lunes, 20 de octubre de 2008

Ojo con los mails que te piden datos


El término phishing se generó a partir de la palabra fishing, entendida como pescar datos personales (la transposición de la «f» por «ph» es un juego relativamente común dentro de la jerga cracker). En concreto, abarca un rango de actividades mayor que los conocidos e-mails falsos de los bancos o las falsificaciones de sus sites
Por fortuna, las contramedidas han ido evolucionando a la par que estas técnicas, por lo que unas sencillas precauciones nos permitirán seguir usando los servicios bancarios a través de Internet sin peligro

Phishing por e-mail
La forma más conocida de esta práctica es el correo falsificado y es una de las que permite una protección más obvia. Hay pistas que pueden llamar nuestra atención, como, por ejemplo, no disponer de nuestro nombre completo y dirigirse a nosotros de forma impersonal. Aun así, hay técnicas de mail spoofing (falsificación de dirección de e-mail) que funcionan y hacen creer que el correo proviene de una entidad; por tanto, lo más sencillo es obviar por defecto cualquier e-mail que provenga de ellos, sobre todo si nos insta a llevar a cabo alguna acción con la cuenta.

Lo más sencillo, en consecuencia, es atenerse a las vías de acceso que nos brinda el banco. De ellas, hay que destacar la que permite entrar en sus servicios tecleando la dirección y con la clave que nos proporcionaron. La forma más fácil que tienen los crackers de apoderarse de nuestros datos es lanzando lo que creemos que es la entrada a sus servicios bancarios a través de un enlace.Hay otras modalidades de phishing menos llamativas y peligrosas, pero muy molestas. Si participamos en foros o web sociales, podemos encontrarnos con que el administrador no lo ha protegido adecuadamente de ataques, como, por ejemplo, de una inyección de JavaScript. Esta técnica consiste en que el usuario que ataca incrusta en su firma un pequeño tag HTML con la llamada al código JavaScript malicioso, algo así como: .
Cuando se accede al hilo en el que ha participado el interfecto, la simple descarga en nuestro navegador, llamaría a ScriptMalefico.js y capturaría nuestros datos de usuario del foro, pudiendo suplantarnos en todos los sentidos. Éste es un ejemplo de XSS (Cross Site Scripting), es decir, aprovechar que se puede introducir HTML para hacer una llamada al código malicioso.

Protección de los navegadores
De todas formas, los navegadores más populares ofrecen armas contra el phishing bastante razonables. Internet Explorer incorpora un filtro antiphishing. Para activarlo, pulsamos en el menú Herramientas/Filtro de suplantación de identidad (phishing). Una vez hecho, el filtro distinguirá entre sitios donde hacen phishing y los sospechosos de hacerlo. Se trata de un sistema menos selectivo que NoScript, que se basa en listas negras y lanza una ventana emergente amarilla para avisar. Si la web está registrada como fuente de phishing, impedirá el acceso y lanzará una página de aviso.

Para mayor seguridad, comprobaremos manualmente las páginas, pulsando en Herramientas/Filtro de suplantación de identidad (phishing)/Comprobar este sitio web, y Explorer lanzará su filtro. Si no hay ningún problema, emergerá una ventana avisando de que el sitio no ha sido notificado como fuente de phishing. Si por algún motivo queremos entrar en uno reportado como tal, tendremos que desactivar el filtro.
Firefox funciona de forma semejante, chequeando los sitios a partir de una lista negra que, en este caso, mantiene Google. Puedes hacer una prueba de cómo funciona entrando en un sitio de phishing falso e inofensivo www.mozilla.com/firefox/its-a-trap.html. Cuando lo hagas, verás que la pantalla se ennegrece y Firefox lanza un llamativo aviso. Como en el caso anterior, puedes hacerle caso o no.

Una mala tarde la tiene cualquiera. Un intento de phishing puede ser sofisticado y lograr engañarnos. Si hemos caído, lo más recomendables es ponerse lo antes posible en contacto con los servicios de atención al cliente del banco, así como chequear diariamente los movimientos de nuestra cuenta durante los días posteriores al ataque, incluso, antes de realizar una transacción, verificar el saldo y comprobar las fechas de las últimas operaciones.
Por último, hemos de mantener actualizado el antivirus y vigilar los registros de seguridad de nuestro firewall. Y, si procede, ponte en contacto con la unidad de delitos informáticos de la Guardia Civil


No hay comentarios: