Nota importante
ACTUALIZACIÓN
He localizado una página de la Asociación de Internautas en la que se trata justo este mismo timo. Se muestran capturas de pantalla y se dan recomendaciones, información, formas de solucionar el problema si te han timado, etc.
Los enlaces que proporciono son los que venían en el correo. En la escasa hora que he dedicado a capturar las pantallas, escribir el texto, buscar los enlaces, etc. en Yahoo, que es donde estaba alojado este timo se han debido de dar cuenta y lo han borrado. Menos mal que me ha dado tiempo a tener las capturas para que podais verlas. La pena es que ya no podeis practicar.
Un ejemplo de Phising, paso a paso
El Phising es una técnica usada por una nueva raza de «chicos malos» llamados phisers. Consiste en enviarte un correo electrónico que aparentemente proviene de un banco instándote a entrar en su página web para, por ejemplo, verificar tus contraseñas.
Usualmente suelen venir impecablemente redactadas, incluyendo los logotipos reales del banco, los números de teléfono auténticos e incluso enlaces a las páginas web genuinas del banco. Pero todos pretenden una única cosa: que pulses en el enlace que te ofrecen, que aparentemente te lleva a la página del banco, para que introduzcas tu nombre de usuario y contraseña.
Como ejemplo, en una noticia antigua ya comentaba lo trabajado que venía este supuesto correo de Microsoft. Hoy he recibido un email que me ha llevado a escribir este artículo, tras reflexionar cómo podemos devolver la pelota a estos phisers tan pesados.
El ejemplo concreto recibido por email
 |
| Normas de Seguridad (Aviso) | ||
|
Estimado cliente,
Entramos en contacto con Ud.para informarle que en fecha 14/09/2006 nuestro equipo de revision de cuentas identifica cierta actividad inusual en su cuenta, que ha sido verificada por nosotros, hallando todas las operaciones aceptables. Hemos realizado un escueto informe sobre todos los movimientos habidos en su cuenta el mes pasado. Compruebe, por favor, este informe pulsando en acoplamiento inferior:
Servicio De Santander Central Hispano |
||
| Esta notificacin de Santander fue enviada a editado@freniche.com . Por favor no responda a este correo electrnico, esto es un correo automatizado solo para notificaciones.
Santander Central Hispano, 2006. Todos los derechos reservados |
Analicemos el correo
Como se puede ver, el phiser ha mantenido el diseño corporativo y los colores del Banco en cuestión. En éste caso ha prescindido de incluir números de teléfono u otro enlace que nos pueda distraer de su única intención: que piquemos en su anzuelo pulsando en el tentador enlace que aparece justo en medio del correo.
He editado el correo electrónico al que me llegó esta tontería, sobre todo para que no me llegue más SPAM del que ya me satura el buzón de entrada. Y alguien entre la audiencia estará pensando
«Bueno, el correo electrónico lo han podido obtener por Internet, bien de los registros whois, o de un mensaje de un foro, o de otro sitio. Pero, Diego, ¿cómo han descubierto que tienes cuenta en ese banco en concreto?»
Este es probablemente el punto más flaco del Phising: ellos no saben dónde tienes tú el dinero, así que mandan el mismo correo de forma masiva a miles de personas. Cuantas más, mejor. Así, la probabilidad de encontrar un hiponcondríaco-informático con cuenta en ese bancoaumenta. Es como pescar: uno echa el anzuelo y a ver si pican.
¿Dónde nos lleva el enlace?
Un enlace está compuesto de dos cosas: un texto, que usualmente aparece subrayado y que describe el destino del enlace y la página web a la que vamos a saltar. Es decir, para enlazar con www.freniche.com yo puedo querer utilizar la frase «el mejor Blog al alcance de tu ratón», y el enlace quedaría como: el mejor Blog al alcance de tu ratón.
Por otro lado, estamos acostumbrados a que muchos programas (procesadores de textos, clilentes de correo, etc.) nos añaden el enlace cuando escribimos una dirección web. En ese caso, descripción y destino coinciden. El phiser se aprovecha de ésto para escribir una dirección aparentemente buena (https://gruposantander.es/bog/sbi) y luego reconducirnos a su propia web: (http://www.johnsbaylobsters.com/products/Downloads/santander.htm), que a su vez nos redirige a (http://gruposantander.es.bhmka.info/bog/sbi/login.htm)
En éste caso el tipo ha sido sibilino y muy integente: consciente de que cada vez más personas distinguen entre HTTP y HTTPS (protocolo seguro) ha indicado en el enlace que la página tiene un certificado de seguridad. Pero mirando a la barra de direcciones al final, el protocolo es http, sin s. Aunque en la página aparece un candado, en la barra de estado del navegador no aparece el candado que al pulsarlo nos informa del certificado de esa página.
Como ejemplo, la entrada a las cuentas de Google sí que muestra el candado que podemos pulsar en la barra de estado del navegador y nos informa sobre el certificado utilizado.
Piquemos el anzuelo
Os invito a que piqueis en el anzuelo. La moraleja del cuento es que, ya que mandan tantos correos, si todos entramos y proveemos al phiser de basura, perderá su valioso tiempo y nos reiremos de él. Por ello, en la primera pantalla introduciré mi nombre: «Mickey», con contraseña: «Mouse», como puedes ver en la imagen.
Tras introducir estos datos tan evidentemente veraces, pasaremos siempre a la misma pantalla, la segunda pantalla, donde se nos urge a introducir nuestras claves para mover dinero por algún problema del sistema. Y aquí es donde nos pescan. Si ponemos, con toda nuestra buena fe, los datos reales le estamos sirviendo en bandeja al ladrón la entrada en nuestras cuentas.
¿Qué debemos hacer ante el Phising?
Ignorarlo. O reirnos de él. El banco nunca, jamás, never ever nos va a enviar un correo electrónico para que actualicemos nuestras claves. El banco nunca nos va a cortar el acceso: si lo hacen, pierden un cliente. Debemos confirmar estas comunicaciones llamando a nuestra oficina, así de sencillo. Y debemos aprendernos la dirección oficial del banco, guardarla en favoritos y entrar siempre a través de ella.
Molestias parecidas que llegan por correo
Otras molestias parecidas son los HOAX y el SPAM, ya comentadas en la web.
Puede que te interese saber cómo hacer tu Windows XP un poco más seguro.