Defendiéndose del phishing…

ImagenHoy he recibido uno de tantos mensajes con intentos de phishing, esta vez simulando la identidad de eBay. Algo que, realmente, no llama la atención: eBay y PayPal son víctimas habituales de este tipo de delincuencia, porque permiten, obviamente, generar ganancias rápidas al ladrón. Sin embargo, esta vez el mensaje recibido no me sonaba, era diferente: se trataba de un mensaje enviado utilizando la prestación de correo interno entre usuarios de eBay, y procedente de una persona que me reclamaba el pago del artículo que había ganado en subasta tres días antes. Conmigo tenía más bien escasérrimas posibilidades, pero es que además, tengo la costumbre de invertir un poco de tiempo, cuando recibo este tipo de cosas y son nuevas, de reenviarlos a la empresa correspondiente (y eBay tiene, además, la mejor dotación de recursos anti-fraude que conozco, con páginas dedicadas al tema, tutoriales para los usuarios y una dirección de e-mail específica, spoof@ebay.com, a la que reenviar los mensajes dudosos) y de reportarlos también a Gmail.

Al recibir la atenta contestación de eBay que me confirmaba, por supuesto, la falsedad del correo recibido, me he encontrado un método de seguridad que me ha llamado la atención – aunque seguramente lleve mucho tiempo ahí y yo, simplemente, no me había dado cuenta: cada vez que recibas un correo de eBay o de un usuario de eBay y ello te genere la más mínima duda, debes evitar hacer clic en ninguno de sus vínculos. Eso te llevaría a un lugar falso con apariencia de eBay, que a veces están conseguidos con notable fidelidad. En su lugar de ello, tienes que abrir una ventana del navegador, entrar en eBay y, tras autenticarte con tu usuario y contraseña, dirigirte a un apartado llamado My eBay, en el que encontrarás un apartado denominado My Messages, que contiene una copia de todos los e-mails que hayas recibido desde eBay o desde usuarios de eBay. Así de sencillo: si el e-mail que has recibido no consta en esa lista, ya sabes que es fraudulento.

Me ha parecido una solución sencilla y eficiente a un problema importante. En muchos casos, el phishing ha obligado a algunas empresas especialmente atacadas (bancos, por ejemplo) a directamente renunciar al uso del e-mail como canal de comunicación con sus clientes, algo que me parece dramático de cara a las posibilidades del CRM en dichas empresas. Una solución de este tipo me parece sencillamente brillante. Y es que a veces, las mejores ideas son las ideas simples.

11 comentarios

  • #001
    Loriot - 16 Junio 2006 - 18:13

    ¿Escasérrimas? Habrá que proponerlo a la RAE.

  • #002
    josemaria - 16 Junio 2006 - 18:15

    A mi me gusta particularmente el método que usa OpenBank: no renuncia a los envíos por correo pero jamás manda un enlace en ellos.

    Y por cierto, no te fies tanto de los métodos de seguridad que usan eBay & Paypal. Hace unas horas Netcraft ha distribuido una nota con una vulnerabilidad que permite el Cross Site Scripting de forma que los spammers inyectan código directamente en las páginas de PayPal.

    La nota está aquí:

    http://news.netcraft.com/archives/2006/06/16/paypal_security_flaw_allows_identity_theft.html

  • #003
    Anónimo - 16 Junio 2006 - 18:59

    ¿Y no ha ido la policia corriendo a cerrar 15 de estos sitios de phising?

  • #004
    Gorki - 16 Junio 2006 - 19:09

    Me parece un descubrimiento “ostentoreo” lo de “escasérrimos”. Extraños vericuetos del subconsciente

    Pues si es una pena que entre el SPAN y el phishing nos estemos cargando el e-mail como medio de comunicación difereida rápido y económico.

