Artigo traducido por un sistema de tradución automática. Máis información aquí.

Previr a fraude na banca “online”

Multiplícanse en España os ataques de "phishing" paira roubar datos bancarios
Por EROSKI Consumer 30 de Marzo de 2005

Os clientes de Banco Popular, Banesto, BBVA, Caixa Madrid e Cajamar, entre outros, sufriron una avalancha de ataques paira roubar os seus datos de acceso aos servizos bancarios. A fraude coñecida como “phishing” emprega o envío masivo de correos electrónicos que simulan ser comunicados orixinais de entidades bancarias e financeiras. Neles aprémase a introducir información persoal e contrasinais ou se conduce a unha páxina web falsa, un calco da auténtica, onde os estafadores capturan os datos.

Roubo de claves de acceso

Nos últimos meses multiplicáronse os ataques de phishing contra os clientes de bancos españois. Trátase de envíos masivos de correos electrónicos fraudulentos que solicitan datos persoais e claves de acceso aos usuarios de banca “online”. As mensaxes simulan as comunicacións orixinais das entidades e enlazan con páxinas idénticas ás dos bancos, desde as que se aprema a introducir os datos coa escusa dalgunha verificación ou actualización do sistema, e mesmo se asegura que o seu obxectivo é “evitar a fraude”. Algúns emails indican que si o usuario non confirma os datos en menos de 24 horas, a entidade verase obrigada “a bloquear a súa conta paira a súa protección”.

O internauta xamais debe facer caso a estes correos electrónicos; si complétase o rexistro os datos persoais caen en mans de estafadores.

Crecemento imparable

Tanto os expertos Alerta-Antivirus, da entidade pública Rede.é, como o Grupo de Delitos Telemáticos da Garda Civil e a Asociación de Internautas (AI) advertiron do gran aumento desta fraude en España. Segundo algúns estudos, os ataques de phishing creceron en todo o mundo até un 5.000% ao longo do ano pasado.

Roubo de claves de acceso

No mes de febreiro houbo 13.141 novos (distintos) mensaxes de phishing detectados polo Anti-Phishing Working Group (APWG), asociación paira combater este tipo de fraude que engloba a 1.200 membros. Desde xullo de 2004, APWG rexistrou un incremento do phishing do 26% de media mensual. O número de sitios web que apoian os ataques por correo electrónico alcanzou o mes pasado os 2.625, segundo o informe de febreiro (PDF).

APWG tamén leva a conta do número de entidades bancarias e financeiras que informan o secuestro da súa marca, é dicir, da existencia de páxinas web falsas coa súa mesma aparencia. En febreiro, o número de entidades vítimas do phishing foi de 64 (entre elas, 8 bancos), igual que o mes anterior, paira sumar un total de 149 desde novembro de 2003.

En España, Banco Popular e Banesto primeiro, BBVA e Caixa Madrid despois e Cajamar recentemente sufriron ataques de phishing. Esta última entidade xa puxo en coñecemento da brigada de delitos informáticos da policía o intento de estafa e, aínda que non ten constancia de que haxa clientes afectados, colocou un aviso na súa páxina web paira previr este tipo de fraudes, no que se lembra aos clientes que non deben enviar os seus contrasinais por correo electrónico.

Consellos paira evitar o “phishing”

Ante o aluvión destes correos electrónicos que se fan pasar por mensaxes de entidades bancarias, o Centro de Alerta Antivirus de Rede.é publicou un documento con cinco normas sinxelas paira non caer na trampa do phishing, ao que define como “manobra de enxeñaría social pola que un usuario de correo electrónico é convidado a revelar as súas claves bancarias ou números secretos de acceso a contas financeiras”. Os argumentos máis comúns paira xustificar a necesidade de introducir os datos de acceso son, segundo Rede.é, problemas de carácter técnico, recentes deteccións de fraude, recomendacións de seguridade e cambios na política de seguridade da entidade. E as recomendacións paira non caer nestes señuelos son:

  1. Non atenda a correos electrónico escritos en idiomas que non fale: a súa entidade financeira non se dirixirá a Ud. nese idioma se antes non o pactaron previamente.
  2. Non atenda a correos enviados por entidades das que non é cliente nos que lle pidan datos íntimos ou que afecten á súa seguridade.
  3. Non atenda a sorteos ou ofertas económicas de forma inmediata e impulsiva.
  4. Non atenda a correos que lle avisen do cesamento de actividades financeiras recibidos por primeira vez e de forma sorpresiva.
  5. Non atenda a correos dos que sospeite sen confirmalos telefónica ou persoalmente coa entidade asinante.

