Artigo traducido por un sistema de tradución automática. Máis información aquí.

‘Phishing’: páxinas web falsas paira roubar datos

A suplantación de sitios web paira capturar datos persoais é un delito en auxe que hai que vixiar
Por EROSKI Consumer 22 de Setembro de 2004

Mensaxes de correo electrónico que se fan pasar por comunicados de bancos ou tendas de Internet reclaman a atención dos clientes paira actualizar as súas claves de acceso ou confirmar o seu número de cartón de crédito a través dun enlace que lles conduce a páxinas web falsas. Os seus datos son capturados e os delincuentes poden suplantar a identidade da vítima paira realizar todo tipo de operacións na Rede. É a fraude coñecida como ‘phishing’, un delito en aumento que en EEUU xa alcanzou proporcións alarmantes e que ameaza con minguar a confianza no correo electrónico e Internet.

Que é o ‘phishing’?

Coñécese como ‘phishing’ ( do inglés fishing – pescar) á suplantación de identidade (en Internet, pero tamén por teléfono) que persegue apropiarse de datos confidenciais dos usuarios. Na Rede utilízase o envío masivo de correos electrónicos que simulan proceder de entidades de prestixio e apreman ao internauta a actualizar datos persoais (nomes de usuario e contrasinal de contas bancarias, números de cartón de crédito, etc.) a través de una páxina que imita á orixinal. Ao introducir os datos na páxina falsa, estes son ‘pescados’ polos ciberdelicuentes paira utilizalos de forma fraudulenta.

Trátase dunha forma de spam (correos electrónicos non desexados) especialmente perniciosa, pois non só satura as caixas de correos de lixo , senón que pon en perigo a integridade da información sensible do usuario con graves consecuencias. A proliferación destas mensaxes fraudulentas obriga a estar alerta e, de entrada, a ter presente que non se deben ofrecer datos persoais que sexan solicitados mediante o correo electrónico sen, polo menos, realizar una comprobación telefónica. O mecanismo deste timo online en auxe é o seguinte:

  • O usuario recibe un email dun banco, entidade financeira ou tenda de Internet no que se lle explica que por motivos de seguridade, mantemento, mellora no servizo, confirmación de identidade ou calquera outro, debe actualizar os datos da súa conta. A mensaxe imita exactamente o deseño (logotipo, firma, etc.) utilizado pola entidade paira comunicarse cos seus clientes.
  • A mensaxe pode integrar un formulario paira enviar os datos requiridos, aínda que o máis habitual é que inclúa un enlace a unha páxina onde actualizar a información persoal.
  • Esta páxina é exactamente igual que a lexítima da entidade -algo sinxelo copiando o código fonte (HTML)- e a súa dirección (URL) é parecida e mesmo pode ser idéntica grazas a un fallo dalgúns navegadores.
  • Si énchense e envíanse os datos da páxina caerán directamente en mans do estafador, quen pode utilizar a identidade da vítima paira operar en Internet.

O Anti-Phishing Working Group, organización creada en EEUU paira combater esta fraude, asegura que o número e sofisticación do ‘phishing’ enviado aos consumidores está a incrementarse de forma dramática e que “aínda que a banca online e o comercio electrónico son moi seguros, como norma xeral hai que ser moi coidadoso á hora de facilitar información persoal a través de Internet”.

Unha fraude enorme e en aumento

O ‘phishing’ é, xunto aos programas espía , una das técnicas máis empregadas polos ciberdelincuentes paira apropiarse de información confidencial a través de Internet. Os clientes de varias entidades moi coñecidas, como a casa de poxas electrónicas eBay, o sistema de pagos online PayPal ou Citibank foron vítimas desta fraude cibernético.

Nun estudo de Gartner realizado en abril deste ano, o 3% dos usuarios enquisados recoñeceu que facilitara información persoal ou financeira a páxinas fraudulentas. De aí a consultora extrae que uns 30 millóns de internautas sufriron ataques de ‘phishing’ e preto de dous millóns caeron na trampa e foron vítimas de intrusiones nas súas contas bancarias no último ano, cun total defraudado de 2.400 millóns de dólares, uns 1.200 por vítima.

O estudo revela que se trata dunha fraude recente en notable aumento: o 76% dos ataques acaeceron nos últimos seis meses e un 95% no último ano. Gartner conclúe que de non atallarse o problema rapidamente, Internet e o correo electrónico poderían quedar desacreditados como medios paira realizar transaccións comerciais e desanimaría aos consumidores á hora de comprar na Rede.

Dada a magnitude do problema, en EEUU creouse a organización sen ánimo de lucro Anti-Phishing Working Group (APWG), con máis de 600 membros, dedicada a ofrecer información sobre como previr esta fraude e denuncialo, ao mesmo tempo que recompilar datos sobre a súa evolución e manter un arquivo con todas as páxinas e mensaxes fraudulentas coñecidos. Segundo esta organización, o número de incidencias relacionadas co ‘phishing’ multiplicouse por 400 nos últimos 10 meses. O pasado xuño apareceron 1.422 novos (distintos) fraudes de suplantación de identidade, fronte aos 1.197 de maio, con Citibank, eBay, US Bank e PayPal como principais vítimas.

