29 enero 2014

"Phishing": la pesca continúa

Si usted recibió un mensaje de correo electrónico de uno de sus contactos conocidos pidiendo que le envíe dinero a través de una empresa de servicios financieros, no caiga en la trampa, es una alerta falsa.

En los últimos meses, varias personas hicieron conocer que recibieron correos electrónicos con estas características, donde les cuentan una historia en la que señalan que la remitente del mail solicita ayuda de dinero, apelando a la buena fe de sus contactos.

“Espero que esto te llegue a tiempo, hice un viaje a Braford, Reino Unido, y me fue robado el bolso con mi Pasaporte Internacional, Tarjetas de Crédito dentro (…) En esa inoportuna situación he pensado en pedirte un préstamo rápido de fondo que puedo devolverte tan pronto regrese. Realmente necesito estar en el próximo vuelo”, es parte del mensaje que se está enviando masivamente.

De acuerdo a la explicación del analista de aplicaciones web, Hermany Terrazas, esto es una especie de “cuento del tío en virtual”. “Todo indica que, en base a una lista de correos, delincuentes cibernéticos han lanzado un correo masivo con una historia que parece ser creíble, como el cuento del tío. Algunos caen en la trampa, pues cada persona que reenvía o responde al mismo correo puede generar que se duplique su cuenta con otro valor y así continuar la cadena, explica.

Pero no queda ahí, según Terrazas, las personas detrás de esto, realizan posteriormente una investigación en redes sociales para conseguir otros datos esenciales del usuario. “Es como crear correos alternativos, los delincuentes están usando la capacidad de hacer una cuenta cualquiera que se parezca a la tuya”, añade.

En términos informáticos esto se podría explicar como “phishing” o suplantación de identidad. El término phishing proviene de la palabra inglesa "fishing" (pesca), haciendo alusión al intento de hacer que los usuarios "muerdan el anzuelo". A quien lo practica se le llama phisher. También se dice que el término phishing es la contracción de password harvesting fishing (cosecha y pesca de contraseñas).

Estos ataques tienen el objetivo de capturar contraseñas, números de tarjetas y cuentas, o hacer que la víctima realice depósito de dinero. Para eso, los atacantes utilizan lo que es llamado “ingeniería social”, es decir, la capacidad de convencer o inducir a las personas a hacer lo que ellos quieren, siempre con finalidades ilegítimas o criminales.

También en Bolivia

A pesar de que esta “estafa” se ha hecho más frecuente en nuestro medio, desde hace mucho tiempo, varias personas ya fueron afectadas, tal el caso de Claudia (nombre ficticio), que fue víctima del phishing en 2012, bajo la misma historia que circula en estos días, solo cambiando algunos datos.

En su caso, dos de sus contactos respondieron a la falsa solicitud y enviaron dinero, en esa ocasión, a través de Western Union.

“Cuando acudí a esta financiera para pedir que bloquearan cualquier envío de dinero a mi nombre me dijeron que no era posible y cuando el envío se hizo efectivo, tampoco me quisieron decir quién había cobrado, al parecer fue alguien de Gran Bretaña", comenta.

La cuenta de Claudia sigue intacta, pero se perdió información valiosa de la misma.

Sin embargo, otras cuentas de correo electrónico son cerradas. Ese es el caso de Mónica Olmos, comunicadora social, que fue una más de tantas víctimas del phishing que además de perder toda su información, le cerraron el correo electrónico.

"Recibí un correo de una persona conocida, lo abrí, lo leí y lo cerré (se dio cuenta que era una farsa). A la media hora mis amigos empezaron a llamarme pues habían recibido un e-mail de mi cuenta con la misma historia. Abrí mi correo, no tenía mis contactos, ni mis correos recibidos. Salí, quise volver a acceder a la cuenta y no puede entrar más", comenta Olmos.

Marcelo Durán, consultor en TIC, explica que esto se puede dar porque algunos navegadores tienen detector de phishing, o en el caso de Gmail un formulario de abusos o malas prácticas que les permite eliminar spam.

“Hay casos en los que el correo ya venía infectado con algo adicional, por ejemplo, fotos, firma o archivos adjuntos, entonces cuando el usuario accede al mail lo afecta y peor cuando lo reenvía. En ese caso, Gmail determina que es spam y elimina la cuenta”.

"Pensamos que era una máquina, un troyano, pero uno de mis contactos respondió al e-mail y mantuvo contacto con la persona al otro lado, como unos ocho correos de ida y vuelta donde le pedía que deposite dinero en una financiera", explica la comunicadora, quien también perdió su blog por estar anexados al mismo correo. "Una amiga puso un mensaje en Facebook para alertar a las personas que me conocen y a los que les podía llegar el mensaje. El correo tenía mi firma, pero mi número de celular era otro, muchos se dieron cuenta que era una farsa por ese detalle. Supongo que cambian el número para que mis contactos no puedan comunicarse conmigo", dijo.

"Cuando alguna persona responde a alguno de los correos, los atacantes bloquean la cuenta hackeada para suplantar la identidad del contacto y seguir con el engaño de forma más personalizada y respondiendo a la víctima para que haga el pago", explica el boliviano Alvaro Andrade Sejas experto en seguridad informática y derecho informático y CEO en Ethical Hacking Consultores (@aandradex).

