Libertonia || La que se nos viene encima


Portada · Todo · Software Libre · Desarrolladores · Comunidad · Internet · Tecnología · Meta · Diarios

La que se nos viene encima
Por JulHer departamento Golfos apandadores , Sección Diarios Puesto a las Fri Apr 15th, 2005 at 08:40:24 AM CET

Desde hace ya algún tiempo todos recibimos esos correos, en apariencia procedentes de un banco, en que nos intentan engañar para que escribamos nuestros datos de acceso a páginas bancarias. Los que caen en el engaño, se encuentran con que alguien ha "vaciado" sus cuentas.

Esta técnica es conocida con el nombre de Phising y ya lleva bastante tiempo presente en Internet. Hasta ahora, personalmente había recibido unos cuantos correos de este tipo, pero su falsedad era evidente al venir en nombre de bancos con los que no he trabajado nunca.

Sin embargo, hace un par de días, recibí uno del banco con el que trabajo habitualmente, y por curiosidad fuí a ver cómo era la página de engaño, encontrándome con una página perfectamente preparada para engañar a usuarios despistados. Y digo despistados, ya que en la página principal del banco en cuestión hay un aviso que dice que ellos nunca piden datos de claves ni por correo electrónico, ni fax, ni teléfono...

Pero la que se nos viene encima puede ser gorda... leo en Hispasec una noticia en la que se comenta que se está inundando Internet con un tipo de gusanos con muchas variantes, para evitar las firmas de los antivirus y lograr la máxima propagación posible. La función de esos gusanos sería hacerse con los datos de acceso a cuentas bancarias.

Teniendo en cuenta la criptografía de juguete que se usa en los sistemas Windows, la confianza de los usuarios, los miles de sistemas que están en Internet desprotegidos (o protegidos por medios obsoletos), y todos estos gusanos automatizando el proceso de robo de claves... la que se puede liar es de órdago a la grande.

Me imagino que es el sueño de un ladrón... robar a distancia. Si esta visión tan pesimista se acaba cumpliendo ¿cómo creéis que responderán los bancos?

Un saludo

< Movilización contra las patentes de software en Europa el 27-A (3 comments) | Debian en mac mini (I) (32 comments) >

Enlaces Relacionados

· Phising
· Hispasec
· noticia
· More on JulHer's Diary
· Also by JulHer

Encuesta

Votos: 6
Resultados	\|	Otras Encuestas

Menu

· crear cuenta
· FAQ
· búsqueda
· Fuentes de Noticias

Login


Nueva cuenta
Usuario:
Contraseña:

La que se nos viene encima | 14 comentarios (14 temáticos, editoriales, 0 ocultos)

Pues hay que ponerse las pilas (none / 0) (#1)
por jamarier a las Fri Apr 15th, 2005 at 11:18:12 AM CET
(Información Usuario) http://barbacana.net/blog/

Tengo la costumbre de reenviar todos los correos de phising a la entidad suplantada para avisar del fraude. Con la idea de que ellos lo denuncien a la ¿guardia civil? y rastreen el servidor y correos electrónicos.

El resultado es decepcionante. La única entidad que me ha respondido. Lo ha hecho con un correo automatizado para sus clientes. Es decir, yo les escribo diciendo: «no soy cliente vuestro y he recibido este correo que es un intento de estafa. Les reenvío con todas las cabeceras para que tomen la medidas oportunas» y recibo por respuesta: «Comunicado oficial a todos nuestros clientes: se ha detectado un intento de estafa. Nosotros nunca le solicitaremos la clave por correo...» Me da la sensación que tienen una regla en el procmail y lo procesaron sin leerlo.

Respecto a la solución, tenemos el problema del usuario de estos servicios que no es de fiar, así que hay que buscar un sistema que no permita al cliente equivocarse. Se me ocurren ahora dos sistemas; pero tienen fallos así que voy a madurarlas antes de proponerlos.