  • #005
    Jody Dito - 16 Junio 2006 - 23:18

    Pues muchas gracias por ese “truquito” que cuentas con eBay, yo como usuario de eBay te lo agradezco.
    He comprado muchas cosas por ese medio, las veo y las compro en eBay y las pago con PayPal y no he tenido ningún problema, siempre me llegan en un tiempo razonable y nunca me han fallado y ya digo que he comprado desde portatiles vaio hasta navajas Tailandesas.

    Tanto eBay como PayPal trabajan de maravilla y funcionan a la perfección, creo que es por esto por lo que tienen tanto éxito. También a mi me han llegado phising de eBay pero son tan burdos y mal hechos que te das cuenta a la primera.

  • #006
    Andres N. Robalino - 17 Junio 2006 - 02:43

    Opino lo mismo, yo me quejaba justamente de que para cualquier mensaje de que me llegue de ebay se quede guardado en el mismo ebay (my messages) pero realmente es una buena estrategia para detectar correos falsos.

  • #007
    deif - 17 Junio 2006 - 15:38

    —–BEGIN PGP SIGNED MESSAGE—–
    Hash: SHA1

    Lo que no entiendo es por qué no se empieza a extender el uso de certificados y/o de pares de claves públicas/privadas para evitar este tipo de cosas.

    Soy consciente de que GMail (¿y Yahoo!?) sí que hace uso de certificados para autorizar la recepción de correo.

    Por ejemplo, con este texto, cualquiera que confíe en la distribución de mi clave pública puede certificar que lo he escrito yo y que no ha habido cambios, sencillo, ¿no?.

    Más info en http://es.wikipedia.org/wiki/X.509 y http://es.wikipedia.org/wiki/GPG
    —–BEGIN PGP SIGNATURE—–
    Version: GnuPG v1.4.2.1 (GNU/Linux)

    iD8DBQFElBPyIiP5kedx9jARAtGwAKC08XjFrHawN/ELDpIoOc7cKHOy4wCgyuhR
    KjoMXyo2W3X4Qd8dMK7nylg=
    =GJ3Y
    —–END PGP SIGNATURE—–

  • #008
    Candidatura - 18 Junio 2006 - 00:23

    Tengo curiosidad en esa palabra.

    He buscado en Google y aparece en una web en portugués. Quizá se trate de una interferencia.

    ¿Alguien sabe algo?

  • #009
    César Blanco - 18 Junio 2006 - 08:04

    Siguiendo la línea de otro comentario: llevo tiempo intentando extender, en mi entorno más próximo, el uso de GPG para la firma digital y el cifrado del correo electrónico. Sin embargo, por el momento estoy fracasando: ni concienzación ni interés por el tema. NO LO ENTIENDO.
    De todos modos, ¿tan difícil sería a las empresas afectadas por estos intentos de fraude adoptar soluciones del tipo GPG?
    Saludos.

  • #010
    Candidatura - 18 Junio 2006 - 11:31

    César, es comprensible. PGP parece complicado. Si no tienes una buena razón para utilizarlo, la pereza gana.

    Yo en tu situación les invitaría a utilizar hushmail. Quizá les sea más atractivo.

  • #011
    deif - 18 Junio 2006 - 12:18

    Candidatura: ¿complicado?. Entiendo que el uso de línea de comandos aleje a la gente, pero hay multitud de interfaces gráficas para utilizarlo: SeaHorse para Gnome, WinPT para MS Windows, integración nativa para MUA como KMail y Evolution, vía plugin (Enigmail) para Thunderbird, etc.

    Otra cosa es que dé más o menos pereza, como todo en la vida, pero ahí entramos ya en temas de prioridades: ¿cierro la puerta de mi casa con llave, o me ahorro esos segundillos, total, casi seguro que no pase nada?

    Yo en el pasado he tenido problemas porque alguien había mandado un correo electrónico que aparentemente parecía enviado por mí, así que con determinadas personas sólo me comunico firmando con GPG. En Jabber, por ejemplo, todas las conversaciones van cifradas, así que me da exactamente igual los servidores por los que pase…

Dejar un Comentario

Los comentarios están cerrados