denomina el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta, como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria. El estafador, mejor conocido como phisher se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico o algún sistema de mensajería instantánea.”
Voy a ejemplarizar la anterior definición tomando sus apartes principales y presentando a su vez pantallazas probatorios de esta técnica delicuencial, así:
“intentar adquirir información confidencial de forma fraudulenta …”
Es obvio que lo que busca el delincuente o phisher es obtener datos para posterior uso. Logins y password a tus correos, números de tarjeta de crédito, números y claves de cuentas, accesos a bases de datos, entre otras. Posteriormente una vez obtenidos estos datos estarás en manos de dios de lo que hagan con los mismos.
Mensajes como: “Estimado Cliente, estamos revisando su acceso a nuestro sistema motivo el cual necesitamos que digite sus datos de tarjeta de crédito y claves para comprobar el mismo”, hoy en día frecuentemente son utilizados por estos delincuentes, aprovechando la ignorancia sobre el tema de muchos cyber-usuarios.
El estafador, mejor conocido como phisher se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica …
La principal técnica de cómo le abordarán es el email. A usted le llegarán mensajes como los que a continuación presento; incluso si no tiene cuenta con dicha institución. Puede que nunca hayas tenido una cuenta con Paypal o Bank of America, pero la técnica de estos delicuentes está en enviar spam (correo masivo sin consentimiento) como en una suerte de pezca milagrosa.
Por ejemplo a mi persona me han llegado correos solicitando confirmación de datos y cuentas que en mi vida he tenido … pero el verdadero problema y al cual nos debemos anticipar, es cuando estos comiencen a llegar de sitios Bancarios en los que sí tengamos relación.
Caso 1: Phishing de Bank of America
Ejemplo 1: eMail falso de Bank of America.
Aparentemente cuando le de clic me llevará a la dirección web http://www.bankofamerica.com/index.cfm (ver hipervinculo en azul), pero al darle clic en realidad como vemos en la siguiente gráfica, me llevó a otra dirección NO relacionada con el Bank of America.
Ejemplo 2: Sitio falso al que me lleva el email anterior.
Al darle clic en el hipervínculo anterior me trajo a este sitio web de url, http://www.changemedia.or.kr/bbs/data/free/%20/cgi.b/bankofamerica.cgi/login.cfm/page_msg=signon&showstatic=secure/ … como pueden ver esta dirección real es de un dominio http://www.changemedia.or.kr/ que en sí no tiene nada que ver con el Bank of America.
Caso 2: Phishing de Regions Bank
Dirección visible:
https://secure.regionsnet.com/EBanking/logon/user?a=defaultAffiliate
Dirección real a la que apunta (ver en la gráfica la que se activó al pasar el Mouse sobre el hipervínculo): http://www.withrun.com/bbs/data/9000/.https/.secure.regionsnet.com/EBanking/logon_user=defaultAffiliate/index.php
Caso 3: Phishing de Paypal
Dirección visible:
Click here to activate your account
Dirección real a la que apunta (ver en la gráfica la que se activó al pasar el Mouse sobre el hipervínculo):
http://p7.hostingprod.com/@barthmoment.com/index.php
Otra de las características de estos sitios falsos a donde llevan es que duran poco tiempo al aire, recuerden que es una especie de pezca milagrosa de tal forma que solo permanecen activos mientras algunos “caen”. Al momento de escribir este artículo los dos últimos ya estaban fuera del aire.
¿Cómo detectar la veracidad de un sitio seguro?
En primer lugar, si ha observado bien los ejemplos anteriores ya puede concluir que uno de los principales factores es la dirección web a donde realmente Usted llegará. Si le llega un email del Banco XYZ, en donde su web real es http://www.bancoxyz.com/ , pero realmente dicho mail lo conecta con una web http://www.abcd.com/ , desconfíe y suspenda su operación.
En segundo lugar está la identificación como un sitio seguro. Los sitios seguros de Internet en donde su información se envía y recibe de forma encriptada (sistema de codificación de datos) se activará un candado en la parte inferior derecha de su navegador. Si adicionalmente desea comprobar la veracidad del sitio, puede darle un doble clic sobre dicho icono y adicionalmente obtendrá información del certificado de seguridad que posee la web en la que se encuentra.
En el siguiente ejemplo vemos como el sitio REAL de Paypal si tiene dicho candado y certificado de seguridad.
Recomendaciones finales
Como recomendaciones principales sobre este tema de Phishing le puedo realizar las siguientes:
Analice y revise bien las comunicaciones relacionadas con Bancos, Sistemas restringidos, Bases de datos o Empresas en donde generalmente el uso de la información tiene valor financiero o crítico para su vida.
En principio desconfíe de comunicaciones en donde le soliciten corroboración de datos como tarjetas de crédito, logins, claves o cuentas bancarias, hasta no cerciorarse de la validez de las mismas.
Compruebe a la hora de enviar sus datos críticos como números de tarjetas de crédito o claves que se encuentra bajo un servidor seguro.
Siga las recomendaciones sobre seguridad de su entidad bancaria y tenga presente las direcciones web dadas por ellos exclusivamente para sus actividades en línea.
Tome las medidas de seguridad necesarias sobre sus documentos. En la mayoría de los casos Usted puede ser objeto de fraude, más por descuido suyo que por haber comprado por Internet.
Como se da cuenta protegerse en la red en la mayoría de los casos no es diferente a utilizar un poco de “malicia indígena” y perspicacia a la hora de enviar nuestros datos críticos. La mala no es la red, abusadores existen en todos los medios, es nuestro deber informarnos de estas medidas básicas de seguridad y así se evitará dolores de cabeza, en pocas palabras es como si le diera por retirar dinero de un cajero electrónico a las 2 de la mañana en una calle desolada … y después se preguntara porque ha sido victima de un atraco.
Compre seguro en la red.
FERNANDO BASTO CORREA
contacto@fernandobasto.com
0 comentarios:
Publicar un comentario