Recibí un correo con 'Phishing'...

El término es curioso y puede sonar raro a los angloparlantes, pero si buscamos en Wikipedia encontraremos una definición muy clara del término:

"Phishing es un término utilizado en informática con el cual se denomina el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta, como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria. El estafador, mejor conocido como phisher se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico o algún sistema de mensajería instantánea".
Hace dos días recibí el siguiente "correo urgente" (ya cuando dice esto, en el 99% de los casos hay que sospechar):


El origen del correo parece ser una dirección que corresponde al sitio en cuestión, pero eso nunca es garantía de nada, pues fingir el origen es fácil y de menor importancia, porque la intención no es que respondan el correo, todo lo contrario, es que usen los enlaces hacia los formularios que aparecen en el cuerpo del mensaje, los cuales están hechos para fingir la misma estética de la institución o empresa y capturar los datos del usuario.



¿De quién es la culpa, de los usuarios o de los informáticos?

A continuación aparece el texto que nunca falta, "los motivos de este procedimiento", usando algún argumento incorporado por los usuarios, los cuales creen sin cuestionar porque son parte de la cultura de usar sistemas informáticos. Esta seudo-cultura es enteramente responsabilidad nuestra, principalmente por nuestra incapacidad o falta de profesionalismo (desde el cargo más pequeño hasta el cargo más alto) que los usuarios llegan a aceptar estas excusas como algo habitual y normal:
  • "El sistema se cayó"
  • "Se perdieron todos los datos"
  • "Hay que ingresar nuevamente todos los datos"
  • "Vuelva más tarde"
  • "Inténtelo otra vez"
  • etc.
Entonces, aprovechando esta situación, el correo aclara:
"Si no ha entrado en su cuenta bancaria en las últimas 12 horas se ruega lo haga de inmediato para evitar cualquier posible anomalía en su cuenta o futura pérdida de datos".
Sí, indefectiblemente es culpa nuestra, no de los usuarios:
  • ¿Cuantas veces los usuarios perdieron datos por culpa nuestra?
  • ¿Cuantas veces les obligamos a ingresar todo nuevamente porque a nosotros nos dio un ataque de pereza?
  • ¿O porque siempre pensamos que el usuario es alguien que molesta lo destratamos y les pasamos todas nuestras fallas y responsabilidades a él?
No digas que no te importa. Si caes nuevamente en la soberbia dirás que a ti nunca te van a engañar... pero esta persona puede ser algún familiar, un colega, o directamente tu esposa/esposo, o tus hijos.

Bueno, aquí las consecuencias de nuestros actos (todo llega en la vida). :-)

Reforzando la confianza

Luego, por si te llegara a dar un ataque repentino de "sentido común", ellos se encargan de contrarrestarlo con:
"Puede entrar a su cuenta con total seguridad y comodidad" y más abajo otra vez: "Bancolombia pone a su disposición, sin costo adicional nuevos servidores que cuentan con la última tecnología en protección y encriptación de datos", y si no te quedó claro: "Le recordamos que últimamente se envían e-mails de falsa procedencia con fines fraudulentos y lucrativos. Por favor nunca ponga los datos de su tarjeta bancaria en un mail y siempre compruebe que la procedencia del mail es de @bancolombia.com".
A esto se le llama "Ingeniería Social", con inteligencia y picardía agregan comentarios que supuestamente buscan aconsejar y protegerlo, pero lo único que están buscando es que baje la guardia, que confíe. Nos dicen que no manden información por correo, pero nos dan dos enlaces para ingresar esta información, no de la tarjeta pero si el usuario y clave.

Impresionante como se auto-validan, aún colocando información que podría delatarlos, pero no, todo lo contrario, buscan que el usuario piensen que realmente son "su banco".

Cómo se concreta el robo de información

Ambos enlaces a los formularios apuntan a dos sitios que no están en el sitio web del banco, era de suponer, y la estética sigue imitando al sitio oficial, solo que si el usuario ingresa su clave y usuario pensando que es su sistema web, estos datos serán recibidos por el estafador que está detrás de toda esta maniobra.


Firefox 2.0 y su "Anti-phishing"

Lo bueno de la última versión de Firefox es que incorpora por defecto la opción de "anti-phishing", donde detectan este intento de camuflar direcciones o directamente buscan en alguna base de datos que registre este tipo de casos.

Las pantallas del Firefox rechazando ambos formularios web:


Como proceder: "hay que denunciarlo"

En muchos casos los correos de phishing son mandados masivamente, por lo cual puede ser que el 99% de los usuario que lo reciban no tengan cuenta en ese banco, y ni siquiera (como en mi caso) exista el banco en tu país. Pero la idea es que con llegar apenas a unos pocos usuarios del banco ya es todo un éxito pues el porcentaje de aceptación a este procedimiento es alto. Pero si logran llegar al conjunto de usuarios específico, localizando una base de datos con los correos de los mismos, la estafa puede ser enorme.

Podemos intentar comunicarnos con el banco, o si usas Gmail podrás hacerlo directamente con la opción:


Luego, aparece la ventana informativa y de confirmación del reporte de phishing:


Y luego de confirmada la operación:



Resumen final

Al día de hoy, luego de pasados 2 días, ambos enlaces están deshabilitados. En el momento que recibí el mail los probé y estaban operativos.

Ya sabes, si tienes la suerte que aparece un mail diciendo que son "tu banco", solicitando que reingreses datos o que ingreses con tu usuario y clave, pero te dan ellos el enlace al sitio web, desconfía. Toda la información "digital" es fácilmente modificable y difícilmente detectable.

Usa el menos común de los sentidos: "el sentido común".

PD: Ahh... y la culpa la tenemos nosotros, los informáticos.

No hay comentarios.:

Entradas populares