un moderno instrumento de fraude cibernético
**Los avances que en materia de seguridad en Internet nos brindan las empresas desarrolladoras de software antivirus, antispams y antispys; han obligado a la creciente sarta de estafadores de la red de redes, a intelegir nuevas y más eficientes técnicas de estafa vía Internet, desde el anonimato de una conexión indetectable para un usuario común.
Gracias a las nuevas tecnologías “anti-bichos” y a una mejor cultura de auto-protección que los usuarios de la gran red hacen de sus equipos, los ataques a nuestras máquinas con fines de estafa son cada vez más difíciles para los defraudadores del ciberespacio; por lo que estos vívales de la red han diseñado una moderna y eficiente herramienta de fraude cibernético basada en el término informático “Ingeniería Social” siendo una de sus ramas más importantes el *PHISHING. Este nuevo método de fraude tiene como característica principal el engaño del usuario al presentarle en pantalla una página falsa de un sitio de confianza como su banco, casa de bolsa o cualquier tipo de institución financiera, con el fin de obtener datos valiosos como contraseñas y claves de acceso a sus cuentas y números con códigos de seguridad de tarjetas bancarias. El fraude puede comenzar de diferentes maneras y consta de varias etapas para la concreción del mismo; siendo la última etapa la que en realidad conlleva el riesgo de fraude para el usuario, o el éxito para el atacante. De acuerdo a las estadísticas el usuario puede recibir por correo electrónico un mail supuestamente de la institución que el “PHISHER” (QUE POR CIERTO NO SIEMPRE SON TAN LISTOS) ha elegido para realizar sus fechorías, donde se le indica p.ej. -con un lenguaje técnico impecable y un gran dominio del tema- que su cuenta ha sufrido algún intento de ataque desde la red, por lo que por motivos de seguridad, deberá cambiar los datos de acceso (nombre de usuario y contraseña) de la misma, para con esto garantizar su seguridad financiera. Acto seguido, se le solicita hacer clic en una liga especifica que contiene –por supuesto- el nombre de la institución financiera en la que usted confía.
(Clicke AQUI y podrá ver a detalle un ejemplo de Phishing, elaborado contra usuarios de Santander-Serfin)
Aquí es donde empieza la segunda etapa del fraude y donde podemos empezar a preocuparnos. Al hacer click en esta liga nos reenvían a un supuesto servidor de la institución referida y el usuario puede ver una página IDENTICA a la que está acostumbrado a manejar, no se escapa ningún detalle, todos los textos botones y links que usualmente están distribuidos de cierta manera en la página están exactamente donde mismo, los colores lógos y fuentes son idénticas y usualmente incluye una amenaza o advertencia “Si la información de su cuenta no se actualiza en el curso de las siguientes XX horas, su cuenta podrá ser restringida o cancelada , hasta que no se corroboren los datos del cuentahabiente”; El usuario engañado y preocupado por evitar que su cuenta sea bolqueda o cancelada, rellena el formulario a petición de “su banco” y entra en la fase del “no retorno”; la más peligrosa: da click... en ese instante, la información es enviada directamente a los atacantes, quienes montan guardias permanentes en sus equipos para actuar inmediatamente –ese es su negocio- ya sea haciendo transferencias bancarias a cuentas en el extranjero, o bien utilizando sus números de tarjetas bancarias para realizar compras vía Internet en lugares con pocas restricciones. ¿Pero como saben los atacantes que usted utiliza precisamente ese servicio financiero? La respuesta es el uso que los estafadores hacen de la información que empresas especializadas de marketing realizan periódicamente y venden libremente, ahí se reflejan datos de los hábitos de consumo de los usuarios de la gran red, cuáles instituciones financieras son utilizadas para las transacciones y en que sitios Web se consume más. Con esta información, los estafadores interceptan la información de esos sitios y si bien es cierto que no podrán detectar sus números confidenciales, también lo es que les basta con saber con que institución financiera realizó usted su compra y su correo electrónico; teniendo a la mano estos datos lo demás es fácil.
Pero, ¿como podemos protegernos del PHISHING?, La clave está en no responder jamás una petición no solicitada. Usualmente las instituciones financieras hacen llamadas telefónicas a sus clientes para informarles de posibles problemas con su cuenta, además de enviarle vía correo postal avisos al respecto. Si usted no solicitó el contacto con su banco, entonces está en riesgo de un ataque PHISHING. Entre en contacto con su institución financiera llamando a los teléfonos impresos en sus tarjetas y estados de cuenta, JAMÁS A LOS TELÉFONOS QUE APARECEN EN LA PÁGINA APÓCRIFA solicité indicaciones a su ejecutivo de cuenta y sígalas al pié de la letra.
Sin duda los procesos cibernéticos para detectar fraudes electrónicos por Internet son cada vez más eficaces; sin embargo, las nuevas herramientas de ataque fraudulento tienen un ingrediente poderosísimo que está lejos del alcance de la eficiente y autómata lógica informática: la voluntad de los usuarios. Mientras no nos informemos y compartamos la información, nos actualicemos e interesemos en estos temas tan importantes para nuestra seguridad económica, estaremos a expensas de sufrir ataques cada vez peores de la “Ingeniería Social”.