Ademais, o Centro de Alerta Antivirus conta cunha páxina dedicada máis amplamente á Fraude Financeira a través de Internet.

Paira evitar caer en páxinas trampa, é recomendable teclear a dirección do banco “online” ou fichala nos “Favoritos”. En calquera caso, hai que evitar acceder á súa web través de mensaxes de correo electrónico ou páxinas web de terceiros.

A Asociación de Internautas ‘suspende’ a algúns bancos

A Asociación de Internautas (AI) recomendou ás entidades financeiras que informen aos seus clientes desta fraude en aumento para que non alberguen dúbidas sobre a falsidade destas mensaxes e actúen en consecuencia. Así mesmo, a AI aprema a evitar as transaccións financeiras ou bancarias desde lugares públicos, como cibercafés ou universidades, ademais de ter sempre presentes as normas de seguridade paira acceder á banca por Internet, entre as que está a regra básica paira non caer no phishing: “O banco NUNCA lle solicitará que informe das súas claves ou datos a través do correo electrónico”.

O presidente da AI, Víctor Domingo, cre que á maioría dos bancos cústalles recoñecer que reciben ataques deste tipo ou outros maiores, pero “tarde ou cedo as noticias saltan á prensa e o dano é maior”.

Una das formas de identificar una páxina web segura, que debe ser empregada polos servizos de banca “online”, é cerciorarse de que a súa dirección comeza por ‘https’, en lugar de ‘http’. A AI analizou as páxinas web de 15 entidades bancarias paira comprobar a súa protección ‘anti-phishing’, resultando que catro dos bancos que operan en España (gruposantander.é, lacaixa.é, caixacatalunya.é e ingdirect.é) suspenden en seguridade e dúas (cajarural.com e ibanesto.com) están “a medio camiño entre o suspenso e o aprobado”. Así mesmo, Hispasec asegurou nun estudo que o 44% dos sitios web de entidades bancarias son vulnerables ao phishing.

En novembro do ano pasado, CONSUMER EROSKI analizou 15 bancos “online” e, aínda que se detectaron bastantes deficiencias, no apartado de seguridade obtiveron una cualificación media de ‘moi ben’.

Exemplos de mensaxes fraudulentas

Exemplos de mensaxes fraudulentas

Uno das mensaxes recibidas polos internautas, remitido por ‘Supporte Banca BBVA’, pretende ser una comunicación do BBVA, pero se trata dun intento de fraude moi pouco sofisticado: a mala adaptación da palabra ‘support’ (soporte ou axuda) ao castelán, a dirección do remitente (eddie@bbvan.es) e o destinatario da mensaxe (nin está personalizado nin se utiliza un nome xenérico ‘crible’) non convidan a picar no cebo.

Se chega a picar no enlace do correo electrónico, o receptor chegaría á web trampa (http://bbva-support.com, xa inactiva), en lugar da a lexítima do BBVA (https://www.bbvanet.com). Quen non se fixe na dirección non apreciará ningunha diferenza coa orixinal:

Exemplos de mensaxes fraudulentas

Outro correo electrónico, supostamente enviado por Caixa Madrid, ofrece “Recomendacións de seguridade en Oficina en Internet”. Nesta ocasión, o remitente (clientes@cajamadrid.es) e o asunto (‘Atención ao cliente de Caixa Madrid’) están máis coidados, e é a propia mensaxe o que contén un formulario paira enviar os datos persoais, que serán capturados polos estafadores:

Exemplos de mensaxes fraudulentas

A través do código HTML da mensaxe é posible adiviñar que os datos irían parar a copilutzrau@yahoo.com a través da web http://www.wave.co.nz/cgi-bin/mailform.cgi. Caixa Madrid colgou un aviso de seguridade na súa páxina web paira advertir aos seus clientes deste intento de estafa. Nel lembra que “Caixa Madrid nunca solicita aos seus clientes que revelen as súas claves persoais e confidenciais mediante teléfono, email ou fax”.

Tamén se recibiron correos que tratan de acceder aos clientes de varias entidades bancarias á vez, como o remitido por ‘BANKING SUPPORT’ co asunto ‘BBVA_Bank/Banesto /Cajamar/ Banco de_Valencia’. A mensaxe está en inglés e as direccións dos bancos apuntan a páxinas co dominio ‘.ru’ (de Rusia), xa inactivas:

Exemplos de mensaxes fraudulentas

Cajamar advertiu aos seus clientes de que non deben introducir as súas claves neste correo fraudulento, enviado masivamente:

Exemplos de mensaxes fraudulentas