SPAM y más SPAM: El phishing sigue vivo

¿Has notado que sigue habiendo “fraude” por Internet? Hay noticias de personas que diariamente denuncian que han sido víctimas de estafas y fraudes, y que como consecuencia de ello, sus cuentas bancarias han sido afectadas. Los bancos y afines cada vez intentan mejorar sus sistemas de seguridad, cada vez hay más antivirus, y cada vez hay más software para proteger la información personal. También se mejoran cada vez los procesos de prevención y de atención de estos temas. ¿Entonces? ¿cuál será el problema?

¿Cuál será?
¿Cuál será?

El factor humano

Hay un punto que no pocas veces se descuida: el factor humano. El investigador de la IEEE Ignacio Castillo nos decía a un auditorio lleno de informáticos que a estas alturas somos analfabetos en ciberseguridad. Su exposición sobre este tema nos demostró que está en lo cierto. ¿Cómo entonces estarán nuestros usuarios? ¿cuál es su conocimientos y conciencia sobre las amenazas y riesgos de seguridad cuando navega por Internet?

Tratemos de cubrir un tema a la vez ¿qué tan consciente está el grueso de usuarios de Internet sobre el Phishing?

¿Phishing?

Si ya sabes qué es Phising, felicidades. Si lo oíste, pero no sabes qué es, igual, sabes que no hay que darle clic a todo lo que te manden al correo electrónico, vamos bien. Si es la primera vez que oyes el término, y encima, das clic en cada correo que te llega al Hotmail, sobre todo si es de algún banco o sobre alguna rifa de la que nunca habías oído antes, te tenemos noticias.

Imagina un río donde nadan muchos peces. Hay de todo: Peces muy perspicaces que diferencian un azuelo de comida real, otros que no tanto, y otros que no tienen idea de la diferencia. Tratar de atacar a un pez en particular puede ser muy complejo en términos logísticos y de conocimiento. En este caso, sería mejor dejar muchos anzuelos, y esperar. Si la espera es suficientemente larga y la suerte está en favor del pescador (fisher en inglés), entonces tiempo después, veremos que varios peces han picado.

Si trasladamos esto a algo más familiar. Si abrimos una guía telefónica y empezamos a marcar uno a uno cada teléfono y decimos “Hola, soy yo, ¿puedes abrirme la puerta?” Mucha gente nos colgará el teléfono, pero a la larga alguien caerá en la trampa y abrirá la puerta. El “fisher” ahora pescó otro tipo de pez.

Vamos ahora al último ejemplo: Si preparo un correo lo suficientemente “bonito” para convencerte de que soy alguien más (tu banco, por ejemplo), y en el correo te pido que me respondas con tu tarjeta, tu clave y un par de datos más, y entonces lo lanzo a una cantidad enorme de personas, entonces como “fisher” me sentaré a esperar el resultado de mi “fishing” (O “phishing” comúnmente).

Como ves, no hay grandes métodos criptográficos ni alta tecnología. Si bien es cierto, que estas técnicas pueden añadir el enviarte un adjunto y convencerte de que lo abras, y con esto, instalar en tu computadora un virus, o también, enviarte a alguna página especial que secuestre tu navegador en adelante, etcétera; en general, el método es engañar a la víctima para que la víctima misma entregue sus datos. Aquí más que ingeniería, informática o tecnología, hay lo que se llama ingeniería social.

¿Ingeniería social?

Ingeniería social, definido como el conjunto de técnicas a través de la manipulación psicológica de usuarios legítimos, para que divulguen información confidencial o realicen determinadas acciones orientadas a tal fin, se basa en el principio de “los usuarios son el eslabón débil”. ¿Han visto las películas donde los espías haciendo uso de su inteligencia logran que cualquier persona les brinde datos que no debían brindar? Esa es la ingeniería social en acción.

Por eso, en el Phishing en general, hay mucho de ingeniería social.

Por ejemplo: Correos supuesto del BCP

Habiendo comentado lo anterior, mira esta pintura: Un correo que me ha llegado esta mañana:

Así es, llegó a mi carpeta SPAM. Punto para gmail.
Así es, Gmail lo movió automáticamente a mi carpeta SPAM. Punto para gmail.

Este es un típico correo de Phising. Mira el Asunto del correo, el Remitente. Observa el texto del mensaje. Incluso la firma y el Disclaimer. Imagino a un usuario cualquiera entrando a su correo por la mañana, y empieza a leer este correo, entonces la historía transcurriría así:

Entrando a leer mi
Entrando a leer mi “hot” y a ver mi “face”

Este correo es para informarle que hemos detectado una reciente manipulacion de su cuenta a traves de nuestra banca de internet, por medio de diferentes direcciones de IP. Esto se debe a que la direccion IP de su ordenador es dinamica y varia constantemente, o debido a que otra persona ha manipulado su cuenta.

