Prevenir el frau en la banca “online”

En els últims mesos s’han multiplicat els atacs de phishing contra els clients de bancs espanyols. Es tracta d’enviaments massius de correus electrònics fraudulents que sol·liciten dades personals i claus d’accés als usuaris de banca “online”. Els missatges simulen les comunicacions originals de les entitats i enllacen amb pàgines idèntiques a les dels bancs, des de les quals es constreny a introduir les dades amb l’excusa d’alguna verificació o actualització del sistema, i fins i tot s’assegura que el seu objectiu és “evitar el frau”. Alguns emails indiquen que si l’usuari no confirma les dades en menys de 24 hores, l’entitat es veurà obligada “a bloquejar el seu compte per a la seva protecció”.

L’internauta mai ha de fer cas a aquests correus electrònics; si es completa el registre les dades personals cauen en mans d’estafadors.

Tant els experts Alerta-Antivirus, de l’entitat pública Red.es, com el Grup de Delictes Telemàtics de la Guàrdia Civil i l’Associació d’Internautes (AI) han advertit del gran augment d’aquest frau a Espanya. Segons alguns estudis, els atacs de phishing han crescut a tot el món fins a un 5.000% al llarg de l’any passat.

El mes de febrer va haver-hi 13.141 nous (diferents) missatges de phishing detectats per l’Anti-Phishing Working Group (APWG), associació per a combatre aquest tipus de frau que engloba a 1.200 membres. Des de juliol de 2004, APWG ha registrat un increment del phishing del 26% de mitjana mensual. El nombre de llocs web que donen suport als atacs per correu electrònic va aconseguir el mes passat els 2.625, segons l’informe de febrer (PDF).

APWG també porta el compte del nombre d’entitats bancàries i financeres que informen del segrest de la seva marca, és a dir, de l’existència de pàgines web falses amb la seva mateixa aparença. Al febrer, el nombre d’entitats víctimes del phishing va ser de 64 (entre elles, 8 bancs), igual que el mes anterior, per a sumar un total de 149 des de novembre de 2003.

A Espanya, Banc Popular i Banesto primer, BBVA i Caja Madrid després i Cajamar recentment han sofert atacs de phishing . Aquesta última entitat ja ha posat en coneixement de la brigada de delictes informàtics de la policia l’intent d’estafa i, encara que no té constància que hi hagi clients afectats, ha col·locat un avís en la seva pàgina web per a prevenir aquest tipus de fraus, en el qual es recorda als clients que no han d’enviar les seves contrasenyes per correu electrònic.

Davant l’al·luvió d’aquests correus electrònics que es fan passar per missatges d’entitats bancàries, el Centre d’Alerta Antivirus de Red.es ha publicat un document amb cinc normes senzilles per a no caure en el parany del phishing, al qual defineix com a “maniobra d’enginyeria social per la qual un usuari de correu electrònic és convidat a revelar les seves claus bancàries o números secrets d’accés a comptes financers”. Els arguments més comuns per a justificar la necessitat d’introduir les dades d’accés són, segons Red.es, problemes de caràcter tècnic, recents deteccions de frau, recomanacions de seguretat i canvis en la política de seguretat de l’entitat. I les recomanacions per a no caure en aquests cimbells són:

1. No atengui correus electrònic escrits en idiomes que no parli: la seva entitat financera no es dirigirà a Vostè en aquest idioma si abans no l’han pactat prèviament.
2. No atengui correus enviats per entitats de les quals no és client en els quals li demanin dades íntimes o que afectin la seva seguretat.
3. No atengui sortejos o ofertes econòmiques de manera immediata i impulsiva.
4. No atengui correus que li avisin del cessament d’activitats financeres rebuts per primera vegada i de manera sorprenent.
5. No atengui correus dels quals sospiti sense confirmar-los telefònica o personalment amb l’entitat signant.

A més, el Centre d’Alerta Antivirus compta amb una pàgina dedicada més àmpliament al Frau Financer a través d’Internet.

