Libertonia || La que se nos viene encima


Portada · Todo · Software Libre · Desarrolladores · Comunidad · Internet · Tecnología · Meta · Diarios

La que se nos viene encima
Por JulHer departamento Golfos apandadores , Sección Diarios Puesto a las Fri Apr 15th, 2005 at 08:40:24 AM CET

Desde hace ya algún tiempo todos recibimos esos correos, en apariencia procedentes de un banco, en que nos intentan engañar para que escribamos nuestros datos de acceso a páginas bancarias. Los que caen en el engaño, se encuentran con que alguien ha "vaciado" sus cuentas.

Esta técnica es conocida con el nombre de Phising y ya lleva bastante tiempo presente en Internet. Hasta ahora, personalmente había recibido unos cuantos correos de este tipo, pero su falsedad era evidente al venir en nombre de bancos con los que no he trabajado nunca.

Sin embargo, hace un par de días, recibí uno del banco con el que trabajo habitualmente, y por curiosidad fuí a ver cómo era la página de engaño, encontrándome con una página perfectamente preparada para engañar a usuarios despistados. Y digo despistados, ya que en la página principal del banco en cuestión hay un aviso que dice que ellos nunca piden datos de claves ni por correo electrónico, ni fax, ni teléfono...

Pero la que se nos viene encima puede ser gorda... leo en Hispasec una noticia en la que se comenta que se está inundando Internet con un tipo de gusanos con muchas variantes, para evitar las firmas de los antivirus y lograr la máxima propagación posible. La función de esos gusanos sería hacerse con los datos de acceso a cuentas bancarias.

Teniendo en cuenta la criptografía de juguete que se usa en los sistemas Windows, la confianza de los usuarios, los miles de sistemas que están en Internet desprotegidos (o protegidos por medios obsoletos), y todos estos gusanos automatizando el proceso de robo de claves... la que se puede liar es de órdago a la grande.

Me imagino que es el sueño de un ladrón... robar a distancia. Si esta visión tan pesimista se acaba cumpliendo ¿cómo creéis que responderán los bancos?

Un saludo

< Movilización contra las patentes de software en Europa el 27-A (3 comments) | Debian en mac mini (I) (32 comments) >

Enlaces Relacionados

· Phising
· Hispasec
· noticia
· More on JulHer's Diary
· Also by JulHer

Encuesta

Votos: 6
Resultados	\|	Otras Encuestas

Menu

· crear cuenta
· FAQ
· búsqueda
· Fuentes de Noticias

Login


Nueva cuenta
Usuario:
Contraseña:

La que se nos viene encima | 14 comentarios (14 temáticos, editoriales, 0 ocultos)

Pues hay que ponerse las pilas (none / 0) (#1)
por jamarier a las Fri Apr 15th, 2005 at 11:18:12 AM CET
(Información Usuario) http://barbacana.net/drupal/

Tengo la costumbre de reenviar todos los correos de phising a la entidad suplantada para avisar del fraude. Con la idea de que ellos lo denuncien a la ¿guardia civil? y rastreen el servidor y correos electrónicos.

El resultado es decepcionante. La única entidad que me ha respondido. Lo ha hecho con un correo automatizado para sus clientes. Es decir, yo les escribo diciendo: «no soy cliente vuestro y he recibido este correo que es un intento de estafa. Les reenvío con todas las cabeceras para que tomen la medidas oportunas» y recibo por respuesta: «Comunicado oficial a todos nuestros clientes: se ha detectado un intento de estafa. Nosotros nunca le solicitaremos la clave por correo...» Me da la sensación que tienen una regla en el procmail y lo procesaron sin leerlo.

Respecto a la solución, tenemos el problema del usuario de estos servicios que no es de fiar, así que hay que buscar un sistema que no permita al cliente equivocarse. Se me ocurren ahora dos sistemas; pero tienen fallos así que voy a madurarlas antes de proponerlos.

-----
Opinión expresada por alguien que puede que no sea yo.

La atención al cliente... by JulHer, 2005/04/15 13:56:00 CET (none / 0)
- Mi solución ante el phising. by jamarier, 2005/04/19 23:15:40 CET (none / 0)
  - No hace falta complicarse tanto en el https by Ed hunter, 2005/04/20 01:13:04 CET (none / 0)

No dirán nunca que tienen un problema (none / 0) (#2)
por Ed hunter (eduardo.mestreENhispalinux.es) a las Fri Apr 15th, 2005 at 11:49:28 AM CET
(Información Usuario) http://speedball.servemp3.com

Harán un control de las operaciones raras que se hacen por Internet, y poca cosa más (hasta que se popularice algún sistema de seguridad mejor), ya que los bancos nunca podrán decir que tienen un problema de seguridad porque su negocio depende de la confianza de sus clientes. Si sospechas que tu dinero no esta seguro en tu banco, cambias de banco, y si eso se generaliza, el banco quiebra (¿alguien "recuerda" el crack de 1929?).

