Aumentan un 366% los intentos de estafa a clientes de bancos en línea

18:13 24/03/2005

AUMENTAN UN 366% LOS INTENTOS DE ESTAFA A CLIENTES DE BANCOS EN LÍNEA

Caja Madrid, BBVA, Banesto y Banco Popular, entre las entidades más afectadas por el "phishing"

Mercè Molist
En menos de dos años, una plaga de correos masivos se ha unido al "spam" y los virus, ganándoles en peligrosidad. Se llama "phishing" y tiene en ascuas a bancos y comercios electrónicos: consiste en engañar a sus clientes, enviándoles mensajes que les instan a introducir sus datos financieros en webs fraudulentas. España es uno de los países con más incidencias, según Verisign.

Robar contraseñas es el delito más viejo de la red. Empezó como un juego: se engañaba a los incautos en los chats, para conseguir los datos de su cuenta de acceso y entrar gratis a Internet. Hoy el engaño va más allá y se usa para robar números y contraseñas de cuentas bancarias.

El correo electrónico es el medio para estas estafas: se envía un mensaje a miles de personas, procedente supuestamente de un banco, esperando que algunas sean clientes y piquen. Por eso, a esta práctica se la llama "phishing", salir de pesca. El mensaje les pide que vayan a una web y pongan allí sus datos bancarios, engañándoles con diversas excusas, como que si no lo hacen se les anulará la cuenta

En sus escasos dos años de vida, este fraude ha hecho saltar todas las alarmas. El último informe bianual de Symantec afirma: "A finales de diciembre de 2004, bloqueamos una media de 33 millones de intentos de "phishing" por semana, lo que representa un aumento del 366% desde julio. Preveemos que seguirá creciendo y será cada vez más preocupante".

MessageLabs también ha investigado: "En septiembre de 2003, sólo 279 de los mensajes que escaneamos cada día eran "phishing". En septiembre de 2004, habían subido hasta dos millones. A diferencia de los virus y el correo basura, el problema del "phishing" es que está personalizado. Aunque se envíe masivamente, el objetivo es sólo una compañía y sus clientes".

Según la Guardia Civil, que ha investigado diversos casos en España, los criminales suelen ser mafias del este. Envían sus mensajes usado las mismas técnicas del correo basura: masivamente y mediante máquinas atacadas previamente, desde las que es difícil seguirles los pasos. Recientemente, uno de estos mensajes inundaba los buzones españoles, simulando venir de una dirección @cajamadrid.es.

Decía: "Necesitamos confirmar que Ud. es el verdadero dueño de esta cuenta. Si no confirma sus datos en 24 horas, nos veremos obligados a bloquearla, para su protección". Un formulario en Javascript acompañaba el mensaje, donde debían introducirse el DNI, la clave y la firma del banco. Si la víctima lo hacía, los datos se enviaban a un ordenador personal de Taiwan, asaltado por los delincuentes.

Este caso es el más sofisticado que ha visto la Internet española. Normalmente, el mensaje fraudulento insta a la víctima a visitar un enlace que parece pertenecer al banco pero, en realidad y mediante diversas técnicas de engaño, lleva a una web preparada por los estafadores, con el mismo diseño y logos.

El BBVA fue el primer banco español víctima de "phishing". En mayo de 2003, un mensaje masivo instaba a sus clientes a darse de alta en un nuevo servicio, siguiendo el enlace http://w3.grupobbvanet.com, un dominio registrado apenas unos días antes y muy parecido al auténtico: https://www.bbvanet.com.

Desde entonces, no han cesado los ataques. En enero de 2004, otro mensaje pedía a los clientes del Banco Popular que visitasen un enlace "para mejorar su seguridad". Llevaba a un sitio falso, pero aprovechaba un fallo del navegador Internet Explorer, que en su barra de direcciones seguía mostrando la URL auténtica del banco.

Los clientes de Banesto, Banco Pastor, Caja Madrid y BBVA han sufrido más de una vez este tipo de ataques, donde se les ofrece un enlace que parece bueno pero lleva a una web falsa. En febrero de 2004, el Banco Popular era víctima de otra variante: al pinchar el enlace, se abrían dos ventanas, la de la entidad y otra, fraudulenta, idéntica a la página de autenticación del banco pero sin mostrar ninguna URL.

El mes pasado, en un alarde de pesca de altura, un mismo mensaje se dirigía a la vez a los clientes de cuatro bancos: BBVA, Banesto, Cajamar y Banco de Valencia, cada uno con su enlace correspondiente, todos supuestamente auténticos pero que llevaban a sitios falsos, alojados en un proveedor ruso.