Outras empresas incluíron entre os seus servizos o combate ás páxinas fraudulentas. Netcraft desenvolveu un sistema para que os bancos e outras entidades financeiras rastrexen os seus nomes de marca en Internet paira detectar actividades ilícitas, e o servizo antispam de Brightmail adaptouse paira detectar as mensaxes que suplantan identidades corporativas. Esta última compañía estima que o pasado abril o número de emails fraudulentos que circularon por Internet superou os 3.000 millóns

España non se libra

A maioría das mensaxes fraudulentas están en inglés, por tanto destinados a clientes que se comuniquen coa súa empresa neste idioma. Con todo, os delitos en Internet saltan facilmente as fronteiras, ademais de que non é estraño que un usuario en España sexa cliente de entidades bancarias ou tendas de Internet estranxeiras. No último informe mensual do APWG (Xuño – PDF), España aparece como receptora do 1% dos ‘ataques de phishing’. José Manuel Colodrás, responsable da Brigada de Investigación Tecnolóxica da Policía Nacional, sinalou recentemente que “o envío masivo de emails que pretenden ser notificacións oficiais paira obter datos persoais e bancarios é un dos delitos informáticos en auxe en España”. Téñense noticias de varios intentos de fraude aos clientes de Banco Popular e outro dirixido aos de Citibank. En maio deste ano, a “ operación PHESCA ” da Garda Civil desarticulou una rede de ‘phishing’ que estafou por valor de 500.000 euros.

Existe una gran variedade de mensaxes fraudulentas, nalgúns dos cales non é difícil caer . Ultimamente, como os consumidores xa están sobre aviso, moitos dos correos ‘phishing’ advirten de intrusiones non autorizadas nas contas de usuario, exhortando ás potenciais vítimas a confirmar a súa identidade paira liquidar o problema. Segundo APWG, secuestrando marcas coñecidas de bancos, tendas online e compañías de cartóns de crédito, os phishers son capaces de convencer a un 5% dos receptores das súas mensaxes.

Quen crea que sería perfectamente capaz de diferenciar unha mensaxe auténtica doutro falso pódeo comprobar mediante un test de MailFrontier. De calquera xeito, a mellor forma de acertar sempre é rexeitar sistematicamente calquera mensaxe, por moi veraz que pareza, que convide a facilitar dalgunha forma información confidencial.

Como evitalo?

A pesar do elevado número de vítimas desta fraude, paira non caer nel bastaría con saber que ningún banco leva a cabo tarefas de verificación de cóntalas usuario ou de calquera outro tipo de datos persoais mediante o correo electrónico. Ademais, as mensaxes falsas adoitan pecar de excesiva vehemencia, ‘ameazando’ aos usuarios con graves consecuencias se non responden canto antes -as páxinas web falsas duran moi poucos días paira non ser localizadas-, algo insólito no trato aos clientes.Aínda así, dada a crecente sofisticación desta fraude, non está de máis ter en conta algúns consellos ofrecidos por MailFrontier e Anti-Phishing Working Group paira recoñecer e rexeitar as mensaxes fraudulentas:

Mirar con atención calquera mensaxe que solicite información financeira:

  • Ter presente ás compañías coas que se ten algunha relación.
  • A non ser que vaia asinado dixitalmente, non se pode estar seguro de que non sexa falso.
  • Considerar se o asunto e a redacción da mensaxe son propios da entidade que pretende representar.
  • Os falsos emails inclúen mensaxes alarmantes paira facer reaccionar ao usuario, e requiren información como o nome de usuario, contrasinal ou número do cartón de crédito.
  • Normalmente non son personalizados, ao contrario que as mensaxes lexítimas de calquera compañía.

Se se sospeita da mensaxe, non utilizar o enlace que inclúe paira acceder a unha páxina web (ao colocar o rato sobre o enlace pódese comprobar se a dirección á que apunta é en realidade a que pretende ser ou é só parecida). En lugar disto, chamar por teléfono á compañía ou acceder ao sitio web tecleando a dirección no navegador.

Evitar encher os formularios que inclúen os email: só se debe comunicar información sensible a través do teléfono ou mediante un sitio web seguro. Nos sitios seguros a dirección comeza por ‘https://’ e na parte de abaixo do navegador aparece un cadeado pechado ou una chave. Ao picar sobre o cadeado móstranse os datos do certificado de autenticidade, que deben coincidir cos da páxina visitada.

Considerar a instalación dunha barra paira o navegador que protexa dos sitios falsos, como EarthLink ScamBlocker .

Entrar regularmente no banco online paira comprobar o estado das contas.

Instalar a última versión do navegador utilizado, así como as actualizacións de seguridade. O usuario de Internet Explorer deben visitar regularmente Windows Update .

A 1ª Campaña Mundial de Seguridade en Internet , organizada pola Asociación de Internautas (AI) e Panda Software, dedica un apartado á banca online con consellos paira elixir claves seguras e especial atención a como evitar o ‘phishing’. Desde Panda Software, José María Hernández advirte de que as fraudes online “son cada vez máis frecuentes e constitúen unha gran ameaza, non xa paira os equipos informáticos, senón paira os propios usuarios que poden ver como as súas contas baléiranse como consecuencia do ‘phishing’”. E o presidente da AI, Víctor Domingo, asegura que esta fraude é una ameaza de primeira magnitude. “Paira evitalo a única solución pasa por estar informado, xa que non existe ningún tipo de programa que poida impedir totalmente este tipo de ataques”.

Navegadores máis seguros?

A usurpación de datos persoais vese favorecida pola vulnerabilidade dos navegadores, incapaces de certificar a autenticidade da URL (dirección de Internet). Tanta Internet Explorer , como Mozilla (e Mozilla Firefox) ou Opera padecen esta debilidade que facilita a verosimilitud de enlaces falsos e páxinas ilexítimas. Microsoft ofrece detallada información sobre o ‘phishing’ e consellos contra a falsificación da URL , e Hispasec Sistemas facilita una páxina para que o usuario comprobe se o seu navegador é vulnerable á falsificación da URL.