De todas formas, los bancos estan tomando medidas, como por ejemplo las contraseñas dinámicas: que si la tarjeta de códigos, que si los llaveros de claves RSA, etc. y entonces como cada vez que entras introduces una clave diferente, estas técnicas de phising dejan de ser efectivas, pero ya se inventaran otras...

Speedball la banda de heavy más chunga
Ven al Helvete Metal Bar

las medidas by JulHer, 2005/04/15 13:58:37 CET (none / 0)
- Lo que en estos momentos se by Ed hunter, 2005/04/15 15:59:09 CET (none / 0)
  - Un poco brasa by man ls, 2005/04/19 01:59:32 CET (none / 0)

CajaMadrid (none / 0) (#6)
por advocatux a las Fri Apr 15th, 2005 at 05:32:48 PM CET
(Información Usuario)

Los de CajaMadrid han puesto una ventana emergente, visible cuando accedes a su servicio de "Oficina Internet" con el siguiente mensaje (por cierto, su sistema de control de acceso de DNI + PIN de cuatro dígitos me parece bastante "pobre"):

Estimado cliente:

Recientemente, han sido detectados e-mails fraudulentos enviados a algunos de nuestros clientes, solicitando sus datos o claves de acceso a Oficina Internet Caja Madrid.

Se trata de un intento de estafa que afecta a muchas de las principales entidades financieras, consistente en enviar masivamente e-mails a clientes de banca on-line, solicitando sus datos y claves para operar con su banco mediante Internet.

En este sentido, queremos manifestarle que nuestra Oficina Internet Caja Madrid constituye un canal SEGURO para realizar todas sus operaciones financieras y que dedicamos importantes inversiones a dotar a nuestros sistemas de los medios punteros en materia de seguridad, con el fin de velar por la confidencialidad e integridad de los datos de nuestros usuarios.

Sin embargo, no es posible garantizar la confidencialidad de sus claves una vez se hallan fuera de este entorno, por lo que es necesaria su ayuda a este respecto. En este sentido, le recordamos unas sencillas normas con objeto de garantizar confidencialidad ante este tipo de fraudes:

* Caja Madrid nunca solicita a sus clientes que revelen sus claves personales y confidenciales mediante telefono, e-mail o fax.

* Exclusivamente se solicitan de una forma segura los datos de acceso en: https://oi.cajamadrid.es

* Introduzca este enlace en "Favoritos" de su navegador, y utilice siempre este camino para acceder a Oficina Internet. No utilice particularmente los enlaces incorporados en e-mails o webs de terceros.

* Nunca introduzca sus claves confidenciales en sistema on-line alguno, a menos de que tenga la total seguridad de que se trata de una web de Caja Madrid.

* Mantenga sus claves en secreto, no las anote en lugares visibles o accesibles para terceros. Debe cambiarlas regularmente y evitar en lo posible acceder y operar desde ordenadores que puedan usar otras personas (como los ciber-bares, las bibliotecas, universidades, etc.).

* En caso de duda, sobre la autenticidad de cualquier e-mail o sitio de Internet que diga estar remitida o ser propiedad del Grupo Caja Madrid, contacte con nosotros en el Centro de Atencion al cliente 902 2 4 6 8 10, para verificar su autenticidad.

Para conocer en profundidad este tema, visite nuestro apartado acerca de Seguridad [*], situado en la pantalla de acceso a Oficina Internet.

Atentamente

[*] En la sección de "Seguridad" dan más información e incluso hablan acerca del phising.
--
- Por una Europa libre de Patentes de Software - EuropeSwPatentFree

Caja Madrid: DNI + Clave sólo para consulta by jorginius, 2005/04/16 04:18:41 CET (none / 0)
- Y mira que es fácil solucionarlo..... by melenas, 2005/04/16 11:06:22 CET (none / 0)
  - Hum, eso me suena... by pnongrata, 2005/04/19 11:29:51 CET (none / 0)

un par de sitios anti-phising (none / 0) (#9)
por JulHer a las Sat Apr 16th, 2005 at 12:41:39 PM CET
(Información Usuario)

Un par de sitios que me encontré por Internet:

antiphising.org
phisreport.net

Un saludo

Y aquí en Libertonia, sin ir más lejos by advocatux, 2005/04/19 23:56:03 CET (none / 0)

La que se nos viene encima | 14 comentarios (14 temáticos, editoriales, 0 ocultos)

Todas las Marcas Registradas y copyrights de esta página son propiedad de sus respectivos dueños.
Los comentarios son propiedad del que los escribe.
Los iconos de las noticias y el logotipo son propiedad de Javier Malonda.
El Resto © 2002 Escomposlinux.org y aledaños.

Puedes sindicar los contenidos de libertonia en formato RSS 1.0 y RDF 0.9. También se puede sindicar la cola de envíos pendientes de moderación.

El proyecto escomposlinux.org está dedicado a la memoria de tas

crear cuenta | faq | búsqueda