Augmenten un 366% els intents d'estafa a clients de bancs en línia
Mercè Molist
http://ww2.grn.es/merce/
En menys de dos anys, una plaga de correus massius s'ha unit a l'«spam» i els virus, guanyant-los en perillositat. S'anomena «phishing» i té en suspens a bancs i comerços
electrònics: consisteix a enganyar als seus clients, enviant-los missatges que els insten a introduir les seves dades financeres en webs fraudulentes. l'estat espanyol és un dels països amb més incidències, segons Verisign.
Robar contrasenyes és el delicte més vell de la xarxa. Va començar com un joc: s'enganyava als incauts als xats, per a aconseguir les dades del seu compte d'accés i entrar gratis a
Internet. Avui l'engany va més enllà i s'utilitza per a robar nombres i contrasenyes de comptes bancaris.
El correu electrònic és el mitjà per a aquestes estafes: s'envia un missatge a milers de persones, procedent suposadament d'un banc, esperant que algunes siguin clients i piquin. Per això, a aquesta pràctica la hi crida «phishing», sortir a pescar. El missatge els demana que vagin a una web i posin allí les seves dades bancàries, enganyant-los amb diverses excuses, com que si no ho fan se'ls anul·larà el compte.
En els seus escassos dos anys de vida, aquest frau ha fet saltar totes les alarmes. L'últim informe bianual de Symantec afirma: «A la fi de desembre de 2004, vam bloquejar una mitjana de 33 milions d'intents de «phishing» per setmana, el que representa un augment del 366% des de juliol. Preveiem que seguirà creixent i serà cada vegada més preocupant».
MessageLabs també ha investigat: «Al setembre de 2003, només 279 dels missatges que escanegem cada dia eren «phishing». Al setembre de 2004, havien pujat fins a dos milions. A diferència dels virus i el correu brossa, el problema del «phishing» és que està personalitzat. Encara que s'enviï massivament, l'objectiu és només una companyia i els seus clients».
Segons la Guàrdia Civil, que ha investigat diversos casos a l'estat espanyol, els criminals solen ser màfies de l'est. Envien els seus missatges usat les mateixes tècniques del correu brossa:
massivament i mitjançant màquines atacades prèviament, des de les quals és difícil seguir-los els passos. Recentment, un d'aquests missatges inundava les bústies espanyoles, simulant venir d'una adreça de @cajamadrid.es.
Deia: «Ens cal confirmar que vostè és el veritable propietari d'aquest compte. Si no confirma les seves dades en 24 hores, ens veurem obligats a bloquejar-la, per a la seva protecció». Un
formulari en Javascript acompanyava el missatge, on calia introduir el DNI, la clau i la signatura del banc. Si la víctima ho feia, les dades s'enviaven a un ordinador personal de Taiwan, assaltat pels delinqüents.
Aquest cas és el més sofisticat que ha vist la Internet espanyola. Normalment, el missatge fraudulent insta a la víctima a visitar un enllaç que sembla pertànyer al banc però, en realitat i mitjançant diverses tècniques d'engany, duu a una web preparada pels estafadors, amb el mateix disseny i logotips.
El BBVA va anar el primer banc espanyol víctima de «phishing». Al maig de 2003, un missatge massiu instava als seus clients a donar-se d'alta en un nou servei, seguint l'enllaç http://w3.grupobbvanet.com, un domini registrat tot just uns dies abans i molt semblant a l'autèntic: https://www.bbvanet.com.
Des de llavors, no han cessat els atacs. Al gener de 2004, un altre missatge demanava als clients del Banc Popular que visitessin un enllaç «per a millorar la seva seguretat». Portava a un lloc fals, però aprofitava una errada del navegador Internet Explorer, que en la seva barra d'adreces seguia mostrant la URL autèntica del banc.
Els clients de Banesto, Banc Pastor, Caja Madrid i BBVA han sofert més d'una vegada aquesta mena d'atacs, on se'ls ofereix un enllaç que sembla bon però duu a una web falsa. Al febrer de 2004, el Banc Popular era víctima d'altra variant: al punxar l'enllaç, s'obrien dues finestres, la de l'entitat i altra, fraudulenta, idèntica a la pàgina d'autenticació del banc però sense mostrar cap URL.
El mes passat, en una parenceria de pesca d'altura, un mateix missatge es dirigia alhora als clients de quatre bancs: BBVA, Banesto, Cajamar i Banc de València, cadascun amb el seu enllaç corresponent, tots suposadament autèntics però que duien a llocs falsos, allotjats en un proveïdor rus.
Segons un estudi de la companyia Verisign, l'estat espanyol és un dels països amb més incidència del «phishing» i el setè en enviament massiu de missatges falsos. El primer són els Estats
Units, on no només s'ataquen entitats bancàries, que són el 80% de víctimes, sinó també llocs de comerç electrònic, com eBay, AOL o Amazon. A Europa, segons la policia britànica, les properes víctimes seran també els comerços.
El govern nord-americà prepara una «Llei Anti-Phishing» que preveu multes de 250.000 dòlars i cinc anys de presó. Mentre, la indústria informàtica i bancària ha unit les seves forces a l'«Anti-Phishing Working Group». Segons el seu últim informe, els atacs als Estats Units creixen a un ritme del 30% mensual i només al gener de 2005 es van detectar 2.560 llocs web fraudulents, amb un terme mitjà de vida de 5,8 dies.
«Amb uns dies ja els val, perquè fan enviaments molt massius i sempre hi ha algú que pica. De vegades la pàgina segueix funcionant un mes o dos perquè, encara que el departament legal del banc afectat avisa al proveïdor, aquest triga en tancar-la. Són webs anònimes, en servidors gratuïts on es demanen poques dades», explica Abraham Pasamar, consultor de seguretat de l'esCERT.