Per a evitar caure en pàgines parany, és recomanable teclejar la direcció del banc “online” o fitxar-la en els “Favorits”. En qualsevol cas, cal evitar accedir al seu web través de missatges de correu electrònic o pàgines web de tercers.

L’Associació d’Internautes (AI) ha recomanat a les entitats financeres que informin els seus clients d’aquest frau en augment perquè no tinguin dubtes sobre la falsedat d’aquests missatges i actuïn en conseqüència. Així mateix, l’AI constreny a evitar les transaccions financeres o bancàries des de llocs públics, com a cibercafés o universitats, a més de tenir sempre presentis les normes de seguretat per a accedir a la banca per Internet, entre les quals està la regla bàsica per a no caure en el phishing: “El banc MAI li sol·licitarà que informe de les seves claus o dades a través del correu electrònic”.

El president de l’AI, Víctor Domingo, creu que a la majoria dels bancs els costa reconèixer que reben atacs d’aquest tipus o uns altres majors, però “tard o d’hora les notícies salten a la premsa i el mal és major”.

Una de les maneres d’identificar una pàgina web segura, que ha de ser emprada pels serveis de banca “online”, és cerciorar-se que la seva adreça comença per ‘https’, en lloc de ‘http’. L’AI ha analitzat les pàgines web de 15 entitats bancàries per a comprovar la seva protecció ‘anti-phishing’, resultant que quatre dels bancs que operen a Espanya (gruposantander.es, lacaixa.es, caixacatalunya.es i ingdirect.es) suspenen en seguretat i dues (cajarural.com i ibanesto.com) estan “a mig camí entre el suspens i l’aprovat”. Així mateix, Hispasec va assegurar en un estudi que el 44% dels llocs web d’entitats bancàries són vulnerables al phishing.

Al novembre de l’any passat, CONSUMER EROSKI va analitzar 15 bancs “online” i, encara que es van detectar bastantes deficiències, en l’apartat de seguretat van obtenir una qualificació mitjana de ‘molt bé’.

Un dels missatges rebuts pels internautes, remès per ‘Supporte Banca BBVA’, pretén ser una comunicació del BBVA, però es tracta d’un intent de frau molt poc sofisticat: la mala adaptació de la paraula ‘support’ (suport o ajuda) al castellà, l’adreça del remitent (eddie@bbvan.es) i el destinatari del missatge (ni està personalitzat ni s’utilitza un nom genèric ‘creïble’) no conviden a picar en l’esquer.

Si arriba a punxar en l’enllaç del correu electrònic, el receptor arribaria al web parany (http://bbva-support.com, ja inactiva), en lloc de la legítima del BBVA (https://www.bbvanet.com). Qui no es fixi en la direcció no apreciarà cap diferència amb l’original:

Un altre correu electrònic, suposadament enviat per Caja Madrid, ofereix “Recomanacions de seguretat en Oficina en Internet”. En aquesta ocasió, el remitent (clientes@cajamadrid.es) i l’assumpte (‘Atenció al client de Caja Madrid’) estan més cuidats, i és el propi missatge el que conté un formulari per a enviar les dades personals, que seran capturats pels estafadors:

A través del codi HTML del missatge és possible endevinar que les dades anirien a parar a copilutzrau@yahoo.com a través de la web http://www.wave.co.nz/cgi-bin/mailform.cgi. Caja Madrid ha penjat un avís de seguretat en la seva pàgina web per a advertir als seus clients d’aquest intent d’estafa. En ell recorda que “Caja Madrid mai sol·licita als seus clients que revelin les seves claus personals i confidencials mitjançant telèfon, email o fax”.

També s’han rebut correus que tracten d’accedir als clients de diverses entitats bancàries alhora, com el remès per ‘BANKING SUPPORT’ amb l’assumpte ‘BBVA_Bank/Banesto /Cajamar/ Banc de_València’. El missatge està en anglès i les direccions dels bancs apunten a pàgines amb el domini ‘.ru’ (de Rússia), ja inactives:

Cajamar ha advertit als seus clients que no han d’introduir les seves claus en aquest correu fraudulent, enviat massivament: