estamosONLINE

El PHISHING no es escatológico

A pesar del nombre que tiene, dado a sugerir otro tipo de cosas, el PHISHING, no es otra cosa que la suplantación de sitios de Internet, uno de los delitos de moda en la red, el robo de identidades, con el ánimo de obtener datos sensibles, tales como números de tarjetas de crédito y claves de acceso.

Periódicamente se produce un envío masivo de e-mails que simula ser un mensaje de un banco. Uno de ellos es el caso del Banco Popular solicitando a los clientes dirigirse a una dirección de su sitio web para mejorar la seguridad de sus cuentas. El enlace, que en apariencia conecta con el dominio bancopopular.es, en realidad utiliza una vulnerabilidad de Internet Explorer para engañar a los usuarios y hacer que éstos introduzcan sus datos en la página web de los estafadores.

El enlace, que a primera vista parece conectar con el servidor seguro del Banco Popular, en realidad lleva incrustada una URL en formato HTML especialmente diseñada para aprovechar una vulnerabilidad de Internet Explorer y redirigir al usuario a la dirección:

http://www.newmonc.com/gb/servin.php

En esta dirección nos encontramos con una página web aparentemente del Banco Popular, incluido interfaz, logotipos, número de teléfono, etc, donde debemos identificarnos a través de varias opciones, que incluye el número de tarjeta y PIN, o nuestra identificación y contraseña de la banca electrónica.

Debido a la vulnerabilidad de Internet Explorer, el usuario no percibe a simple vista que se encuentra en realidad en otro servidor, ya que en todo momento en la barra de direcciones del navegador aparecerá la URL: http://www2.bancopopular.es en lugar de la dirección real en la que se encuentran.

A la vulnerabilidad a la que nos referimos es URLSpoof, que no está catalogado como virus, gusano o troyano. Exactamente se trata de un código, escrito en lenguaje HTML, que se incluye en el cuerpo de un mensaje o página web para aprovechar una vulnerabilidad en el navegador Internet Explorer.

Esta vulnerabilidad permite construir un enlace web de modo que, si se selecciona, Internet Explorer mostrará una dirección web en la Barra de direcciones, mientras accede a otra diferente.

Pero esto no nos puede atenazar en nuestra vida real, hay que romper con el posible miedo que se tiene a la hora de acceder al banco por Internet, a pagar por ordenador usando nuestra conexión de Internet, o a ir de compra por la red, ya que tan solo hay que tener un poco de cautela. Pero el hecho de estar sentado tranquilamente en nuestra casa no nos exime de cualquier hurto "informático" y por lo tanto hay de tomar precauciones tal y como haríamos por ejemplo al sacar dinero de un cajero automático o al pagar con una tarjeta de crédito.

Algunas de las recomendaciones que hace la Asociación de Internautas en su última campaña de seguridad en la red son las siguientes:

1.- Evitar en lo máximo posible acceder a tu Banca por Internet o llevar a cabo transacciones financieras en lugares PÚBLICOS donde el acceso a Internet está disponible para muchas personas como por ejemplo Ciber-Cafés, Universidades, Colegios, Oficinas etc

2.- Acceder a los consejos de seguridad que le ofrece su entidad bancaria. La mayoría de ellas cuentan con este servicio.

3.- Tener su navegador actualizado para tener los protocolos de seguridad en regla.

4.- Observar si la dirección comienza con https: en lugar de solo http:

5.- El Banco "NUNCA" le solicitará que informe de sus claves o datos a través del correo electrónico.

6.- Guarde sus claves de acceso en secreto. Nunca las revele a nadie ni las anote en lugares visibles o de fácil acceso (como un pos-it en la pantalla), teclados, ni hacer un documento que ponga "claves-bancarias.txt".

7.- Cierre la sesión cuando termine de operar con su oficina virtual.

8.- Borre la caché de su navegador al finalizar la sesión.



Un saludo y gracias por tu tiempo

 

05/02/2009Carlos Álvarez RivasComentarios (0)

DEJA TU COMENTARIO