-----
Opinión expresada por alguien que puede que no sea yo.

La atención al cliente... (none / 0) (#3)
por JulHer a las Fri Apr 15th, 2005 at 01:56:00 PM CET
(Información Usuario)

...por desgracia suele ser penosa, y no sólo en la banca...

Deseando estoy que nos cuentes esas ideas.

Un saludo

[ Padre ]

Mi solución ante el phising. (none / 0) (#12)
por jamarier a las Tue Apr 19th, 2005 at 11:15:40 PM CET
(Información Usuario) http://barbacana.net/blog/

He estado pensando y siempre me encuentro con el mismo escollo: el usuario. Por muchos mensajes que pongas en la página web diciendo que no le des la contraseña a nadie, siempre habrá un listo que te haga dudar y le des la contraseña.

Así que hay que hacer algo a prueba de JulHer^H^H^H^H^H^H idiotas ;-)

Yo creo que la solución está en usar un gestor de contraseñas. Este gestor de contraseñas tiene 2 funciones, almacenar las contraseñas con las web consiguientes que funcionan y segundo tienen un sniffer que va analizando todos los paquetes salientes del equipo. Si en algun momento se envía un texto que coincide con una contraseña y va dirigido a un destino distinto al que esta permitido se detiene (cancela) el envío.

Problemas: cuando la información va cifrada tipo ssh. En el caso de una página siguiendo el protocolo https, debería ser un plugin del navegador el que permitiese comparar dicha información con la bese de datos del «guardián».

Si ya estamos hablando de un terminal ssh abierto especialmente por el usuario. Pues simplemente diremos que es un usuario avanzado y nos olvidamos de él. (realmente el phising se da por correo y con ayuda de la web). En el peor de los casos podriamos crear un sssh que antes de enviar la información por red conecta con este servidor de claves y sniffer.

Respecto a la seguridad de tanto comparar claves, el mecanismo es el mismo que el de las contraseñas del sistema. Estas están cifradas con algoritmos de un solo sentido y se comparan así, por lo tanto no hay peligro de que alguien intercepte una clave en claro.

El único problema que aún no he resuelto es como un usuario configura con la clave y el destino original. Podría ser como el gestor de contraseñas de Firefox que se activa la primera vez que se usa. Aunque no lo tengo muy claro. Se admiten propuestas.

-----
Opinión expresada por alguien que puede que no sea yo.
[ Padre ]

No hace falta complicarse tanto en el https (none / 0) (#14)
por Ed hunter (eduardo.mestreENhispalinux.es) a las Wed Apr 20th, 2005 at 01:13:04 AM CET
(Información Usuario) http://speedball.servemp3.com

El gestor de contraseñas puede simplemente comprobar que el certificado del servidor https es el correcto.

Evidentemente en algún momento hay que establecer una relación de confianza, y aceptar que el servidor es quién dice ser. Normalmente se emplea un organismo certificador, es decir, por ejemplo confiamos en VeriSign, del que tenemos su clave pública obtenida de un medio confiable, el cual nos certifica que aquellos servidores con certificado firmado por ellos son quienes dicen ser.

En el caso de mi propio servidor, esta certificado por él mismo, por lo que realmente nadie puede confiar en él, excepto yo, si reconozco la clave.

Evidentemente, jamás de los jamases deberíamos aceptar meter nada en ningún servidor https del que no tengamos un certificado de confianza. En lo que se debe confiar o no, es cosa de cada cual.

Speedball la banda de heavy más chunga
Ven al Helvete Metal Bar
[ Padre ]

No dirán nunca que tienen un problema (none / 0) (#2)
por Ed hunter (eduardo.mestreENhispalinux.es) a las Fri Apr 15th, 2005 at 11:49:28 AM CET
(Información Usuario) http://speedball.servemp3.com

Harán un control de las operaciones raras que se hacen por Internet, y poca cosa más (hasta que se popularice algún sistema de seguridad mejor), ya que los bancos nunca podrán decir que tienen un problema de seguridad porque su negocio depende de la confianza de sus clientes. Si sospechas que tu dinero no esta seguro en tu banco, cambias de banco, y si eso se generaliza, el banco quiebra (¿alguien "recuerda" el crack de 1929?).

