Phishing, un ejemplo real y herramientas para combatir esta práctica

Posteado February 18, 2008 a 12:51 pm por Jordi Perez

Hoy he recibido en mi e-mail un ejemplo muy trabajado de Phishing. Por su agudeza y por lo representativo que es, he querido tratar este tema al detalle en Pymecrunch.

El Phishing es una práctica delictiva que pretende obtener los datos privados de un usuario en las webs tipo bancos, Paypal, correo e-mail, etc. El usuario, confiado en que es un mensaje proveniente de un administrador web legítimo, cede su Identificador y Contraseña al estafador, pensando que se trata de una comprobación legítima y/o rutinaria.

Es un tema delicado, puesto que con esos datos, el delincuente puede hacer lo que quiera… por ejemplo:

• Acceder a tu cuenta bancaria y desvalijarla.
• Acceder a tu panel de control en tu compañía telefónica y cargarte a ti sus llamadas.
• Comprar en tu nombre en tiendas online.
• mandar e-mails masivos a un servidor web para colapsarlo (lo que se denominan ataques DDoS, tristemente de actualidad en los últimos días)
• etc.

Hoy he sido víctima potencial de una estafa de este tipo, mediante un e-mail recibido en la carpeta SPAM de mi cuenta Gmail, referente a PayPal. Esta era la apariencia del e-mail:

Como veis, la calidad del e-mail es notable. Parece legítimo. Hay un logotipo, copyright, está correctamente escrito, etc… No obstante, lo que me ha hecho sospechar (sin haber hecho clic en el enlace)

• El emisor del e-mail no es un correo de paypal, aunque lo parezca.
• Me lo han enviado a un e-mail que no se corresponde con el que yo di en mi cuenta de paypal

Si haces clic en el enlace “by clicking here Resolution Center” vas a una pantalla de login y password. No obstante, también “informas” al emisor del SPAM de que la cuenta e-mail es verdadera y está en uso. Por tanto, para evitar esto, lo que hecho ha sido copiar el enlace en una nueva ventana de mi navegador, mediante el botón derecho del mail (copiar la ruta del enlace), así no haces clic directamente en el mail, y nadie puede verificar que el SPAM phishing que te han enviado ha ido a una cuenta verdadera y en uso.

Esta es la pantalla que había en esa ruta del enlace:

Como veis, la web destino del e-mail es de gran calidad. Parece realmente de Paypal.

Si hubiera entrado mi e-mail y mi password, automáticamente hubiera enviado mis datos de identificación a alguien que no es paypal, y, por consiguiente, pueden hacer con ellos y con mi cuenta lo que quieran.

El tema del Phishing es enormemente preocupante para todos los usuarios, pero sobretodo para aquellos más inexpertos que hubieran caído en una trampa como esta o similar. Como habéis visto en este ejemplo, la calidad del phishing objeto de este post es bastante notable.

>>> HERRAMIENTAS PARA EVITAR CAER EN UNA TRAMPA DE PHISHING:

• Estate atento a los emisores de e-mail de este tipo. Verifica la autenticidad del e-mail de referencia en los detalles del e-mail.
• Es raro que un servicio web necesite que le recuerdes tus datos. ¿¿Crees que tu banco necesita que hagas algo para recordarles tus datos?? si ya los tienen, no necesitan enviar mails a sus clientes para recordarselos.
• Ante la duda, no hagas nada de lo que te diga el e-mail. Si realmente es importante que hagas algo para algún servicio web que necesita los datos, ¿¿no crees que ya te llamarán?
• Sobretodo, ten instalada la última versión de tu navegador (la versión actual de Internet Explorer es la 7), puesto que tienen sistemas de detección de este tipo de fraudes. Firefox, por ejemplo, en el momento de que hubiera hecho clic al enlace, me hubiera sacado un mensaje de ADVERTENCIA de sitio web no legítimo. Los exploradores última versión tienen mecanismos habilitados para detectar estos fraudes, y particularmente el de Firefox es muy eficiente.
• Estad atentos siempre.

Publicado en: General, Trucos

Tags: caso real, paypal, phishing, solicitud de datos personales —