Entréguenos todo su dinero
El phishing y sus métodos de engaño a través de la Ingeniería Social son analizados en este artículo.Este es el nombre de un sitio de Internet que le solicita los datos de su tarjeta de crédito y manifiesta que Ud. efectivamente está de acuerdo en darle todo su dinero.
Aunque parezca gracioso y Ud. seguramente no lo haría (voluntariamente), este sitio pretende ser una sátira (o no) de lo que está sucediendo actualmente en forma masiva: el robo de sus datos personales para realizar acciones delictivas con ellos.
Históricamente, este tipo de engaño era practicado en forma de cadena postal en donde se intentaba convencer a la víctima que podía ganar grandes comisiones si permitía utilizar su cuenta de banco para traspasar dinero desde algún remoto país hacía el exterior. Los primeros intentos fueron recibidos de Nigeria, motivo por el cual se lo bautizó "estafa a la nigeriana".
Con el pasar de los años, el método se perfeccionó y se comenzaron a utilizar las redes informáticas para distribuir los mensajes. Actualmente llega masivamente en los miles de correos electrónicos que tan acostumbrados estamos a recibir (SPAM).
El motivo del correo siempre es el mismo:
Estimado, le escribimos para hacerle un gran favor, Ud. ganará el xx% de $xxx.xxx.xxx.xxx si acepta que utilicemos su cuenta como puente para traspasar este dinero a una cuenta en YYYYYYY.
Quizás esté pensando "yo no me dejaría engañar por algo así", pero que sucedería si el que le escribe es su propio banco comunicándole que debe ingresar a su sitio acostumbrado de e-banking porque han tenido problemas con sus sistemas y Ud. debe reconfirmar sus datos porque de otra manera no podrá volver a ingresar.
Este tipo de mensaje suelen tener la siguiente forma:
Nuestros sistemas han sufrido un problema y Ud. necesita volver a ingresar en http://www.subanco.com para confirmar sus datos. Muchas Gracias.
Si bien puede resultar jocoso, este tipo de carta/fax/mail existen por una sola razón: dan mucho resultado y un gran número de personas han sido totalmente despojadas de sus bienes, e incluso han puesto su vida en peligro por involucrarse con estos delincuentes.
El último tipo de engaño descrito, en donde supuestamente su banco se comunica con Ud. para solicitarle sus datos recibe el nombre de Phishing y su funcionamiento es el siguiente:
1. El Phisher (un nombre más para delincuente) envía millones de correos en forma de SPAM a direcciones también obtenidas por medios fraudulentos.
2. Los mails son enviados con direcciones falsas que simulan direcciones de bancos conocidos.
3. El cuerpo del mensaje generalmente dispone de imágenes y logos del banco real y además posee un texto engañoso en donde por diversos motivos el usuario es invitado a ingresar a su cuenta bancaria siguiendo un enlace.
4. Millones de usuarios reciben el mail. Un usuario cualquiera, cliente del banco lo recibe, confía en el mensaje y hace click en el enlace.
5. El enlace lo lleva a un sitio que ha sido especialmente preparado por el estafador, con una imagen exactamente igual al banco simulado. Además la dirección web es muy parecida a la real.
6. El usuario ingresa sus datos en el formulario que aparece en la página, convencido de que el sitio es el de su banco.
7. El banco simulado almacena los datos del formulario y envía al usuario a su banco real para que no se note el engaño.
8. Con los datos sustraídos el estafador dispone de acceso total a la cuenta del usuario engañado.
9. El usuario no se entera de lo sucedido hasta que su cuenta es vaciada.
Los pasos descriptos pueden variar según el caso pero lo importante es que el objetivo no cambia: siempre el usuario es engañado para ingresar sus datos.
Los métodos se han seguido diversificando, logrando márgenes de ganancias que superan cualquier estimación y permitiendo seguir desarrollando nuevas técnicas de estafas. Como se ve, es un círculo vicioso en donde el usuario sigue quedando atrapado.
Actualmente no se disponen de herramientas eficaces contra este tipo de ataque ya que el mismo utiliza un factor puramente humano y la tecnología sólo es un elemento para lograr el engaño que, como se dijo, ya se practicaba anteriormente en forma postal.
Debido a la falta de herramientas de prevención es sumamente importante leer cuidadosamente los correos electrónicos recibidos, prestar atención a los remitentes y al contenido del mismo.
A continuación exponemos algunas simples verificaciones a realizar que le ayudarán a identificar este tipo de engaño:
• Ante todo, las empresas y bancos jamás le solicitarán sus datos por correo.
• Si recibe un mail de este tipo ignórelo. Jamás lo responda.
• Si duda de su veracidad jamás haga click en un link incluido en el mismo.
• Si aún desea ingresar no haga click en el enlace. Escriba la dirección en la barra de su navegador. El motivo de esto es que es muy fácil mostrar un link pero dirigirlo a otro al hacer click.
• Si hizo click en el link verifique la dirección en la barra de direcciones del navegador. Las direcciones web de los sitios de confianza y reales suelen comenzar con "https://" en donde esa "s" significa "seguro". Los sitios falsos generalmente no disponen de esta última letra.
• En la parte inferior de su navegador verifique la existencia de un candado. Este elemento también indica la seguridad del sitio. Los sitios falsos no suelen tenerlo.
• Si aún duda de su veracidad llame o concurra a su banco y verifique los hechos.
• Denuncie estos casos a División de Delitos Informáticos de la Policía de su país, a su banco o a cualquier entidad de su confianza.
Y por último lo más importante, recuerde que en Internet cualquier persona que posea sus datos personales puede hacerse pasar por Ud.