El experto comenta que este tipo de fraude fue evolucionando y que es una técnica un poco más avanzada de phishing dirigido, porque ahora se realiza desde botnets (término que hace referencia a un conjunto de robots informáticos o bots, que se ejecutan de manera autónoma y automática) que automatizan el envío de correos a todos los contactos de las cuentas hackeadas.

A parte del beneficio económico que reciben los ciberdelincuentes (con el depósito del dinero), los expertos señalan que la venta de información de correos reales es un buen negocio.

"En otros países, vender bases de datos con correos reales es un buen negocio, porque así se puede enviar publicidad a personas que saben que son reales", explica Luis Sánchez, líder de desarrollo de aplicaciones para Latinoamérica en la empresa Intertek.

"Hoy en día la información es poder. Existen agencias que trabajan con tu información a nivel mundial y han llegado a nivel tan estructurado en el manejo de información personal que pueden influir en tus decisiones a la hora de comprar un producto por Internet o hasta cambiar tu preferencia para votar por un candidato presidencial", explica Andrade.

"El nivel de los ataques se va perfeccionando cada día más, al grado de que ahora la información se ha convertido en el activo principal de las instituciones y organizaciones en el mundo, y quien maneje esta información será quien tenga el mayor poder.

Desde los Gobiernos hackean cuentas de correo hasta cuentas de facebook, twitter y otras redes para tener control de sus adversarios o espiar a la competencia. Lo mismo pasa a nivel de las grandes corporaciones, y lo que ven es estos casos de phishing dirigido solo es la mínima punta del Iceberg", dice.

Víctor Montecinos, consultor en tecnologías de la información del Grupo Adrisa, explica que "el objetivo principal (de estos fraudes) es el rédito económico, pero al mismo tiempo también desestabilizan la confiabilidad en los servidores, en los sitios de Internet, lo cual también genera un daño económico, especialmente para los países que trabajan con muchas transacciones en línea".

Así, si bien en un primer momento el phishing llegaba frecuentemente de una entidad bancaria, ahora se la puede hallar imitando a la perfección a las redes sociales, los sistemas de pago, entidades como Amazon, juegos o los contactos. El objetivo es siempre el mismo, robar la identidad, los datos, sean de acceso a una cuenta bancaria o al perfil en redes sociales, valen mucho dinero en el mercado negro.

Montecinos recomienda que ante cualquier sospecha de un correo, se debe dar un clic derecho y enviar el mismo a "correo no deseado", pues con esta acción ya se está alertando al servidor.

Delito financiero

En términos generales, se considera como un delito financiero, aquel que no es violento y da lugar a una pérdida económica, estos pueden abarcar actividades ilegales, incluidos el fraude, pánico financiero, información privilegiada, etc.

Las características son que muchos de ellos utilizan la tecnología por lo que es difícil rastrearlos, generalmente no son denunciados por las víctimas, la complejidad dificulta la tipificación de las conductas delictivas y constituyen una amenaza a largo plazo a la economía del país.

En Cochabamba, este tipo de delitos no fueron denunciados, según el reporte del coronel Rubén Lobatón, responsable de la División de Delitos Económicos de la Fuerza Especial de Lucha contra el Crimen (Felcc); quien instó a las personas estafadas por este tipo de acciones fraudulentas a presentar la acusación para que se pueda hacer el seguimiento del caso con todas las pruebas que tenga, como copias de los mails y otros datos.

¿QUÉ HACER?

El experto boliviano Álvaro Andrade Sejas, CEO en Ethical Hacking Consultores, recomienda:

1.- Ser más precavido con los contactos, no agregar gente desconocida a las redes sociales, pues se puede estar invitando al ladrón a tomar la cuenta.

2.- No abrir correos de gente desconocida y los correos de las personas conocidas se debe tratar de validar por otros medios, especialmente ante cualquier solicitud de dinero (por teléfono, celular, whatsapp, redes sociales, etc.)

3.- No responder a correos con falsas promesas. No existe el dinero rápido y sin esfuerzo (millonario en 10 días, gana sin trabajar, trabaja desde tu hogar). La mayoría de estos correos son de spammers que están armando sus bases de datos con tu información.

4.- Aprender sobre la privacidad de la información y cómo activarla, tanto en redes sociales como en el correo electrónico.

5.- Escoger contraseñas fuertes. Fecha de nacimiento, carnet de identidad y número de celular no son buenas opciones, tarde o temprano la hackean.

6.- Escoger una pregunta secreta que no esté relacionada a la contraseña y que sea complicada, pero fácil de recordar para uno.



LOS QUE MÁS HOSPEDAN PHISHING Y ASUNTOS EN EL E-MAIL

Investigadores de seguridad cibernética Websense Security Labs analizaron las tendencias actuales del phishing (realizada del 01 enero al 30 de noviembre de 2013) y expusieron sus predicciones para 2014 con el fin de ayudar a las organizaciones a defenderse contra ataques en toda la cadena de amenazas. China, Estados Unidos, Alemania, Reino Unido, Canadá, Rusia, Francia, Hong Kong, Holanda y Brasil, son los diez principales países que hospedan las direcciones URL de phishing.

El estudio, también identificó las cinco principales líneas de asunto en los correos electrónicos de phishing en todo el mundo:

1. Invitación a conectarse en LinkedIn

2. La entrega del mensaje ha fallado: devolver el mensaje al remitente

3. Querido cliente del banco

4. Comunicación importante

5. Mensaje no entregado devuelto al remitente

No hay comentarios:

Publicar un comentario