Yo te lo envío .. y si picas qué?? (Phishing) .. y 2

Bueno, pues si, de nuevo no uno si no tres SMS de “cajamadrid”:

Estimado Cliente el acceso a su cuenta ha sido suspendido por motivos de seguridad, para restablecer el acceso visite www.cajamadrdI.com tiene 20 horas.

Mejoras:

  • El Whois ahora está oculto, de manera que ya no se pueden ver los datos reales o ficticios del susodicho propietario de tan sospechoso dominio (Para el que como yo no tenga la vista muy aguda, si cajamadridI acaba en I).
  • La página esta bastante mas elaborada .. ahora incluso un JavaScript simula la introducción de la clave
  • Logotipos, tanto de la “entidad” supuestamente remitente de los SMSs como de “algo” que se supone un sello de calidad, tan pequeño que no se puede adivinar ni quien lo ha concedido ni que estándar es …

Puntos a mejorar:

  • No soy cliente de esa entidad bancaria, con lo cual esta vez ni me he asustado
  • Mira que me parece raro que una entidad bancaria (cualquiera de ellas) envíe 3 SMSs para el mismo tema!! Vamos sería el primer caso en España, y casi que podríamos asegurar en el mundo!!
  • Una entidad bancaria pidiendo usuario y contraseña sin hacerlo por una conexión segura (HTTPS) ?

De nuevo, esto es PHISING, si buscando info en internet me has encontrado, no hagas caso de los SMSs, NO ES LO QUE EN REALIDAD PARECE.

Yo te lo envío .. y si picas qué?? (Phishing)

Yo sinceramente, y como decía el famoso Neng de Castefa, “lo flipo neng”!!

Me acaba de llegar un SMS procedente de “VISA”, que dice textualmente:

Estimado cliente, su tarjeta visa ha sido bloqueada por su seguridad. Para desbloquear su tarjeta visite por favor www.cardvisa.us y complete los pasos tiene 24h

Mensaje que obviamente me ha olido bastante “malamente”. Tanto que me he puesto a buscar por internet (que gran invento junto con Google) y he dado con esta página:

Ojo con la estafa por sms y web de cardvisa.es

Era muy evidente y descarado ya que si vistitas el site al que te refiere el SMS te encuentras con esta “petición”:

"Página güe" de WWW.cardvisa.us

Evidentemente que te pidan todos los datos, así de forma tan descarada, no es nada fiable!! Solo falta que te pida que le digas “quién te gusta”?

Vamos que para el que aún no se haya dado cuenta esto es Phishing en todo regla.

Y la pregunta es, ¿qué tiene esto de especial con la de casos que se dan diariamente, para que lo publique en mi blog?

Pues dos cosas:

  • Lo poco que se lo curran ya .. ni un mal logotipo en la página
  • Lo chapuza que somos los españoles para todo

Mmmm, y esto último ¿por qué?

Fácil, (apunten los posibles nuevo “estafadores ciberneticos”):

  • Existe una herramienta denominada Whois que te dice quién es el propietario del dominio, su mail, su teléfono, su dirección, y que para el que no lo sepa, y con dominios no españoles, estos datos SE PUEDEN OCULTAR habitualmente de manera gratuita!! Compañero, por favor … ¿ no te has dado cuenta de esto?

  • Compañero, ya que te lo has currado enviando SMSs, no dejes comentarios en el código de la página que puedan dar que pensar y dudar:

¿Habrá gente que aún así pique?

Que me hacen phishing!

… No, no, no es nada relacionado con una necesidad fisiológica. Para el que no lo sepa phishing es una técnica utilizada por los “ciberdelincuentes”, mediante la cual se suplanta la identidad corporativa de una entidad bancaria, y abusando de la confianza/desconocimiento/llámalo x, obtienen datos de acceso con los que poder estafar a clientes.

Pues bien, hasta ahora los bancos que eran suplantados no tenían ninguna responsabilidad sobre el delito, y de hecho utilizaban este tipo “uso” (acceso por internet) de sus usuarios para intentar liberarse de cierta responsabilidad (La noticia en una de tantas webs de hoy), pero al parecer este “vacío legal” que existía y que han sabido aprovechar, se les ha acabado.

A patir de ahora si has sufrido este tipo de estafa, TU ENTIDAD BANCARIA deberá “correr” con los gastos provocados. Seguro que a partir de ahora veremos muchas más iniciativas para proteger y securizar este tipo de Banca (electrónica) por parte de todas las entidades.

A veces hay que llegar a estos extremos para proteger al usuario, pues si analizamos la situación ¿quíen es el último responsable de que un cliente facilite sus datos de acceso? Yo entiendo que los bancos no. De lo que si son responsables obviamente es de poner todos los medios necesarios, para que aunque llegasen los datos de acceso a los ciberdelincuentes, estos no fuesen suficientes para acceder … un método sencillo podría ser el envío de una clave dinámica al móvil del usuario (suponiendo claro que el usuario tenga móvil), de manera que aún conociendo las claves “estáticas” de acceso (tipicamente número de identificación, pin y/o tarjetas de coordenadas) estás no fuesen suficientes.

El problema de sistemas de este tipo es que tienen un coste (el envío del sms) que obviamente no es fácilmente repercutible al cliente (al menos no muy justificable, porque luego cada entidad hace lo que le viene en gana), y de esta manera el ahorro en costes que supone no tener que disponer de oficinas físicas se minora por el coste de los sms (potencialmente muchos).