De todas formas, los bancos estan tomando medidas, como por ejemplo las contraseñas dinámicas: que si la tarjeta de códigos, que si los llaveros de claves RSA, etc. y entonces como cada vez que entras introduces una clave diferente, estas técnicas de phising dejan de ser efectivas, pero ya se inventaran otras...

Speedball la banda de heavy más chunga
Ven al Helvete Metal Bar

las medidas (none / 0) (#4)
por JulHer a las Fri Apr 15th, 2005 at 01:58:37 PM CET
(Información Usuario)

Interesante eso que comentas de anillos RSA y tarjetas de códigos. Mi banco no usa esos métodos, por desgracia. ¿Conoces alguna entidad que haga eso y tenga algo de info disponible por Internet?

Un saludo

[ Padre ]

Lo que en estos momentos se (none / 0) (#5)
por Ed hunter (eduardo.mestreENhispalinux.es) a las Fri Apr 15th, 2005 at 03:59:09 PM CET
(Información Usuario) http://speedball.servemp3.com

En mi caso, que es "La Caixa" quién me chupa la sangre, están en estos momentos migrando de pasar a usar el tradicional login + password al algo más seguro sistema de tarjetita tamaño tarjeta de crédito con unos 50 códigos, y en el momento de autentificación o firma, te solicita uno de esos códigos supuestamente al azar. Lamentablemente no me han enviado la tarjeta en cuestión, y mientras no voy a la sucursal a buscarla, sigo empleando el método tradicional de login + password.

En el año 1999 trabajaba para diferentes entidades bancarias implantando sistemas de banca electrónica, y ya entonces se empleaban los métodos de la tarjetita con códigos o incluso los generadores de códigos RSA o similar. Desgraciadamente ahora no recuerdo qué método usaba cada una en particular, y de entonces a ahora posiblemente hayan cambiado.

Prácticamente todos los bancos en su página explican el método utilizado para autentificar, eso si, siempre con un espíritu propagandístico, pero es sencillo ver los puntos fuertes y flacos de cada uno. Por regla general, de peor a mejor: login + password, login + password de entrada + password de autorización, login + password + tabla de códigos para autorización, login + tabla de códigos + password de autorización, login + tabla de códigos + tabla de códigos para autorización, login + RSA + password de autorización, login + RSA + password + RSA de autorización + password de autorización.

Que se requiera además del RSA un password de autorización es porque el RSA te lo pueden robar, y normalmente el usuario es el número de DNI o algo similar, que se puede obtener sencillamente, sobre todo si también te roban la cartera (te atracan y se lo llevan todo), o incluso puede venir serigrafiado en el própio aparato. En cambio las contraseñas las deberías llevar a buen recaudo en el interior de tu cerebro, y hasta que Sony no saque la PlayStation 3 ahí no debería correr peligro ;^)

Speedball la banda de heavy más chunga
Ven al Helvete Metal Bar
[ Padre ]

Un poco brasa (none / 0) (#10)
por man ls a las Tue Apr 19th, 2005 at 01:59:32 AM CET
(Información Usuario)

No, si yo reconozco que es muy seguro tener que meter dos contraseñas; pero resulta pesado. ¿No es mejor usar directamente contraseña + tabla de códigos? Entiendo que hablas desde el punto de vista de la seguridad solamente, pero también habría que tener en cuenta la facilidad de uso.

Además, que acordarse de mil contraseñas, pins, etcétera, resulta imposible. Incluso Bruce Schneier, antaño enemigo de escribir las claves, ahora recomienda llevarlas en la cartera. Así que puede ser contraproducente tener que acordarse de varias contraseñas para el mismo sitio.