Según un estudio de la compañía Verisign, España es uno de los países con más incidencia de "phishing" y el séptimo en envío masivo de mensajes falsos. El primero es Estados Unidos, donde no sólo se atacan entidades bancarias, que son el 80% de víctimas, sinó también sitios de comercio electrónico, como eBay, AOL o Amazon. En Europa, según la policía británica, las próximas víctimas serán también los comercios.

El gobierno norteamericano prepara una "Ley Anti-Phishing" que prevee multas de 250.000 dólares y cinco años de prisión. Mientras, la industria informática y bancaria ha unido sus fuerzas en el "Anti-Phishing Working Group". Según su último informe, los ataques en EEUU crecen a un ritmo del 30% mensual y sólo en enero de 2005 se detectaron 2.560 sitios web fraudulentos, con un promedio de vida de 5,8 días.

"Con unos días ya les vale, porque hacen envíos muy masivos y siempre hay alguien que pica. A veces la página sigue funcionando un mes o dos porque, aunque el departamento legal del banco afectado avisa al proveedor, éste tarda en cerrarla. Son webs anónimas, en servidores gratuitos donde se piden pocos datos", explica Abraham Pasamar, consultor de seguridad del esCERT.

Los bancos suelen enterarse en seguida del ataque: "Cuando les avisamos ya lo saben, porque los envíos son tan masivos que también les llegan", explica el consultor. Robarles, dice, no es tan fácil: "Se recolectan nombres de usuario y contraseñas, pero la mayoría de bancos piden códigos adicionales para las transferencias, aunque pueden hacerse pasar por el cliente legítimo y pedirlos".

Pocos ciudadanos denuncian ser víctimas de este fraude, dice Pasamar, aunque según los datos del esCERT un 5% de internautas caen en la trampa. En noviembre del año pasado, la Guardia Civil detenía a dos personas en Valencia y Madrid por robar más de 12.000 euros a clientes del BBVA. Habían hecho pequeñas transferencias que acababan en un banco ruso.

La consultora Hispasec realizó un estudio, en noviembre de 2004, que concluía que el 44% de webs bancarias españolas eran vulnerables a los ataques más básicos de "phishing": no permitían comprobar, mediante la barra de direcciones del navegador, que el usuario estaba en la web auténtica del banco, ni tampoco que introducía sus datos en un servidor seguro de la entidad.

Antonio Ropero, autor del informe, explica: "Apenas un mes después, un tercio de los que presentaban fallos los habían corregido, evidenciando su preocupación por el tema. Aún así, quedan 13 entidades que fallan en algún aspecto, tan representativas como Bancaja, entidades del grupo Atlántico, el BSCH, Deutsche Bank o La Caixa".

Según Ropero, el "phishing" es un buen negocio: "El envío masivo de miles de mensajes es muy económico y, sólo con que pique un usuario y se le vacíe la cuenta, el ataque habrá sido rentable". Según el Ponemon Institute, en Estados Unidos las pérdidas ascendieron el año pasado a 500 millones de dólares.

"Hay que tener en cuenta que el "phishing" no se realiza sólo sobre entidades bancarias. Se puede usar para crear bases de datos personales", explica. En enero, circuló un mensaje de este tipo, supuestamente del Instituto Nacional de Estadística, que pedía a los internautas ir a una web y dejar diversos datos.

Los criminales refinan cada vez más los medios técnicos para el fraude. El ataque más nuevo, sufrido por el Citizens Bank, Visa y Mastercard, es el "cross-site scripting", al que son vulnerables millones de sitios, especialmente los dedicados al comercio electrónico.

Esta técnica aprovecha fallos en los "scripts" (pequeños programas usados para formularios, búsquedas, etc) de la web legítima, para inyectar código y abrir un nuevo marco que parece estar dentro del banco o comercio pero, en realidad, es una página fraudulenta. También sirve para robar "cookies" a los usuarios, donde se almacenan sus contraseñas y números de cuenta.

Otra amenaza son los programas troyanos, que pueden introducirse en el ordenador mediante mensajes o webs infectadas, explica Ropero: "Están especialmente desarrollados para activarse cuando el usuario visita determinadas webs de bancos, capturando las credenciales de acceso e incluso las pantallas, para conocer el estado de las cuentas corrientes y si vale la pena atacarlas".

