Article traduït per un sistema de traducció automàtica. Més informació, aquí.

‘Phishing’: pàgines web falses per a robar dades

La suplantació de llocs web per a capturar dades personals és un delicte en auge que cal vigilar
Per EROSKI Consumer 22 de setembre de 2004

Missatges de correu electrònic que es fan passar per comunicats de bancs o botigues d’Internet reclamen l’atenció dels clients per a actualitzar les seves claus d’accés o confirmar el seu número de targeta de crèdit a través d’un enllaç que els condueix a pàgines web falses. Les seves dades són capturades i els delinqüents poden suplantar la identitat de la víctima per a realitzar tot tipus d’operacions en la Xarxa. És el frau conegut com ‘phishing’, un delicte en augment que als EUA ja ha aconseguit proporcions alarmants i que amenaça amb minvar la confiança en el correu electrònic i Internet.

Què és el ‘phishing’?

Es coneix com ‘phishing’ ( de l’anglès fishing – pescar) a la suplantació d’identitat (en Internet, però també per telèfon) que persegueix apropiar-se de dades confidencials dels usuaris. En la Xarxa s’utilitza l’enviament massiu de correus electrònics que simulen procedir d’entitats de prestigi i constrenyen a l’internauta a actualitzar dades personals (noms d’usuari i contrasenya de comptes bancaris, números de targeta de crèdit, etc.) a través d’una pàgina que imita a l’original. En introduir les dades en la pàgina falsa, aquests són ‘pescats’ pels ciberdelicuentes per a utilitzar-los de manera fraudulenta.

Es tracta d’una forma de spam (correus electrònics no desitjats) especialment perniciosa, perquè no sols satura les bústies d’escombraries , sinó que posa en perill la integritat de la informació sensible de l’usuari amb greus conseqüències. La proliferació d’aquests missatges fraudulents obliga a estar alerta i, d’entrada, a tenir present que no s’han d’oferir dades personals que siguin sol·licitats mitjançant el correu electrònic sense, almenys, realitzar una comprovació telefònica. El mecanisme d’aquesta estafa online en auge és el següent:

  • L’usuari rep un email d’un banc, entitat financera o botiga d’Internet en el qual se li explica que per motius de seguretat, manteniment, millora en el servei, confirmació d’identitat o qualsevol altre, ha d’actualitzar les dades del seu compte. El missatge imita exactament el disseny (logotip, signatura, etc.) utilitzat per l’entitat per a comunicar-se amb els seus clients.
  • El missatge pot integrar un formulari per a enviar les dades requerides, encara que el més habitual és que inclogui un enllaç a una pàgina on actualitzar la informació personal.
  • Aquesta pàgina és exactament igual que la legítima de l’entitat -una cosa senzilla copiant el codi font (HTML)- i la seva adreça (URL) és semblant i fins i tot pot ser idèntica gràcies a una fallada d’alguns navegadors.
  • Si s’emplenen i s’envien les dades de la pàgina cauran directament en mans de l’estafador, qui pot utilitzar la identitat de la víctima per a operar en Internet.

L’Anti-Phishing Working Group, organització creada als EUA per a combatre aquest frau, assegura que el número i sofisticació del ‘phishing’ enviat als consumidors s’està incrementant de manera dramàtica i que “encara que la banca online i el comerç electrònic són molt segurs, com a norma general cal ser molt acurat a l’hora de facilitar informació personal a través d’Internet”.

Un frau enorme i en augment

El ‘phishing’ és, al costat dels programes espia , una de les tècniques més emprades pels ciberdelincuentes per a apropiar-se d’informació confidencial a través d’Internet. Els clients de diverses entitats molt conegudes, com la casa de subhastes electròniques eBay, el sistema de pagaments online PayPal o Citibank han estat víctimes d’aquest frau cibernètic.