Gracias a las nuevas tecnologías “anti-bichos” y a una mejor cultura de auto-protección que los usuarios de la gran red hacen de sus equipos, los ataques a nuestras máquinas con fines de estafa son cada vez más difíciles para los defraudadores del ciberespacio; por lo que estos vívales de la red han diseñado una moderna y eficiente herramienta de fraude cibernético basada en el término informático “Ingeniería Social” siendo una de sus ramas más importantes el *PHISHING. Este nuevo método de fraude tiene como característica principal el engaño del usuario al presentarle en pantalla una página falsa de un sitio de confianza como su banco, casa de bolsa o cualquier tipo de institución financiera, con el fin de obtener datos valiosos como contraseñas y claves de acceso a sus cuentas y números con códigos de seguridad de tarjetas bancarias. El fraude puede comenzar de diferentes maneras y consta de varias etapas para la concreción del mismo; siendo la última etapa la que en realidad conlleva el riesgo de fraude para el usuario, o el éxito para el atacante. De acuerdo a las estadísticas el usuario puede recibir por correo electrónico un mail supuestamente de la institución que el “PHISHER” (QUE POR CIERTO NO SIEMPRE SON TAN LISTOS) ha elegido para realizar sus fechorías, donde se le indica p.ej. -con un lenguaje técnico impecable y un gran dominio del tema- que su cuenta ha sufrido algún intento de ataque desde la red, por lo que por motivos de seguridad, deberá cambiar los datos de acceso (nombre de usuario y contraseña) de la misma, para con esto garantizar su seguridad financiera. Acto seguido, se le solicita hacer clic en una liga especifica que contiene –por supuesto- el nombre de la institución financiera en la que usted confía.
(Clicke AQUI y podrá ver a detalle un ejemplo de Phishing, elaborado contra usuarios de Santander-Serfin)
Aquí es donde empieza la segunda etapa del fraude y donde podemos empezar a preocuparnos. Al hacer click en esta liga nos reenvían a un supuesto servidor de la institución referida y el usuario puede ver una página IDENTICA a la que está acostumbrado a manejar, no se escapa ningún detalle, todos los textos botones y links que usualmente están distribuidos de cierta manera en la página están exactamente donde mismo, los colores lógos y fuentes son idénticas y usualmente incluye una amenaza o advertencia “Si la información de su cuenta no se actualiza en el curso de las siguientes XX horas, su cuenta podrá ser restringida o cancelada , hasta que no se corroboren los datos del cuentahabiente”; El usuario engañado y preocupado por evitar que su cuenta sea bolqueda o cancelada, rellena el formulario a petición de “su banco” y entra en la fase del “no retorno”; la más peligrosa: da click... en ese instante, la información es enviada directamente a los atacantes, quienes montan guardias permanentes en sus equipos para actuar inmediatamente –ese es su negocio- ya sea haciendo transferencias bancarias a cuentas en el extranjero, o bien utilizando sus números de tarjetas bancarias para realizar compras vía Internet en lugares con pocas restricciones. ¿Pero como saben los atacantes que usted utiliza precisamente ese servicio financiero? La respuesta es el uso que los estafadores hacen de la información que empresas especializadas de marketing realizan periódicamente y venden libremente, ahí se reflejan datos de los hábitos de consumo de los usuarios de la gran red, cuáles instituciones financieras son utilizadas para las transacciones y en que sitios Web se consume más. Con esta información, los estafadores interceptan la información de esos sitios y si bien es cierto que no podrán detectar sus números confidenciales, también lo es que les basta con saber con que institución financiera realizó usted su compra y su correo electrónico; teniendo a la mano estos datos lo demás es fácil.
Pero, ¿como podemos protegernos del PHISHING?, La clave está en no responder jamás una petición no solicitada. Usualmente las instituciones financieras hacen llamadas telefónicas a sus clientes para informarles de posibles problemas con su cuenta, además de enviarle vía correo postal avisos al respecto. Si usted no solicitó el contacto con su banco, entonces está en riesgo de un ataque PHISHING. Entre en contacto con su institución financiera llamando a los teléfonos impresos en sus tarjetas y estados de cuenta, JAMÁS A LOS TELÉFONOS QUE APARECEN EN LA PÁGINA APÓCRIFA solicité indicaciones a su ejecutivo de cuenta y sígalas al pié de la letra.
Sin duda los procesos cibernéticos para detectar fraudes electrónicos por Internet son cada vez más eficaces; sin embargo, las nuevas herramientas de ataque fraudulento tienen un ingrediente poderosísimo que está lejos del alcance de la eficiente y autómata lógica informática: la voluntad de los usuarios. Mientras no nos informemos y compartamos la información, nos actualicemos e interesemos en estos temas tan importantes para nuestra seguridad económica, estaremos a expensas de sufrir ataques cada vez peores de la “Ingeniería Social”.
*PHISHING;
WIKIPEDIA
El término phishing viene de la palabra en inglés "fishing" (pesca) haciendo alusión al acto de pescar usuarios mediante señuelos cada vez más sofisticados y de este modo obtener información financiera y contraseñas. Quien lo practica es conocido con el nombre de phisher. También se dice que el término "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo.
WIKIPEDIA
El término phishing viene de la palabra en inglés "fishing" (pesca) haciendo alusión al acto de pescar usuarios mediante señuelos cada vez más sofisticados y de este modo obtener información financiera y contraseñas. Quien lo practica es conocido con el nombre de phisher. También se dice que el término "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo.
**Artículo publicado el 5 de agosto en el periódico Ecos de la Costa
Ahi'la