CÓMO EVITAR EL "PHISHING"

La regla de oro para no ser víctimas del "phishing" es, según Abraham Pasamar, "no meter nunca tus datos en un sitio que no has ido tú a buscar y has tecleado la dirección". El esCERT añade más recomendaciones:

1. Sospechar de correos electrónicos que hacen peticiones urgentes de información sensible.
2. Confiar sólo en correos firmados digitalmente y cuyo certificado sea verificado.
3. Los mensajes usados en ataques de "phishing" no suelen estar personalizados, mientras que los correos enviados por entidades reales sí lo son.
4. No seguir los enlaces que proporciona un correo electrónico sinó teclear la dirección manualmente o incluso ponerse en contacto telefónicamente con la entidad.
5. No proporcionar información confidencial mediante correo electrónico, hacerlo sólo en sitios web seguros.
6. Cuando se den datos en una web, el usuario debe asegurarse de que está en un sitio seguro, verificando que se utiliza el protocolo https en la barra de direcciones o que aparece un candado o una llave en el navegador, así como que la información del certificado es correcta.
7. El usuario debe asegurarse de que el navegador y el cliente de correo electrónico estén actualizados y con los parches de seguridad aplicados.

ALGUNAS CORRECIONES A LA LISTA DE RECOMENDACIONES
(Mensaje publicado en la lista de hacking de argo)

Me gustaría hacer un crítica a los consejos de
Abraham, razones a continuación:

>1. Sospechar de correos electrónicos que hacen
peticiones urgentes de información sensible.

Es poco habitual que el usuario final diferencie la
información sensible de la no sensible, en parte
debido a la continua solicitud de información
personal en páginas web. Se elige tantas veces una
contraseña y se da el nombre, la dirección, etc, que
parece normal darla una vez más. El consejo sería más
bien "No dar bajo petición nunca contraseñas por
telefono ni por correo"

2. Confiar sólo en correos firmados digitalmente y
cuyo
certificado sea verificado.

El usuario final normalmente no usa correo cifrado, ni
sabe verificar certificados. Este consejo es inútil.

3. Los mensajes usados en ataques de "phishing" no
suelen estar personalizados, mientras que los correos
enviados por entidades reales sí lo son.

Yo añadiría que los mensajes enviados por entidades
reales no tienen faltas de ortografía, mientras que
los de phising si las suelen tener.

4. No seguir los enlaces que proporciona un correo
electrónico sinó teclear la dirección manualmente o
incluso ponerse en contacto telefónicamente con la
entidad.

Yo añadiría que si ponemos en nombre del banco en
google, habitualmente nos aparecerán enlaces fiables a
nuestro banco, sin necesidad de sabernos la dirección.

5. No proporcionar información confidencial mediante
correo electrónico, hacerlo sólo en sitios web
seguros.

El usuario final no sabe que es información
confidencial ni "un sitio web seguro", de modo que
este no es un consejo útil. Yo lo cambiaría por "No
dar información personal, especialmente económica, por
correo"

6. Cuando se den datos en una web, el usuario debe
asegurarse de que está en un sitio seguro, verificando
que se utiliza el protocolo https en la barra de
direcciones o que aparece un candado o una llave en el
navegador, así como que la información del certificado
es correcta.

El usuario final puede comprobar que aparece "https"
en la barra, pero no sabe lo que es un protocolo.

7. El usuario debe asegurarse de que el navegador y el
cliente de correo electrónico estén actualizados y con
los parches de seguridad aplicados.

El usuario normalmente no sabe hacer esto.

Saludos
Vicente Aceituno

El phishing en alza
http://www.vsantivirus.com/ajl-phishing.htm

Primer intento de "phishing" a un banco español
http://www.hispasec.com/unaaldia/1668

Timo a clientes de Caja Madrid
http://www.vsantivirus.com/scam-cajamadrid-220305.htm

Phishing al INE
http://www.internautas.org/index.php?op=1&id=2602

Un 44% de las páginas web bancarias españolas favorecen el phishing
http://www.hispasec.com/unaaldia/2216

Supermarkets next in line for phishing attacks
http://www.securityfocus.com/news/10684

Online Banking Industry Very Vulnerable to Cross-Site Scripting Frauds
http://news.netcraft.com/archives/2005/03/11/online_banking_industry_very_vulnerable_to_crosssite_scripting_frauds.html

Troyano que captura contraseñas de banca online
http://www.hispasec.com/unaaldia/2214

DIY phishing kits found on the internet
http://www.vnunet.com/news/1157488

Anti-Phishing Working Group
http://www.antiphishing.org

esCERT
http://escert.upc.edu

Phishing - Wikipedia
http://en.wikipedia.org/wiki/Phishing

Copyright 2005 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.

<<