Es imparable. Últimamente, he recibido tal cantidad de phishing de todo tipo, que si no escribo sobre ello me va a salir alguna erupción. Es el non-stop phishing, no para, viene de todas partes, de bancos que jamás había visto o de servicios que utilizo habitualmente. Lo hay burdo, sofisticado, imaginativo, personalizado… de todo tipo. A veces te deja pensando, otras veces te preocupas, las más de las veces dices «bah, otro más»… Lo que nuca se puede hacer es ponerte a pensar si será cierto o no. Simplemente, nunca lo son. No vale la pena revisar la dirección de la página, ver si se parece o no de la real, ni nada de eso. Ni un ápice de duda. Siempre son mentira. Así que, como ya voy teniendo unos cuantos, los cuelgo por si sirven de aprendizaje a alguien. Cada uno de ellos lo he recibido en innumerables ocasiones, a veces con leves variaciones en la cabecera, otras veces idénticos. Estos son simplemente algunos que acabo de repescar de la bandeja, he tenido muchos más que seguramente he ido borrando. Y la frecuencia de recepción aumenta cada día…
- Suntrust Bank: tenemos un nuevo servicio muy interesante, ven, entra en el sistema con tus claves y actívalo…
- Mellon Financial Corporation: tenemos esta transacción tuya de un pastón hecha en Amazon y creemos que es fraudulenta… ven y confirmanoslo o te la cobraremos…
- Paypal – ejemplo 1 y ejemplo 2: Uy, uy, uy… alguien está intentando usar tu cuenta, te la vamos a suspender por si acaso a no ser que vengas y nos confirmes que realmente eres tú…
- Washington Mutual: somos del equipo anti-fraude y te hemos limitado el acceso a tu cuenta por si acaso… ven a desbloquearla…
- VISA: para evitar riesgos, hemos creado una password nuev para transacciones online con tu VISA, ven, entra en el sistema y actívala…
- eBay: unos malos malísimos están haciendo cosas feas con tu cuenta, te la hemos suspendido hasta que la confirmes…
- Bank of Oklahoma: alguien está usando tu tarjeta, y tenemos sospechas… porfa, entra y revisa tus últimas transacciones…
- Bank of the West: esto está muy feo, hay mucha inseguridad y muchos ataques, así que tienes que contestar a este mensaje y entrar en nuestro servidor segurísimo antes de 24 horas…
- …
Lo que me hace pensar es el recurso a la ley de grandes números. Salvo en el caso de eBay, Visa y Paypal, yo nunca he tenido cuenta en ninguna de esas entidades financieras. Ni siquiera he vivido en ciudades en las que hubiese sucursales de esos bancos, ni los conocía. Simplemente, se trata de, dada la escasa escalabilidad del coste de enviar e-mails, enviarlos a medio mundo, aunque sabes que un escasísimo porcentaje de los que envíes va a coincidir con que sean clientes del banco que estás usando para hacer el phishing. En realidad, esta gente se puedes mover en porcentajes inferiores al 1% de acierto «en primera ronda», es decir, simplemente que el que recibe el mensaje resulte ser cliente de la entidad. En España, en cambio, esta eficiencia es enormemente superior, dada la menor dispersión tanto de clientes como de entidades financieras. La eficiencia «en segunda ronda» dependerá de lo bien construído que esté el mensaje y, fundamentalmente, de la cultura internáutica de la presunta víctima. Alguien con pocos conocimientos de Internet que recibe un mensaje como estos, en el que le dicen , por ejemplo, que su pago de quinientos dólares a Amazon ha sido ya procesado, es muy posible que entre en «modo pánico» y haga clic donde sea para poder ver los detalles de la transacción, dejando caer por el camino sus logins y contraseñas en los sitios menos indicados. Pero claro, dado el bajo coste de poner en marcha el timo, con que de cada oleada caiga un porcentaje bajísimo, ya has podido generar rendimientos económicos fraudulentos muy importantes. Antes, para hacer la estampita, el toco-mocho o alguno de los timos clásicos, había que trabajárselo bien arriesgarse… ahora, a golpe de ratón y desde tu casita…
En el fondo, todo se evita con el desarrollo de cultura informática. Simplemente, hay cosas que no se pueden hacer. Y cuando los timadores son imaginativos, inventan algo nuevo y alguien cae, tendremos que escribir sobre ello y contarlo, de manera que nos acostumbremos a que, si hay dudas, como mínimo hay que googlear la duda en cuestión y ver si aparece algo. Convertir la «conductividad» de la Red en una ventaja, no un inconveniente.
