• Fecha: Nov 01, 2005
  • Comentarios: no hay comentarios
  • Categorias: Sin categoría

Fuente: B:Secure Autor: Andrés Velázquez, CISSP

Ni Chapulín Colorado ni Batman… si acaso hay un héroe en esta historia es Pepe Grillo, mejor conocido como la conciencia

Desde hace un par de meses, me han realizado la misma pregunta en todas las conferencias que he impartido sobre fraude y delitos informáticos en América Latina: ¿Cómo me protejo del phishing?

Si se analiza un poco cómo ha ido desarrollándose este fenómeno, tenemos que inicialmente era recibido un correo electrónico –muchas veces sin formato de HTML– que mostraba el ya clásico correo donde se solicitaba la actualización de los datos crediticios.

Muchos de los sistemas de filtrado de contenido, al detectar este tipo de fraude, incorporaron el lenguaje usado en estos correos dentro de sus patrones para poder detectarlo, de tal manera que éstos eran detectados y filtrados.

Pero los atacantes, como lo hacen en diferentes tipos de fraudes y violaciones a sistemas, se las ingeniaron para poder integrar todo el texto en una sola imagen, causando que los sistemas de filtrado de contenido bloquearan toda imagen que viniera independiente en un correo electrónico.

Hoy en día el ataque es más preciso: se usa la misma imagen, y al calce se añade un texto obtenido de noticias o de datos reales que son enmascarados en el mismo color del fondo para que no sea perceptible a primera vista, pero que el sistema de filtrado identifica como un correo con una imagen y texto; patrón que no podría filtrar, ya que de hacerlo eliminaría todo el correo de internet.

Esto no significa que no exista tecnología que esté tratando de filtrar estos fraudes por correo electrónico, pero muchas veces tendrán falsos positivos o falsos negativos.

Una vez que el usuario, sin saber de la amenaza que esto representa para sus datos personales, accede a la liga, podría darse cuenta de que está siendo timado si percibe que el url destino es distinto al que aparece en el correo.

Existen muchas formas para engañar a los que han llegado hasta este punto. Una muy utilizada es el uso de un javascript que sobrepone una dirección falsa encima de la dirección real, lo cual ocasiona que parezca que se está accediendo a una dirección válida.

Otra, es que al darle click a la liga incluida en el correo, ésta abra una ventana pequeña donde se solicite dicha información, siendo abierta al mismo tiempo una página del banco como fondo (la cual es real) para que el ahora incauto no dude la procedencia de la página.

Si bien los bancos ya tienen dentro de sus portales para realizar transacciones una leyenda de que no solicitarán de ninguna manera la actualización de datos personales por medio de teléfono o correo electrónico, mucha gente sigue cayendo en el fraude, siendo uno de los que más daños ocasiona por la confidencialidad de los datos y lo que ellos representan.

La forma más interesante de poder combatir esta amenaza sin duda es la concientización, elemento clave para que si por alguna razón toda la tecnología no es suficiente para proteger al usuario o empleado del riesgo, sea él o ella quien detenga el fraude.

Algo que me preocupa es el futuro de este tipo de fraudes es la posibilidad en ciernes de incluir caracteres especiales en las direcciones, a raíz de iniciativas internacionales. Muchos defraudadores podrán hacer uso de las combinaciones de letras ASCII para generar caracteres especiales para poder generar fraudes a grandes instituciones bancarias que contienen dichos caracteres.

Es claro que hasta el momento no existe un Chapulín Colorado Cibernético, pero nosotros podemos proteger nuestra propia “ciudad gótica” donde viven los usuarios, hasta que algún otro súper héroe aparezca.

Quiero dejar una reflexión final: todavía no me explico por qué algunos usuarios reciben un correo electrónico de un banco en el cual no tienen cuenta, pero al recibirlo “actualizan” sus datos… “por si alguien les dejó ese dinerito.”

Compartir:

No Comments Yet.

Deja un comentario

Your email address will not be published.