Cuidadoso phishing en Skype

Comenzamos la semana analizando un interesante caso de phishing, por la calidad de la copia de la página oficial y por afectar a una de las plataformas de comunicación más utilizadas del mundo. Esta vez tenemos para compartir con nuestros lectores una página que simula ser la versión oficial de Skype con el objetivo de robar las credenciales de acceso y la información bancaria de los usuarios. Cuando la víctima ingresa su nombre de usuario y contraseñas respectivos, es direccionada a una página en donde se le solicitará una actualización de su información personal. En primera instancia, se pide al usuario los datos personales y la dirección de facturación y en la siguiente pantalla, toda la información perteneciente a su tarjeta de crédito. A continuación pueden ver que el sitio luce idéntico al oficial:

Este ataque, además, está realizado minuciosamente. El sitio web que simula ser el de Skype contiene todos los enlaces correctamente vinculados a la página web oficial de producto. Por lo tanto, la víctima no puede advertir el ataque buscando enlaces rotos o mal direccionados.

El atacante incluso, al momento de ingresar a la pantalla donde se piden los datos de la tarjeta de crédito, cambia el ícono (como se puede apreciar en la figura anterior) en la barra de direcciones por un logo de Skype con un candado adelante simulando establecer una conexión segura. Al cliquear sobre el mismo podremos notar rápidamente que se trata de un engaño ya que el navegador informa al usuario que el sitio web no posee información de identidad y que la información que será transferida no está cifrada. Adicionalmente, se ofrece más información en donde el usuario puede verificar que se trata realmente de un sitio web sospechoso.

Dado que muchos usuarios realizan pagos por Internet ofrecemos algunas sugerencias que podrían tomar en cuenta al momento de enviar información personal por la web:
1. Datos tan sensibles como la dirección de facturación y sobre todo los números de tarjeta de crédito no deben ser pedidos al momento de realizar un ingreso sin que el usuario haya solicitado las actualizaciones.
2. En caso de hacerlo, deben estar estrictamente relacionados con una compra. Por lo tanto, todos los usuarios que nunca compraron crédito en Skype no necesitan ingresar sus datos bancarios.
3. Chequear siempre que la dirección URL que aparece en la barra de direcciones corresponde con el dominio de skype.com. Por lo general, estas direcciones falsas no contienen palabras relacionadas al producto y, además, no están verificadas por un certificado digital.
4. Utilizar protocolos cifrados. En la barra de direcciones debe aparecer HTTPS y no HTTP. Es verdad que existen ataques al protocolo HTTPS, por lo que la existencia de una “s” no nos brinda un 100% de seguridad. No obstante, la ausencia de la misma ya es suficiente para pensar dos veces antes de ingresar información sensible en una página no segura.
5. Este tipo de sitios nunca puede comprobar si los datos del usuario son correctos ya que no se trata de la página oficial del producto. Frente a la duda, recomendamos que el usuario ingrese un nombre de usuario falso con cualquier contraseña y comprobará que la página aceptará los datos, algo que en la página oficial es imposible ya que los datos ingresados no pertenecen a ninguna cuenta.
Siguiendo estas sugerencias los usuarios deberían disminuir el riesgo de ser víctima de este tipo de ataques. Además sugerimos que utilicen siempre una solución de seguridad proactiva para permanecer lo más lejos posible del blanco de estos atacantes.
Raphael Labaca Castro
Especialista en Awareness & Research
Fuente: ESET, Blog de Laboratorio

¿Cómo proteges tus cuentas bancarias?

¿Qué ofrece la banca electrónica?

La banca electrónica o banca por Internet es el conjunto de productos y procesos que permiten, mediante procedimientos informáticos, que el cliente pueda realizar una serie, cada vez más amplia, de transacciones bancarias sin necesidad de ir a la sucursal. Estos productos y servicios pueden incluir la recepción de depósitos, préstamos, manejo de cuentas, asesoría financiera, pago electrónico de facturas y el suministro de otros productos y servicios de pago electrónico, como puede ser el dinero electrónico.

¿Qué riesgos existen?

Sin embargo, con el rápido crecimiento de la banca electrónica, de igual manera han crecido los ataques, el más común es el phishing, del que ahora hay una nueva modalidad llamada vishing.

Las 4 formas más comunes de phishing:

SMS (mensaje por celular): La recepción de un mensaje donde le solicitan sus datos personales.

Llamada telefónica (Vishing): Recibir una llamada telefónica en la que el emisor suplanta a una entidad privada o pública para que el cliente facilite datos privados.

Página web o ventana emergente: En ella se simula la imagen de una empresa suplantando elementos visuales pareciendo ser los oficiales. La más empleada es la “imitación” de páginas web de bancos, siendo el parecido casi idéntico más no oficial. Tampoco olvidamos sitios web falsos con señuelos llamativos en los cuales se ofrecen ofertas irreales.

Correo electrónico: Es la modalidad más usada de phishing. Consiste en la recepción de un correo electrónico donde se simula a una empresa como remitente. Se solicitan datos por motivos de seguridad, mantenimiento de la empresa, mejorar su servicio, encuestas, confirmación de su identidad o cualquier excusa para que el usuario los facilite. El correo puede contener formularios, enlaces falsos, textos originales, imágenes oficiales, todo para que visualmente sea idéntica al sitio web original.

En caso de que algún usuario llegara a proporcionar sus datos, las consecuencias generadas podrían resultar en fraudes como: robo de dinero, realizar compras, robo de identidad y clonación de tarjetas bancarias.

¿Cómo detectar un correo phishing?

“Normalmente, un correo de phishing contiene nombres de remitentes que parecen auténticos y tiene logotipos copiados de la página web de la compañía legítima”, comentó Israel Oseguera, Director de Servicios Móviles de PRAXIS.

Los elementos que lo identifican son los siguientes:

∙ El correo tiene un tono de alarma que te exige actuar rápidamente.
∙ Incluye un link que sugiere que le des clic y valides o actualices tu información personal.
∙ Frecuentemente presenta errores gramaticales, que no son usuales en la comunicación habitual de la institución.

Las entidades bancarias conscientes de los diferentes riesgos, están en constante búsqueda de soluciones.

Tres puntos infalibles para proteger tu dinero

Israel Oseguera, Director de Servicios Móviles de PRAXIS, nos recomienda:

1. Jamás proporciones tus datos bancarios por teléfono o correo electrónico. Todos los bancos recalcan que jamás pedirán los datos de sus clientes por estos medios. Si eres víctima, haz caso omiso y llama a la línea de servicio al cliente de tu banco.
2. Verifica la autenticidad de los sitios bancarios. Nunca accedas a ellos por medio de ligas y escribe tú mismo la dirección en la barra de navegación.
3. Evita abrir ventajas emergentes de promociones. Si suenan “demasiado bueno para ser verdad”, no lo son. Jamás proporciones tus datos en ventanas emergentes.

Fuente: Top Management, México