Y lo que también me hace pensar es en la cantidad de hijos de **** sueltos que pululan por ahí.
Creo que necesito un repaso… ¿el de eBay es malo? ¿Por qué? ¿No te lleva a una dirección dentro del dominio de ebay? ¿Cómo se hacen con tus claves si no se las dices tú, tiran de tus cookies o algo?
Yo estaba prevenido de los más «burdos», como «mándanos tu mail y tu clave» o «introduce tu clave aqui». Pero estos de ebay y demás…
Yo he recibido mensajitos de parte de Cajamadrid y de Cajamar; ni hay que decir que las probabilidades de éxito del fraude con estas entidades es mucho mayor que con la «Mellon Financial». Eso sí, los delincuentes de ahora ya no son como los de antes: no se trabajaron ni siquiera un logo de la entidad en el fake.
También me ha alegrado comprobar que las entidades reaccionan rápidamente: tanto La Caixa como el BBVA, que son las que utilizo habitualmente, se han apresurado a avisar de estos intentos de fraude (en La Caixa es lo primero que se ve al entrar en la cuenta).
Aun así, hay mucho que aprender. Un link muy freak que me encantó, a través de Microsiervos: la «Nigerian Fraud Email Gallery»
http://www.potifos.com/fraud/
La dirección de la página parece perfectamente legítima. La del e-mail también lo parece. Pero no hay cosa más fácil que hacer que en la dirección del e-mail ponga lo que tú quieras (yo para felicitar a un compañero de doctorado que había leído su tesis le mandé un mensaje como Jennifer Lopez en el que le invitaba a cenar :-) Y la dirección de la página, si yo no hubiese pegado el mensaje como gráfico, verías que al hacer click, no es esa la dirección en la que apareces, sino otra (que de hecho aún funciona) con pinta mucho más sospechosa. Y aunque vieses una dirección legítima en la línea de direcciones del navegador, eso también se puede falsificar.
Y ya la prueba del 9: mandas el e-mail a spoof@ebay.com y te responden en seguida que es falso.
El caso de eBay es claramente uno de los que más en serio se toman el tema. Echa un vistazo a su Security Center, es especialmente bueno, tiene hasta tutoriales sobre spoofing y phishing francamente didácticos y bien hechos. Yo los uso a veces en mis clases dedicadas a seguridad.
Te copio y pego la respuesta de eBay, que la tenía guardada:
Hello,
Thank you for writing to eBay regarding the email you received.
Emails such as this, commonly referred to as «spoof» or «phished»
messages, are sent in an attempt to collect sensitive personal or
financial information from the recipients.
The email you reported was not sent by eBay. We have reported this email
to the appropriate authorities.
In the future, be very cautious of any email that asks you to submit
information such as your credit card number or your email password. If
you are ever concerned about an email you receive from eBay, open a new
Web browser, type www.ebay.com into your browser address field, and
click on the «site map» link located at the top the page to access the
eBay page you need.
If you have any doubt about whether an email message is from eBay,
please forward it immediately to spoof@ebay.com. Do not respond to it or click any of the links. Do not remove the original subject line or
change the email in any way when you forward it to us.
If you have already entered sensitive financial information or your
password into a Web site based on a request from a spoofed email, you
should take immediate action to protect your identity and all of your
online accounts. We have developed an eBay Help page with valuable
information regarding the steps you should take to protect yourself.
http://pages.ebay.com/help/tp/isgw-account-theft-reporting.html
To review eBay’s new tutorial about Spoof Emails, please see the
following Web page:
http://pages.ebay.com/education/spooftutorial/
To help you better protect yourself from fake eBay and PayPal Web sites,
we have developed a feature for the eBay Toolbar called «Account Guard.»
Account Guard includes an indicator of when you are on an eBay or PayPal
Web site or a known spoof (or «phishing») site, buttons to report fake eBay Web sites, and a password notification feature that warns you when you may be entering your eBay password on an unverified site.
To learn more about the eBay Toolbar with Account Guard go to
www.ebay.com, click on «Downloads» at the bottom of the page, and then
click on the «eBay Toolbar» link.
Once again, thank you for alerting us to the spoof email you received.
Your efforts help keep eBay a safe and fair place to trade.
Regards,
Ande
eBay SafeHarbor
Investigations Team
Por esto acumulo un par de créditos para el MBA, ¿no?. Muchas gracias por la información!
Siempre el sentido común ayuda, pero cuando se entra en ‘modo pánico’, el sentido común desaparece. Por eso, lo más importante es tener conocimiento de la forma de actuar de los ‘malos’ para evitar problemas.
Un saludo.