[ Padre ]

CajaMadrid (none / 0) (#6)
por advocatux a las Fri Apr 15th, 2005 at 05:32:48 PM CET
(Información Usuario)

Los de CajaMadrid han puesto una ventana emergente, visible cuando accedes a su servicio de "Oficina Internet" con el siguiente mensaje (por cierto, su sistema de control de acceso de DNI + PIN de cuatro dígitos me parece bastante "pobre"):

Estimado cliente:

Recientemente, han sido detectados e-mails fraudulentos enviados a algunos de nuestros clientes, solicitando sus datos o claves de acceso a Oficina Internet Caja Madrid.

Se trata de un intento de estafa que afecta a muchas de las principales entidades financieras, consistente en enviar masivamente e-mails a clientes de banca on-line, solicitando sus datos y claves para operar con su banco mediante Internet.

En este sentido, queremos manifestarle que nuestra Oficina Internet Caja Madrid constituye un canal SEGURO para realizar todas sus operaciones financieras y que dedicamos importantes inversiones a dotar a nuestros sistemas de los medios punteros en materia de seguridad, con el fin de velar por la confidencialidad e integridad de los datos de nuestros usuarios.

Sin embargo, no es posible garantizar la confidencialidad de sus claves una vez se hallan fuera de este entorno, por lo que es necesaria su ayuda a este respecto. En este sentido, le recordamos unas sencillas normas con objeto de garantizar confidencialidad ante este tipo de fraudes:

* Caja Madrid nunca solicita a sus clientes que revelen sus claves personales y confidenciales mediante telefono, e-mail o fax.

* Exclusivamente se solicitan de una forma segura los datos de acceso en: https://oi.cajamadrid.es

* Introduzca este enlace en "Favoritos" de su navegador, y utilice siempre este camino para acceder a Oficina Internet. No utilice particularmente los enlaces incorporados en e-mails o webs de terceros.

* Nunca introduzca sus claves confidenciales en sistema on-line alguno, a menos de que tenga la total seguridad de que se trata de una web de Caja Madrid.

* Mantenga sus claves en secreto, no las anote en lugares visibles o accesibles para terceros. Debe cambiarlas regularmente y evitar en lo posible acceder y operar desde ordenadores que puedan usar otras personas (como los ciber-bares, las bibliotecas, universidades, etc.).

* En caso de duda, sobre la autenticidad de cualquier e-mail o sitio de Internet que diga estar remitida o ser propiedad del Grupo Caja Madrid, contacte con nosotros en el Centro de Atencion al cliente 902 2 4 6 8 10, para verificar su autenticidad.

Para conocer en profundidad este tema, visite nuestro apartado acerca de Seguridad [*], situado en la pantalla de acceso a Oficina Internet.

Atentamente

[*] En la sección de "Seguridad" dan más información e incluso hablan acerca del phising.
--
- Por una Europa libre de Patentes de Software - EuropeSwPatentFree

Caja Madrid: DNI + Clave sólo para consulta (none / 0) (#7)
por jorginius ("jorginius" en Google Mail) a las Sat Apr 16th, 2005 at 04:18:41 AM CET
(Información Usuario) http://www.rodriguezmoreno.com

Los de CajaMadrid han puesto una ventana emergente, visible cuando accedes a su servicio de "Oficina Internet" con el siguiente mensaje (por cierto, su sistema de control de acceso de DNI + PIN de cuatro dígitos me parece bastante "pobre"):

Lo del DNI y la clave es sólo para consultar los saldos. Caja Madrid es "login + password de entrada + password de autorización", según la clasificación de Ed Hunter :-)

En el momento que hay dinero de por medio, intentas hacer una transferencia o recargar el celular por ejemplo, te pide la "firma electrónica de la Oficina Internet": otra contraseña de 5 a 8 dígitos que no se introduce desde un formulario sino desde una pequeña ventanita que simula un teclado numérico, por aquello de los capturadores de teclado, y que sirve de validación.