En un estudi de Gartner realitzat a l’abril d’enguany, el 3% dels usuaris enquestats va reconèixer que havia facilitat informació personal o financera a pàgines fraudulentes. D’aquí la consultora extreu que uns 30 milions d’internautes han sofert atacs de ‘phishing’ i prop de dos milions van caure en el parany i han estat víctimes d’intrusions en els seus comptes bancaris en l’últim any, amb un total defraudat de 2.400 milions de dòlars, uns 1.200 per víctima.

L’estudi revela que es tracta d’un frau recent en notable augment: el 76% dels atacs van esdevenir en els últims sis mesos i un 95% en l’últim any. Gartner conclou que de no atallar-se el problema ràpidament, Internet i el correu electrònic podrien quedar desacreditats com a mitjans per a realitzar transaccions comercials i desanimaria als consumidors a l’hora de comprar en la Xarxa.

Donada la magnitud del problema, als EUA es va crear l’organització sense ànim de lucre Anti-Phishing Working Group (APWG), amb més de 600 membres, dedicada a oferir informació sobre com prevenir aquest frau i denunciar-lo, al mateix temps que recopilar dades sobre la seva evolució i mantenir un arxiu amb totes les pàgines i missatges fraudulents coneguts. Segons aquesta organització, el nombre d’incidències relacionades amb el ‘phishing’ s’ha multiplicat per 400 en els últims 10 mesos. El juny passat van aparèixer 1.422 nous (diferents) fraus de suplantació d’identitat, enfront dels 1.197 de maig, amb Citibank, eBay, US Bank i PayPal com a principals víctimes.

Altres empreses han inclòs entre els seus serveis el combat a les pàgines fraudulentes. Netcraft ha desenvolupat un sistema perquè els bancs i altres entitats financeres rastregin els seus noms de marca en Internet per a detectar activitats il·lícites, i el servei antispam de Brightmail es va adaptar per a detectar els missatges que suplanten identitats corporatives. Aquesta última companyia estima que l’abril passat el nombre d’emails fraudulents que van circular per Internet va superar els 3.000 milions

Espanya no es lliura

La majoria dels missatges fraudulents estan en anglès, per tant destinats a clients que es comuniquin amb la seva empresa en aquest idioma. No obstant això, els delictes en Internet salten fàcilment les fronteres, a més de que no és estrany que un usuari a Espanya sigui client d’entitats bancàries o botigues d’Internet estrangeres. En l’últim informe mensual de l’APWG (Juny – PDF), Espanya apareix com a receptora de l’1% dels ‘atacs de phishing’. José Manuel Colodrás, responsable de la Brigada de Recerca Tecnològica de la Policia Nacional, va assenyalar recentment que “l’enviament massiu d’emails que pretenen ser notificacions oficials per a obtenir dades personals i bancàries és un dels delictes informàtics en auge a Espanya”. Es tenen notícies de diversos intents de frau als clients de Banc Popular i un altre dirigit als de Citibank. Al maig d’enguany, la “ operació PHESCA ” de la Guàrdia Civil va desarticular una xarxa de ‘phishing’ que va estafar per valor de 500.000 euros.

Existeix una gran varietat de missatges fraudulents, en alguns dels quals no és difícil caure . Últimament, com els consumidors ja estan en guàrdia, molts dels correus ‘phishing’ adverteixen d’intrusions no autoritzades en els comptes d’usuari, exhortant a les potencials víctimes a confirmar la seva identitat per a solucionar el problema. Segons APWG, segrestant marques conegudes de bancs, botigues online i companyies de targetes de crèdit, els phishers són capaços de convèncer a un 5% dels receptors dels seus missatges.

Qui cregui que seria perfectament capaç de diferenciar un missatge autèntic d’un altre fals el pot comprovar mitjançant un test de MailFrontier. De qualsevol manera, la millor manera d’encertar sempre és rebutjar sistemàticament qualsevol missatge, per molt veraç que sembli, que convidi a facilitar d’alguna forma informació confidencial.

Com evitar-ho?

