Ataques "phishing"

Vamos a referirnos al "phishing", un tipo de fraude que afecta a un gran número de usuarios(*), y a ofrecer unos consejos para no ser víctimas de ellos. 

Hemos podido constatar (nos los han remitido varios clientes nuestros para analizar) la existencia de emails "teoricamente enviados por "CityBank" (aunque existen otros remitentes, como Banesto, US Bank - ver articulo de El Periodico del dia 13 de Octubre de 2004, página 34-), y que posteriormente se ha comprobado que ellos no los estaban enviando tras contactar personalmente con dicha entidad, solicitando el numero de cuenta y que se incluyera la contraseña (no visible para el usuario, si para ellos), con el fin teórico de activar ciertos servicios bancarios, sobre todo relativos a tarjetas de crédito.

Las técnicas de "phishing" tienen como objetivo engañar a los usuarios para conseguir datos confidenciales -como, por ejemplo, las claves de acceso a sus cuentas bancarias-, y suelen basarse también en enlaces fraudulentos.

(ver leer mas...)
 

Normalmente se presentan en forma de mensajes de correo electrónico supuestamente enviados por las propias entidades, en los que se solicita al usuario que acceda a una dirección web que, en realidad, redirige a un servidor que tiene el mismo aspecto que el del servicio bancario legítimo, pero que enviará todos los datos suministrados a los atacantes.

Para obtener los datos que necesitan para llevar a cabo los fraudes, los atacantes envían a la víctima un e-mail que reúne todos los elementos necesarios para que parezca que procede de una entidad legítima. En la práctica, es relativamente fácil falsificar el remitente de un e-mail (tal y como ocurre con los mensajes generados por gusanos, que suelen utilizar la misma técnica de forma automática). También es sencillo falsificar su contenido, ya que los elementos gráficos de las empresas suelen estar disponibles -de forma pública- en los sitios web.

Entre las acciones que pueden llevarse a cabo para no ser víctima del "phishing" destacan las siguientes:

- Desconfiar de cualquier mensaje que solicite datos confidenciales omo nombres de usuario, contraseñas, números de tarjeta de crédito, etc.
 
- Para asegurarnos de que conectamos con un servidor web seguro comprobar, en la barra de direcciones del navegador, que la URL comienza por "https://"
 
- Prestar atención al icono -como, por ejemplo, un candado cerrado en el caso de Internet Explorer-, que debe aparecer en la barra de estado inferior del navegador, informando de que conectamos con un servidor web seguro.
Además, haciendo doble click sobre el icono podrá visualizarse el certificado de seguridad y comprobar su validez.

- No utilizar enlaces para acceder a sitios web con información confidencial, y menos aún si proceden de mensajes de correo electrónicos o páginas no fiables. En su lugar, se recomienda escribir en el navegador la dirección correspondiente.
 
- Mantener el sistema puntualmente actualizado, tanto el sistema operativo, como el resto de aplicaciones, especialmente el navegador que se utilice para las transacciones electrónicas.

- Contar con una solución antivirus actualizada, ya que también proliferan los gusanos, troyanos y keyloggers (o programas que capturan las pulsaciones de teclado) destinados a robar los datos de los usuarios para poder acceder a la banca electrónica y a otros sitios con información confidencial.

(*) Sólo entre los consumidores de Estados Unidos, el "phishing", genera pérdidas que ascienden a 500 millones de dólares, según un estudio llevado a cabo recientemente por Ponemon Institute y cuyos resultados han aparecido publicados en varios medios, como Internetweek y Newscom.

Tech Manager

soporte@olmus.com