El Phishing es un tipo de delito informático cuyo objetivo es el de conseguir de forma ilícita información de los usuarios de la red, como nombres de usuarios, contraseñas, tarjetas de crédito, datos bancarios, etc. Escribo este artículo, para alertar de las nuevas formas en las que el Phishing que están apareciendo, mucho más sutiles, esta vez en las redes sociales. Así mismo doy consejos que puedan servir de ayuda para detectarlo.
NOTA: Esta no es la típica información alarmista, desfasada y sin fundamento que corre por Internet, incluyo links de última hora dela Policía Nacionaly de MalWare Blog que documentan esta información.
Phishing Clásico
Aunque no conocierais el término de Phishing, seguro que la gran mayoría habéis sufrido ataques de Phishing y sabéis de qué estoy hablando. ¿Quién no ha recibido el típico correo de un banco, solicitando que confirme su nombre de usuario y contraseña?
Os pongo como ejemplo uno de los cientos que yo habré recibido:
Ni siquiera tengo cuenta en el BBVA, ni la he tenido nunca y puedo haber recibido este mail de unos quince bancos distintos.
Evidentemente es una estafa, te mandan a una página falsa muy parecida a la del banco, para obtener los datos de tu cuenta, para que introduzcas tu nombre de usuario y contraseña y así vaciarte la cuenta.
Los bancos desde sus portales avisan con textos como el siguiente:
Hay varias versiones, ofreciendo catálogos de puntos, promociones a clientes, etc, en las cuales siempre te piden que te autentiques.
No creo que los mail de Phishing bancario tengan apenas éxito a estas alturas. Es burdo, evidente, a menudo mal escritos y fáciles de detectar si sospechamos de ellos.
Hasta aquí el Phishing clásico y el que todos conocemos.
Phishing en Facebook
Lo miserables y sinvergüenzas, no insulto, sólo describo fielmente, se dieron cuenta de que con las formulas tradicionales ya era muy difícil engañar a nadie, así que empezaron a utilizar nuevas técnicas aprovechando el tirón de Facebook.
Primero se creaban perfiles falsos, con los que rápidamente, consiguen un número razonable de contactos. Es más fácil de lo que parece, la gente tiende a aceptar solicitudes de amistad de desconocidos para así poder decir que tiene muchísimos amigos en Facebook.
Una vez se conseguida esa cartera de “clientes” les hacían llegar promociones de cupones descuentos con magnificas promociones o tarjetas regalo para los usuarios de Facebook.
Igualmente, se le redirigía a paginas falsas, en las que, como primer requisito, tenían que republicar la oferta en su perfil, para que sus contactos la vieran, y a continuación les enviaban a paginas falsas, en las cuales obtenían la información requerida.
Phishing en Pinterest
Al Igual que en Facebook, en Pinterest se han empezado a detectar (esta semana) la presencia de cupones descuento y tarjetas regalo falsas. Ofertas que son muy “repineadas” y que al igual que en el caso de Facebook redirigen al usuario a paginas falsas para obtener su información.
Pinterest esta luchando activamente en estos momentos contra estas practicas, con la intención de proteger a sus usuarios. Se sabe que ha eliminado y bloqueado la inclusión de “Pines” que dirijan a ciertas URLs frecuentemente utilizadas para este tipo de prácticas.
Phishing en Twitter
La Policía Nacional alertó, ayer 6/3/2012 del intento de Phishing, para secuestrar las cuentas de Twitter más seguidas en España.
“La práctica detectada por los especialistas dela Policíaes el phising y consiste en contactar con “tuiteros” muy conocidos y con un gran número de seguidores y tratar de picar su curiosidad con una frase que les concierne y un link acortado, que permite ocultar la falsedad de dicha fuente.
Ese link acortado conduce a una interface casi idéntica a la de Twitter, en la que parece que no se puede ver el enlace correcto porque hay que introducir previamente el nombre de usuario en esta red y la contraseña. Si el usuario lo hiciera, estaría facilitando las claves de su cuenta, que podría ser utilizada para fines comerciales o uso desautorizado y falso de su imagen con otros objetivos.
El mensaje decía: “es cierto esto que andan diciendo de vos?->”, tratando de encender su curiosidad, acompañado del link acortado que ocultaba su procedencia. En caso de introducir los datos en esa web falsa (con una URL que mencionaba a Twitter pero que en realidad no procedía de ella), la cuenta auténtica en esa plataforma podía ser secuestrada en cualquier momento.”
Se espera que el siguiente paso sea el de atacar con métodos similares a otros usuarios. ¿Para qué? En principio, para enviar masivamente páginas con falsos cupones descuentos, etc… al máximo número de usuarios posibles. Pero podrían incluso ir más allá. Pensad:
1ª Teniendo tu cuenta Twitter ¿Se puede conseguir tu mail?
2ª ¿Utilizas la misma clave en Twitter que en tu correo? (Muy mal hecho)
3ª ¿Qué se puede ver en tu correo? ¿Qué pueden hacer con tu cuenta de correo?
Principios básicos para detectar el Phishing
1º La URL. LaURL que aparece en los mensajes, suele ser coherente con el mensaje, pero al entrar en ella con el navegador no aparece la URL de Twitter ni la de ningún banco. Suele ser del tipo “http://b-way.co.il/.go”.
Pero cuidado, en algunos casos también podrían ser más convincentes como:
bbva.es.reactivar_cuenta.co.il/…
Una cuenta valida tiene que tener justo antes de la primera / la dirección del sitio concreto. Por ejemplo.
URLs bien formadas:
http://twitter.com/…
http://usuarios.twitter.com/ …
URLs Phishing. NUNCA confiéis en ellas.
http://es.twitter.com.login.co.il/…
2º Como dice la Policía Nacional “La Policía Nacional recuerda a todos los usuarios que deben desconfiar de interlocutores en Internet a los que no se conoce personalmente, así como NO DAR JAMÁS TUS CONTRASEÑAS O DATOS BANCARIOS en ningún link o mail que se lo pida en nombre de entidades financieras, proveedores de correo o redes sociales. Igualmente, advierte de que los internautas deben también tomar precauciones ante correos electrónicos, mensajes SMS o links acortados que soliciten cualquier información privada.”
No hay comentarios:
Publicar un comentario