Malgrat l’elevat nombre de víctimes d’aquest frau, per a no caure en ell bastaria amb saber que cap banc duu a terme tasques de verificació dels comptes usuari o de qualsevol altra mena de dades personals mitjançant el correu electrònic. A més, els missatges falsos solen pecar d’excessiva vehemència, ‘amenaçant’ als usuaris amb greus conseqüències si no responen com més aviat millor -les pàgines web falses duren molt pocs dies per a no ser localitzades-, una cosa insòlita en el tracte als clients.Així i tot, donada la creixent sofisticació d’aquest frau, no està de més tenir en compte alguns consells oferts per MailFrontier i Anti-Phishing Working Group per a reconèixer i rebutjar els missatges fraudulents:

Mirar amb atenció qualsevol missatge que sol·liciti informació financera:

  • Tenir present a les companyies amb les quals es té alguna relació.
  • Tret que vagi signat digitalment, no es pot estar segur que no sigui fals.
  • Considerar si l’assumpte i la redacció del missatge són propis de l’entitat que pretén representar.
  • Els falsos emails inclouen missatges alarmants per a fer reaccionar a l’usuari, i requereixen informació com el nom d’usuari, contrasenya o número de la targeta de crèdit.
  • Normalment no són personalitzats, al contrari que els missatges legítims de qualsevol companyia.

Si se sospita del missatge, no utilitzar l’enllaç que inclou per a accedir a una pàgina web (en col·locar el ratolí sobre l’enllaç es pot comprovar si l’adreça a la qual apunta és en realitat la que pretén ser o és només semblant). En lloc d’això, trucar per telèfon a la companyia o accedir al lloc web teclejant la direcció en el navegador.

Evitar emplenar els formularis que inclouen els email: només s’ha de comunicar informació sensible a través del telèfon o mitjançant un lloc web segur. En els llocs segurs l’adreça comença per ‘https://’ i en la part de baix del navegador apareix un cadenat tancat o una clau. En punxar sobre el cadenat es mostren les dades del certificat d’autenticitat, que han de coincidir amb els de la pàgina visitada.

Considerar la instal·lació d’una barra per al navegador que protegeixi dels llocs falsos, com EarthLink ScamBlocker .

Entrar regularment en el banc online per a comprovar l’estat dels comptes.

Instal·lar l’última versió del navegador utilitzat, així com les actualitzacions de seguretat. Els usuari d’Internet Explorer han de visitar regularment Windows Update .

La 1a Campanya Mundial de Seguretat en Internet , organitzada per l’Associació d’Internautes (AI) i Colla Programari, dedica un apartat a la banca online amb consells per a triar claus segures i especial atenció a com evitar el ‘phishing’. Des de Colla Programari, José María Hernández adverteix que els fraus online “són cada vegada més freqüents i constitueixen un gran amenaça, no ja per als equips informàtics, sinó per als propis usuaris que poden veure com els seus comptes es buiden com a conseqüència del ‘phishing’”. I el president de l’AI, Víctor Domingo, assegura que aquest frau és una amenaça de primera magnitud. “Per a evitar-ho l’única solució passa per estar informat, ja que no existeix cap mena de programa que pugui impedir totalment aquest tipus d’atacs”.

Navegadors més segurs?

La usurpació de dades personals es veu afavorida per la vulnerabilitat dels navegadors, incapaços de certificar l’autenticitat de la URL (adreça d’Internet). Tant Internet Explorer , com Mozilla (i Mozilla Firefox) o Opera pateixen aquesta feblesa que facilita la versemblança d’enllaços falsos i pàgines il·legítimes. Microsoft ofereix detallada informació sobre el ‘phishing’ i consells contra la falsificació de la URL , i Hispasec Sistemes facilita una pàgina perquè l’usuari comprovi si el seu navegador és vulnerable a la falsificació de la URL.

especial falsedat páginas web-ca phishing-ca robatori de dades
Recursos relacionats
Pantallas tactiles
Noves tecnologies Infografia
Pantalles tàctils
Img roaming
Noves tecnologies Vídeo
“Roaming” o itinerància: trucades internacionals
Blu ray
Noves tecnologies Infografia
Discos Blu-Ray
Img camaras moviles
Noves tecnologies Vídeo
Cambres de mòbils, usos limitats