Phishing: Pescando información de cuentahabientes bancarios en Internet
Autor/-a: Juan Pablo Torres Herrera
Artículo original
En el mar la vida es más sabrosa
Los pescadores alistan sus artes de pesca: cañas, carretes, anzuelos y carnada; lanzan sus cañas en los bancos de peces, las dejan ancladas en la arena mientras escuchan música o conversan con los amigos, esperando que piquen peces gordos.
Escenario
Zona de pesca: Internet
Bancos de peces: Buzones de correo electrónico
Pescadores: Piratas informáticos.
Carnadas: Mensajes de correo electrónico falsos
Anzuelo: Portal WEB bancario sobrepuesto
Cañas de pesca: Software Malicioso
Carretes: Listas de correos electrónicos de personas.
Pescados: Cuentahabientes bancarios que revelan su NIP
El Internet se ha convertido en una zona de pesca muy atractiva para los delincuentes, y una práctica recurrente es hacerse pasar por instituciones bancarias, enviando señuelos vía correo electrónico (email) solicitando actualización o confirmación de datos, aunque lo que más interesa es el número de identificación personal de las tarjetas.
Los buzones de correo electrónico más susceptibles de recibir mensajes son los de dominio público, tales como yahoo y hotmail, además de listas de servidores de correo de instituciones públicas, privadas y gubernamentales, entre más grande sean los bancos de peces es mayor la probabilidad de obtener pesca.
Los piratas informáticos o hackers son especialmente hábiles programadores y escurridizos, suelen secuestrar las computadoras de incautos sin que estos se den cuenta, mediante software malicioso llamado Malware, el cual también se duplica a si mismo y se propaga como un virus. Es el Malware quien automáticamente y de manera periódica envía miles de emails a diversos destinos, es esto, el Phising.
Los delincuentes potenciales se aprovechan de la ignorancia y falta de experiencia de algunos usuarios de computadoras, quienes confían en los mensajes que leen en su buzón de correo o Email Inbox y siguen las instrucciones falsas de un aparente departamento de atención a clientes bancario.
La posibilidad de que la persona caiga en la trampa del phising es muy bajo dado que se deben de combinar varios factores:
Desconocimiento de este tipo de delito y de la forma de operar de los bancos.
La persona tiene una cuenta bancaria en el banco de donde supuestamente le han contactado.
La cuenta de correo es la que tiene registrada en dicho banco.
Los delincuentes no obtienen los datos de los bancos, si así fuera, seguramente obtendrían de una buena vez el NIP sin tener que lanzar anzuelos, lo que si es posible, es que obtengan las listas de correo electrónico de empleados, dado que suelen ser accesibles de forma pública, por ejemplo: en el portal WEB de las empresas.
La parte más crítica del phising ocurre cuando se ha dado click al enlace que lleva al portal WEB falso, o sobrepuesto, este presenta las siguientes características:
La dirección WEB intenta asemejarse a la oficial, cambiando algunas letras o terminaciones.
Luce idéntico en apariencia que el portal orginal, incluyendo los formularios de captura de datos.
Cuando se da click al botón de enviar en el formulario, los datos se envian a una computadora bajo el control del hacker.
Finalmente se direcciona el navegador WEB al sitio oficial del banco para no levantar sospechas.
Las listas de correo de personas son altamente cotizadas no solo para estos actos delictivos, estas tienen el siguiente ciclo de vida:
- Nace a partir de:
a) Generación aleatoria de una combinación de palabras de diccionario y terminaciones de dominios WEB conocidos. Por ejemplo, una lista puede contener:
ana.perez@hotmail.com
ana.perez@yahoo.com
ana.perez@gmail.com
ana.perez@empresaX.com.mx
ana_perez@hotmail.com
ana_perez@yahoo.com
ana_perez@gmail.com
ana_perez@empresaX.com.mx
b) Listas de contactos de correo que se obtienen de los mensajes que son retransmitidos (“cadenitas”)
c) Catalogos de usuarios de servidores de correos de empresas
- Se desarrolla:
a) Se fusionan con otras listas de correo.
b) Se especializan dividiendose o clasficandose por áreas de interes o población objetivo.
c) Se agregan otros datos vinculados con el propietario del correo.
- Se debilita:
a) Los usuarios abandonan las cuentas de correo, las cancelan o se saturan de espacio a tal grado de que los mensajes se devuelven (rebotan).
b) Los servidores de correo cierran o cambian de nombre.
- Muere:
a) Puede convertirse en expedientes electrónicos o bancos de datos.
b) Pasado algún tiempo pierde su vigencia al garantizar poco probabilidad de contacto con los destinatarios.
Para contrarrestar este fenómeno, existen diversos mecanismos dentro de los que destacan los programas antivirus, antispam de correo electrónico, acciones de difusión realizadas por los bancos, entre otros Los antivirus eliminan el software malicioso, pero hay que considerar que no siempre el mensaje es enviado automáticamente por un Malware, también se pueden enviar manualmente como cuando se envía un mensaje de la forma normal, siendo capturado por una persona. El bloqueo de los mensajes se logra mediante técnicas de análisis de contenido usadas por los programas antispam, no siempre se logra detenerlos y ocasionalmente filtra emails deseados. Se recomienda emplear una cuenta de correo exclusiva para el banco, y que sea difícil de adivinar, con esto se reduce el riesgo de que esta sea conocida por otras personas.
La amenaza del phising no debe de ser un freno para el uso de Internet en la población económicamente activa, cada vez se usan más las tarjetas de débito y crédito en la población, en conjunto con los servicios bancarios en línea, y definitivamente, donde se maneje dinero siempre habrá quien intente pescar algo de algún u otro modo.
Los artículos publicados en la sección Divulgación OCS son una contribución colaborativa voluntaria al Observatorio para la CiberSociedad. La responsabilidad de las afirmaciones, opiniones y contenidos expuestos en esta sección, así como todo su mérito, recae, en este caso, en Juan Pablo Torres Herrera. El Observatorio para la CiberSociedad permite la reproducción de estos contenidos siempre y cuando se cite correctamente la fuente de procedencia y el autor/-a haya sido informado de ello y lo haya aceptado previamente y de modo expreso.
(c) Juan Pablo Torres Herrera, 22/06/2007
