Robo por Phishing, tened mucho cuidado

Opinion
IPad pidiendo una clave (DesignersPics.com)
Ejemplo de un email para robar usando phishing (wiki-commons)

Qué es Robo por phishing?

Hace unos días escuche esta noticias «el Bank of Ireland había tenido un robo por phishing usando SMS» y «ING Direct en España robo por phishing usando correos» .

Hacia mucho que no escribía, a ver si vuelvo. Y sobretodo lo uso para relajarme del estrés de la Pandémia, que nos tiene a todos locos. Por cierto sigo en Irlanda y como decimos por aquí: «Please, Keep safe».

En informática tenemos nuestra cruz con las «tretas» para robarnos algo. La verdad es que se habla mucho de hackers. Y la gente profana piensa en un «Freak» sentado en un ordenador con 5 pantallas y escribiendo como si en ello le llevara la vida…Y esto esta muy lejos de la realidad.

Realmente los trucos informáticos para robarte son super sencillos. Uno de ellos es el robo por phishing. Más exactamente la sustracción de identidad por phishing.

El phishing según wikipedia es la técnica para «pescar». fishing es el acto de pescar en ingles y phishing suena igual. Hace referencia al acto de echar el anzuelo o mochuelo para agarrar algo, un «incauto pez» o un «incauto usuario de internet».

Del que voy a hablar hoy es específicamente del phishing bancario.

Método de uso

La verdad es que es fácil de hacer:

1) Consigues una lista de usuarios «validos», si es con nombre y apellidos mejor.  

Hay muchas sitios en la Dark web que venden esos datos a gente que los recopila y los revende, te puedes hacer con cientos o miles de correos electrónicos por poco dinero. Piensa que es algo muy publico y que das a casi todo que haces por internet. Aunque la LOPD / GDPR protege de esto, esta venta de información es muy habitual. 

También puedes hacer barridos de esa información en redes sociales. Manualmente o usando las «apis» de Facebook or twitter.

Para el caso de Bank of Ireland usas los listines de teléfono, en España se llaman paginas blancas.

2) Creas un correo o SMS

Que se parezca mucho a los que suele enviar tu banco, con algo que te ponga en alerta. «Por favor acceda a la pagina web del banco  para gestionar este Recibo bloqueado» , «Su cuenta esta en números rojos» o «Su recibo de tal compañía ‘tal o cual’ esta pendiente de pago» y pones un link a una web que creas tu mismo.

3) Creas el gancho.

Creas una web que es igual o lo mas parecida posible a la web de acceso del banco del robo por Phishing. Incluso la URL se puede parecer visualmente. Aquí el incauto, «mochuelo» o «pescadito» introduce el usuario / password y le devolvemos un error técnico «Tenemos saturación de la red, inténtelo más tarde». Y ya tenemos los datos capturados y al incauto que piensa que no ha hecho nada mal.

4) Perpetrar el robo

El ladrón entra haciéndose pasar por el incauto en la web buena y le roba todo lo que puede.

Ojo esto es igual en la web o en el móvil, incluso en el móvil es más sencillo que estos ataques funcionen.

Como veis la técnica es sencilla, a nivel técnico es saber hacer una web, tener muy mala baba, enviar miles o millones de correos / SMS y esperar a que algunos piquen.

Cómo protegerte del robo por Phishing

Por parte del «Incauto»

Aquí todos somos incautos con lo que tenemos que ser muy precavidos. 

  1. Nunca responder a un correo o SMS enviado por el banco, excepto que el te lo haya enviado alguien que conozcas del banco y sea información pedida por ti.
  2. Los bancos nunca ponen links dentro de los correos o SMS. Nunca usar un link dentro del correo o SMS del banco.
  3. Siempre acceda al banco usando el acceso que siempre has usado, nunca nada que te de otro por otro medio, correo, publicidad…
  4. A ser posible usa la app del banco.
  5. Si algo es raro o no es habitual. Para, piensa, pregunta, llama al banco. Si tienes una minima duda «STOP», no hagas nada. 
  6. Distribuye tu conocimiento del robo por phishing a los mas vulnerables, principalmente nuestros padres o abuelos.

Nunca Usar un link dentro de un correo o SMS del Banco

Por parte de los bancos

La verdad es que los primeros que no quieren que esto pasen son los Bancos, con lo que se obsesionan en crear sistemas mas complejos para evitar que esto pase. Esto a veces hace que acceder a tu cuenta sea mas tedioso y complicado.

Ejemplos que conozco:

  • Obligar al usuario a usar varias claves, una para acceder otras para hacer una transacción, esta es de nivel de eficiencia bajo.
  • Usar una tarjeta de claves, y te pide una coordenada cada vez que haces algo, esta es de nivel de eficiencia medio. Para acceder a tu cuenta necesitan hacerle una foto a esa tarjeta.
  • Usar un generador de tokens automático, una maquinita que genera números «aleatorios», que realmente no lo son. El nivel de seguridad es alto, la única forma de robarte es robarte el token, pero al usuario le hace más tedioso acceder al banco.
  • Incluir ese generador de tokens dentro de la aplicación Android o iOS. Esto lo hace mi actual empresa KBC.ie. No voy a desvelar la parte técnica, pero es como tener una de esos aparatos que generan números dentro de tu aplicación en el móvil. Y la verdad es que combina seguridad con comodidad.

Si tu banco usa estas técnicas, no te quejes. Lo hacen es por tu bien y por el de tu dinero. Puedes quejarte a que creen un sistema que tenga un equilibrio entre la seguridad y la usabilidad.

La imagen es del archivo wiki-commons de Wikipedia y de DesignersPics.com.

Deja un comentario (tu opinión importa).

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.