Phising: La AUI propone una solución para atajar este fraude
Seguimos recibiendo quejas relacionadas con el fenómeno phising, técnica utilizada por los ciberdelincuentes para llevar a cabo estafas on line, se trata de trucos que se envían por e-mail donde se solicitan datos relacionados con cuentas bancarias y tarjetas de crédito con la excusa de actualizar números PIN, nombres de usuarios o passwords para acceder a servicios financieros.
Solución propuesta para evitar la falsificación de webs
Pedir a un usuario que distinga una web original de una falsificada no es, en nuestra opinión, un buen consejo porque las falsificaciones pueden llegar a ser "casi perfectas".
Sin embargo si el acceso a las aplicaciones sensibles se realiza en dos pasos: en el primero, se identifica al usuario, mientras que en el segundo, es éste el que identifica la página web. Esto permite "de una forma sencilla y eficaz", que cualquier usuario pueda reconocer y distinguir la web autentica de la falsa.
Proponemos que se utilice un procedimiento en el que el usuario se identifica en primer lugar y, posteriormente, la aplicación es la que ofrece una información personal y pide respuesta a otra cuestión personal —fecha de nacimiento, nombre de padres, mascota, etc.—, lo que permite al internauta reconocer la autenticidad de la aplicación. Finalmente, y solo si este segundo proceso es correcto, el usuario debería rellenar su clave de acceso.
Veamos un ejemplo de dialogo de acceso a una Web:
- Primer paso, identificación del Usuario:
La página Web del banco pide que se introduzca el Identificador de Usuario.
- Segundo Paso, la web presenta un mensaje de bienvenida con información que el usuario puede identificar facilmente y despues le solicita la clave de acceso:
Nombre y Apellidos, bienvenid@ a nuestro servicio de banca on-line, la letra de su NIF es la G
Introduzca su clave de acceso a nuestro servicio:
- Tercer paso, el usuario introduce la clave solo si los datos presentados son correctos.
Las aplicaciones reales ya tienen estos datos del Usuario y por tanto no tienen que pedirselos de nuevo, las falsas no los tienen y por tanto no pueden inventarselos y el Usuario, solo tiene que saber como se llama y cual es la letra de NIF para reconocer lo autentico de lo falso.
Sencillo y eficaz .......
Son los bancos, la administración, ... en sus páginas web y aplicaciones, las que deben de aplicar este tipo de soluciones. Nuestra obligación, reclamarlas si quieren seguir contando con nuestra confianza ;-)
Entre todos podemos conseguirlo.
Mientras llegan las soluciones algunos Consejos:
Desconfíe de las peticiones que una compañía jamás haría a sus clientes, atendiendo a estos sencillos consejos:
- No introducir datos (especialmente relativos a información bancaria y contraseñas) en sitios cuya autoría sea dudosa o no esté contrastada y menos si te lo piden por teléfono o por e-mail.
Ningún banco pide esta información a través del correo electrónico, en caso de duda llama tú por teléfono al banco antes de introducir tus datos.
- Si tu banco no te permite usar claves diferentes para el acceso y para operar (transferencias, compras, recargas, ..) con mecanismos de seguridad complementarios (acceso en dos pasos,disponer de confirmaciones/alertas a través del móvil,claves dinámicas con soporte de papel, ....) quizás tengas que pensar en cambiar de banco.
Consejos para distinguir lo real de lo falso
Algo complicado ya que el nivel de falsificación suele ser muy alto y los estafadores aprenden antes que nosotros:
- Comprobar siempre antes de introducir los datos, que el nombre de la página se corresponda con el nombre de la entidad, por ejemplo: http://www.bancoocaja.es, normalmente las páginas fraudulentas en lugar de esto, aparece una secuencia numérica o IP , por ejemplo, del tipo: http://218.45.31.164, que no pertenece a ningún servidor de nuestra entidad bancaria.
- Observar que la página trabaja con protocolo SSL, o servidores seguros, que garantizan la encriptación del tráfico de datos entre maquina y cliente, esto se puede ver a simple vista si en la barra de direcciones de nuestro navegador aparece al comienzo de la dirección: https:// en lugar de http:// , o bien si en la barra de estado figura en candadito que nos advierte que se trata de una página segura. .
Este es la Web de Citibank Autentica:
Esta es la Web de CitiBank Falsificada:
ESTE ES EL CORREO ENVIADO EN EL CASO CAJAMADRID PARA VER SI ALGUN USUARIO "picaba"
From: CAJA MADRID Internet Banca support
To: Nombre
Subject: Presidente, Oficina Internet Caja Madrid: AVISO DE SEGURIDAD
Date: Tue, 22 Mar 2005 10:30:01 -0500
> Demo> Hágase cliente
> Información de seguridad (Con enlace)
Estimado cliente de CAJA MADRID!
Por favor, lea atentamente este aviso de seguridad. Estamos trabajando para proteger a nuestros usuarios contra fraude. Su cuenta ha sido seleccionada para verificación, necesitamos confirmar que Ud. es el verdadero dueño de esta cuenta.
Por favor tenga en cuenta que si no confirma sus datos en 24 horas, nos veremos obligados a bloquear su cuenta para su protección.
Gracias.
D.N.I.
Clave (Con enlace)
Firma
Ir a Inicio->Posición Global->Saldo de cuentas->Movimientos de cuentas->Transferencias->Cotizaciones de valoresCompra/Venta de valores->Saldo de tarjetas->Recarga de móviles > Entrar (con su enlace correspondiente)
Servicio de atención al cliente: 902 2 3 6 9 10
El servicio está¡ optimizado para Explorer 5.0 o superior y Netscape 6.0 o superior
CAJA MADRID
Caja de Ahorros y Monte de Piedad de Madrid, CAJA MADRID, C.I.F. G-28029007, Plaza de Celenque, 2. 28013 Madrid.
Inscrita en el Rº Mercantil de Madrid al folio 20, tomo 3067 General, hoja 52454, y en el Rº Especial de Cajas de Ahorros con el número 99. Código B.E.: 2038. Código BIC: CAHMESMMXXX. Entidad de crédito sujeta a supervisión del Banco de Españaa
© Caja Madrid. 2001 - 2004. España. Todos los derechos reservados.