Els bancs acostumen a assabentar-se de seguida de l'atac: «Quan els vam avisar ja ho sabien, perquè els enviaments són tan massius que també els hi arriben», explica el consultor. Robar-los,
diu, no és tan fàcil: «Es recol·lecten noms d'usuari i contrasenyes, però la majoria de bancs demanen codis addicionals per a les transferències, encara que poden fer-se passar pel client legítim i demanar-los».
Pocs ciutadans denuncien ser víctimes d'aquest frau, diu Pasamar, encara que segons les dades de l'esCERT un 5% d'internautes cauen en el parany. Al novembre de l'any passat, la Guàrdia Civil detenia a dues persones a València i Madrid per robar més de 12.000 euros a clients del BBVA. Havien fet petites transferències que acabaven en un banc rus.
La consultora Hispasec va realitzar un estudi, al novembre de 2004, que concloïa que el 44% de webs bancàries espanyoles eren vulnerables als atacs més bàsics de «phishing»: no permetien comprovar, mitjançant la barra d'adreces del navegador, que l'usuari estava en la web autèntica del banc, ni tampoc que introduïa les seves dades en un servidor segur de l'entitat.
Antonio Ropero, autor de l'informe, explica: «Tot just un mes després, un terç dels quals presentaven fallades les havien corregit, evidenciant la seva preocupació pel tema. Encara així, queden 13 entitats que fallen en algun aspecte, tan representatives com Bancaixa, entitats del grup Atlántico, el BSCH, Deutsche Bank o la Caixa».
Segons Ropero, el «phishing» és un bon negoci: «L'enviament massiu de milers de missatges és molt econòmic i, només amb que piqui un usuari i se li buidi el compte, l'atac haurà
estat rendible». Segons el Ponemon Institute, als Estats Units les pèrdues van ascendir l'any passat a 500 milions de dòlars.
«Cal tenir en compte que el «phishing» no es realitza només sobre entitats bancàries. Es pot usar per a crear bases de dades personals», explica. Al gener, va circular un missatge d'aquesta mena, suposadament de l'Institut Nacional d'Estadística, que demanava als internautes anar a una web i deixar diverses dades.
Els criminals refinen cada vegada més els mitjans tècnics per al frau. L'atac més nou, sofert pel Citizens Bank, Visa i Mastercard, és el «cross-site scripting», al que són vulnerables milions de llocs, especialment els dedicats al comerç electrònic.
Aquesta tècnica aprofita fallades als scripts (petits programes usats per a formularis, cerques, etc) de la web legítima, per a injectar codi i obrir un nou marc que sembla estar dins del banc o comerç però, en realitat, és una pàgina fraudulenta. També serveix per a robar galetes als usuaris, on s'emmagatzemen les seves contrasenyes i nombres de compte.
Una altra amenaça són els programes troians, que poden introduir-se a l'ordinador mitjançant missatges o webs infectades, explica Ropero: «Estan especialment desenvolupats per a activar-se quan l'usuari visita determinades webs de bancs, capturant les credencials d'accés i fins i tot les pantalles, per a conèixer l'estat dels comptes corrents i si val la pena atacar-les».
COM EVITAR EL «phishing»
La regla d'or per a no ser víctimes del «phishing» és, segons Abraham Pasamar, «no ficar mai les teves dades en un lloc que no has anat tu a buscar i has teclejat l'adreça». L'esCERT afegeix més recomanacions:
- Sospitar de correus electrònics que fan peticions urgents d'informació sensible.
- Confiar només en correus signats digitalment i el certificat dels quals hagi estat verificat.
- Els missatges usats en atacs de «phishing» no acostumen a estar personalitzats, mentre que els correus enviats per entitats reals sí que ho estan.
- No seguir els enllaços que proporciona un correu electrònic sinó teclejar l'adreça manualment o fins i tot posar-se en contacte telefònicament amb l'entitat.
- No proporcionar informació confidencial mitjançant correu electrònic, fer-lo només en llocs web segurs.
- Quan es donin dades en una web, l'usuari ha d'assegurar-se que està en un lloc segur, verificant que s'utilitza el protocol https en la barra d'adreces o que apareix un cadenat o una clau en el navegador, així com que la informació del certificat és correcta.
- L'usuari ha d'assegurar-se que el navegador i el client de correu electrònic estiguin actualitzats i amb els pegats de seguretat aplicats.
El phishing en alza
http://www.vsantivirus.com/ajl-phishing.htm
Primer intento de "phishing" a un banco español
http://www.hispasec.com/unaaldia/1668
Timo a clientes de Caja Madrid
http://www.vsantivirus.com/scam-cajamadrid-220305.htm
Phishing al INE
http://www.internautas.org/index.php?op=1&id=2602
Un 44% de las páginas web bancarias españolas favorecen el phishing
http://www.hispasec.com/unaaldia/2216
Supermarkets next in line for phishing attacks
http://www.securityfocus.com/news/10684
Online Banking Industry Very Vulnerable to Cross-Site Scripting Frauds
http://news.netcraft.com/.../online_banking_industry...html
Troyano que captura contraseñas de banca online
http://www.hispasec.com/unaaldia/2214
DIY phishing kits found on the internet
http://www.vnunet.com/news/1157488
Anti-Phishing Working Group
http://www.antiphishing.org
esCERT
http://escert.upc.edu
Phishing - Wikipedia
http://en.wikipedia.org/wiki/Phishing
Copyright 2005 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.
|
