A LA PESCA Y ESTAFA DE INOCENTES (I)
Viendo los foros de Internet y otras como eBay, observamos que cada vez se producen más apropiaciones indebidas de las claves de acceso a servicios como banca online, tarjetas de crédito, servicios de venta online como eBay y otras. Los estafadores se hacen con estos datos privados mediante el envío de unos mensajes, que aparentemente vienen de nuestro banco, de eBay etc. pero en realidad son copias muy parecidas al que serian los mensajes originales. A continuación explicaré la técnica empleada así como evitar caer en la trampa.
Para ser correcto, a los correos que simulan ser de un lugar siendo de otro y que se utilizan para adquirir contraseñas y otros datos se les denomina «phishings? que es una deformación de “fishing» que, en inglés, significa «pescar? que es lo que hacen: «pescar? contraseñas. Una «vez pescadas? las contraseñas, los estafadores las usan naturalmente en su provecho. Si se han hecho con nuestra cuenta de banca online, el que harán es obvio: transferir todo el saldo a un banco extranjero de dónde lo sacarán en efectivo apenas esté disponible. Si han cogido el acceso a otros servicios, como por ejemplo eBay, entonces la primera cosa que harán es cambiar la contraseña de la victima para impedir el acceso y hacerse con el control de su cuenta. A continuación usarán la cuenta para hacer compras o ventas fraudulentas en el nombre del estafado con el que, encima, el atracado todavía puede verse declarando en el cuartel de los mossos de escuadra acusado de estafa.
El correo phishing no pide el identificador (pseudónimo) y contraseña. Lo que hace es mostrar un enlace que aparenta llevar al destinatario a una página de confianza al pinchar el enlace que parece correcto, cuando en realidad, el que hace es llevárselo a otro lugar la dirección del cual está escondida en el interior del mensaje, y que es una copia exacta del lugar original. Así, en nuestro caso nos trae a una copia perfecta de una página del servicio (nuestro banco, eBay, etc.) de las que la víctima tine que introducir su identificador y contraseña, cosa que haces puesto que se piensa de buena fe que esta página es la real y es lo que suele hacer cada vez que se conecta.
Hasta ahora un se podía dar cuenta que no estaba realmente en la página correcta fijándose a la URL que aparecía en la barra de direcciones que no era la clásica del servicio sino una diferente y muy habitualmente en forma de dirección numérica IP. Ahora los «pescadores? han mejorado sus técnicas y utilizan un software mucho más elaborado en javascript que abre una ventana idéntica a la de la barra de direcciones y, aprovechando una vulnerabilidad del Microsoft Explorer, se coloca encima tapando la barra original y la dirección falsa. Naturalmente en esta ventanilla simulada sí que aparece la dirección correcta para perfeccionar el engaño.
El problema es que es muy difícil, casi imposible, saber cuando has entrado en una de estas páginas puesto que uno se cree que está en la página buena y se trata de una página perfectamente falsificada. Hace falta recordar que en algunos casos, el simple hecho de recibir un mensaje vía Outlook, ya te puede llevar automáticamente a la página falsa. Y no sólo está sucediendo con eBay o PayPal, se están dando delitos de phishing con otras entidades como bancos, cuentas de correo, etc. La semana próxima aprenderemos cóno evitar esta estafa.
http://iblnews.com/noticias/05/128964.html
Publicado en O.C. el 3 de Junio de 2005.