Esta clave no te la expiden por Internet nunca.

De todas formas, antes de tirarse de los pelos por lo insegura que es la banca por Internet, creo que habría que empezar por preocuparse del fraude en las tarjetas de crédito en el "mundo real". Ahora mismo pagar con tarjeta o sacar dinero es un deporte de alto riesgo aquí, en Madrid.

Un poco de prisa, un cajero con algo extraño o con pinta de estar estropeado y un gancho que saque dinero antes que nosotros, delante de nuestras narices ("ah, pues funciona"), y ya está: clonada la tarjeta y a fundirse nuestra nómina en unos grandes almacenes.

Una variante de la misma estafa es que la cajera te clone la tarjeta. Nosotros pagamos y ella la copia. Casos de mafias que colocan a cajeros/as en grandes almacenes con este próposito hay a punta pala.

En teoría el banco te asegura y, ya que hablamos de Caja Madrid, ellos tienen un programa de "alerta temprana" que consiste en ponerse en contacto contigo cuando detectan movimientos sospechosos. También podemos obligar a que, para comprar con nuestra tarjeta, haya que introducir aquella firma electrónica de validación... Pero, aún con todo esto, conozco a un par de personas a las que les han soplado más de 1000€ con ese sistema. Una de ellas creo que sigue discutiendo con Caja Madrid, a ver si puede recuperar algo.

[ Padre ]

Y mira que es fácil solucionarlo..... (none / 0) (#8)
por melenas a las Sat Apr 16th, 2005 at 11:06:22 AM CET
(Información Usuario)

¿Y sabéis por que no cambian el sistema de banda magnética por otro más seguro basado en chips?

Porque les resulta más barato devolver el dinero a los estafados que cambiar el sistema completo a otro más seguro, tan simple como eso.

FDO. ER_MELENAS No te preguntes sólo que puede hacer el S.L. por ti sino también que puedes hacer tú por él.
[ Padre ]

Hum, eso me suena... (none / 0) (#11)
por pnongrata (libertonia.5.pnongrata@spamgourmet.com) a las Tue Apr 19th, 2005 at 11:29:51 AM CET
(Información Usuario)

"Porque les resulta más barato devolver el dinero a los estafados que cambiar el sistema completo a otro más seguro, tan simple como eso."

Algo parecido se dice en "El club de la lucha", pero referido a los sistemas de seguridad en los coches y las familias de las víctimas de los accidentes... lástima que las consecuencias sean 'ligeramente' más graves.
--
jabber:pnongrata@jabber.sk
[ Padre ]

un par de sitios anti-phising (none / 0) (#9)
por JulHer a las Sat Apr 16th, 2005 at 12:41:39 PM CET
(Información Usuario)

Un par de sitios que me encontré por Internet:

antiphising.org
phisreport.net

Un saludo

Y aquí en Libertonia, sin ir más lejos (none / 0) (#13)
por advocatux a las Tue Apr 19th, 2005 at 11:56:03 PM CET
(Información Usuario)

Me he acordado que allá por julio de 2004 ya apunté que tomáseis buena nota de este "palabro" ;)
--
- Por una Europa libre de Patentes de Software - EuropeSwPatentFree
[ Padre ]

La que se nos viene encima | 14 comentarios (14 temáticos, editoriales, 0 ocultos)

Todas las Marcas Registradas y copyrights de esta página son propiedad de sus respectivos dueños.
Los comentarios son propiedad del que los escribe.
Los iconos de las noticias y el logotipo son propiedad de Javier Malonda.
El Resto © 2002 Escomposlinux.org y aledaños.

Puedes sindicar los contenidos de libertonia en formato RSS 1.0 y RDF 0.9. También se puede sindicar la cola de envíos pendientes de moderación.

El proyecto escomposlinux.org está dedicado a la memoria de tas

crear cuenta | faq | búsqueda