¡Qué mala redacción! ¡Pero qué importa! ¡Han manipulado mi cuenta!

¡Mi cuenta
¡Mi cuenta!

Por su seguridad hemos restringido el acceso a su cuenta, le solicitamos que para reactivar sus funciones realice el proceso de autentificacion, le pedimos seguir los siguientes pasos que le ayudaran a realizar dicho proceso de la manera mas sencilla, rapida y segura.

¡Qué proactivos! ¡Gracias!

>>REACTIVAR AQUI<<

¿Y esto? Después lo veo…

Recuerde que una vez emitido este correo usted tendra un plazo de 4 dias habiles para llevar dicho proceso de lo contrario su tarjeta sera suspendida temporalmente por no tener activado nuestras nuevas medidas de seguridad, teniendo que apersonarse a una de nuestras oficinas mas cercana para la activacion de su tarjeta y del nuevo proceso de seguridad.

¡Oh no! ¡Solo cuatro días hábiles! ¡Entonces correré a dar clic al link de arriba!

Gracias por utilizar nuestro servicio, juntos somos mas seguros.

Atentamente:
Banco de Credito

“Juntos somos más seguros” Snif Snif. ¡Gracias! ¡Me salvaste la vida!

¡Me salvaste la vida!
¡Me salvaste la vida!

Y luego vamos al dichoso link que seguro nos llevará a la web del BCP y entonces:

alertaviabcp2

#OhWait!

http: //www.superativafm.com.br/ bf9328e18226212abf4b80c5b869ca2d

WHAT!!! (Añadí un par de espacios adrede por ahí. No sigas la página, OJO)

¡Una página brasileña! Esperen ¿el BCP no es peruano…? y entonces… se hace la luz, entras en razón, y descubres el engaño. Evidentemente el BCP nunca tuvo nada que ver con este mensaje. El BCP como cualquier banco serio, nunca envía email con enlaces a sus usuarios. ¡Espera! ¡Eso es lo que siempre me dicen en sus correos! Doy otra mirada, y veo que son varios los correos que me enviaron:

alertaviabcp0

¡Casi...!
¡Casi…!

Lamentablemente esta historia no siempre tiene un final feliz.

Recomendaciones

  • Has caso a las recomendaciones de tu banco de confianza. Ninguno envía este tipo de correos.
  • No des clic a todo lo que te llegue. Tómate un tiempo y pasa el ratón sobre el link, y fíjate a dónde es que ese link te va a llevar. En el ejemplo, la página superativafm.com.br es una radio brasileña, desde la cual deben estar usando espacio web para perpetrar ataques.
  • Sigue esta regla: Ante la duda: No lo hagas. Igual puedes consultar a alguien más, o mejor aún, llamar a tu banco por teléfono para que te confirmen si ellos fueron quienes te enviaron el correo.
  • Mantén actualizado tu antivirus, usa exploradores modernos como Chrome o Firefox.
  • Usa correos que te brinden filtros de seguridad automáticos como gmail. En este ejemplo, el correo nunca llegó a mi bandeja. Tuve que entrar a la carpeta SPAM para verlo.
  • No reenvíes cadenas por correo. Mucha gente aún lo hace. Bueno, si es chiste está muy bueno, reenvía, pero antes borra todos los correos que allí existan. ¿ves que muchas veces hay centenares de correos en una cadena reenviada? Esta es una forma común de obtener tu correo.
  • Fíjate que los lugares donde estés brindando tus datos sean confiables: Mira la url, fíjate si usan https y si tienen un “candadito” delante de la url.
  • En general, piénsalo con calma antes de brindar tus datos personales en Internet.

Disclaimer: Yo no tengo nada contra las operaciones en Internet. Es más, lo que más uso es la Banca por Internet del banco del cual soy cliente, hago compras con Verified By Visa, compro en tiendas online, uso mucho la tienda de PlayStore, o de PlayStation, compro con PayPal, etc. Pienso que mejorar el conocimiento sobre los peligros y amenazas de seguridad hará que mejoremos el “eslabón más débil” del que hablábamos. La respuesta no es “no uses Internet”, si no es esta otra: “Infórmate más”.

Disclaimer 2: Ya me han dicho antes ¿por qué brindas enlaces a wikipedia? Bueno. Soy editor ahí. Es gratis, es colaborativa. Y tiene referencias interesantes. Recuerda que es una enciclopedia, fuente terciaria. Esa es su “chamba”. Por ejemplo para el artículo “Phishing“, 34 referencias y 5 enlaces externos. nada mal.

Nos vemos en la red

Anuncios

Un comentario sobre “SPAM y más SPAM: El phishing sigue vivo

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s