Por phising se entiende en informática aquellos correos electrónicos que buscan conseguir tus datos personales haciéndose pasar por un servicio que uses habitualmente. El phising más habitual es el bancario sobre el que hay multitud de advertencias en la red.
Esta mañana me ha llegado uno realmente bien hecho y lo voy a compartir con vosotros para que veáis el asunto paso a paso.
El mail intenta suplantar la identidad del Banco Popular. En Gmail se veía tal que así:
Lo primero a tener en cuenta es que un banco NUNCA te va a pedir que confirmes tus datos de usuario y contraseñas a través de un e-mail de este estilo. Así que eso ya tendría que hacerte desechar el correo.
Sin embargo está muy bien escrito (muchos ejemplos de phising tienen faltas gramaticales por ser traducciones automáticas al castellano de textos en inglés) e incluso menciona una histora de no se qué de SSL que quizás te suene muy profesional.
Lo primero que podríamos hacer para confirmar nuestras sospechas es (si usas Gmail) hacer click en “mostrar detalles” donde aparte del remitente (que se puede falsificar de forma muy sencilla) aparecerá el servicio a través del cuál se ha enviado el mensaje:
Aunque el remitente sea cliente_arroba_bancopopular.es, que fuera enviado por un sistema “mx1.ipko.net” ya no suena del todo bien. Lo normal es que en ese campo de “enviado por” aparezca también la dirección del banco popular aunque si esto fuera así no tendríamos que eliminar nuestras sospechas aún.
El punto clave y más fácil de entender es el enlace que nos proporciona el mail para confirmar nuestros datos. Antes de hacer click en él, posa el puntero del ratón sobre el link y mira la dirección a la que apunta en la parte de abajo de tu navegador:
Esa dirección tiene dos aspectos importantes:
- No tiene nada que ver con bancopopular.es
- No empieza por http: sino por http
Respecto a lo primero es otra de las cosas a tener en cuenta pero que no deben confiarte. Muchos ejemplos phising incluyen las palabras del banco objetivo en su dirección web pero suelen tener formas diferentes de la habitual. Entra en tu banco online a través de tu dirección habitual y comprueba si hay diferencias en la dirección. A lo más mínimo que te haga sospechar borra el mail y avisa a tu banco.
Respecto a lo segundo. Las direcciones que empiezan por https son las que utilizan los bancos y otras muchas páginas para indicarte que la información que estás transmitiendo se hace de forma segura. De hecho la dirección real de acceso a clientes del Banco Popular es la siguiente:
http://www2.bancopopular.es/particulares
Como verás empieza por https y el dominio principal (lo que va después de las 3 uves dobles) es bancopopular.es.
Sin embargo en el mail a analizar la dirección a la que nos envía empieza por http. Eso debería aumentar tus sospechas.
Hasta este punto, es decir sin hacer click en la dirección ya tendríamos sospechas de sobras como para borrar el mail. Y eso es importante porque el paso final es el más difícil de identificar. Una vez que hagas click en la dirección verás que la apariencia de la página es exactamente igual que la que usas habitualmente para acceder a tu banco online. Las imágenes serán las mismas, sólo notarás la diferencia en la barra de direcciones del navegador. Ojo a la complejidad de la dirección:
(click para ampliar)
Afortunadamente en el tiempo que he tardado en escribir este post, en Firefox (el navegador que recomendamos para andar por la red) ya han añadido una advertencia de que ese sitio web es falso:
(click para ampliar)
Lo más importante de todo este proceso es que a pesar de que un mail no cumpla ninguna de las sospechas enunciadas. Por lo tanto vuelvo a la primera norma: es absolutamente excepcional, raro y extraño que tu banco te pida que confirmes tus datos bancarios a través de un correo electrónico.
- También en blogoff: Ringo, spam y estaremos en contacto
- También en blogoff: Sexo, troyanos y phising
Yo el tema del https ni lo mencionaría como elemento para juzgar la validez o no de un correo bancario ya que montar un servidor con certificados es absolutamente trivial, es decir, un phising puede estar tras un https sin mayor complicación.
Aquí hay que apelar al sentido común (como haces en el resto de la entrada) más que a pequeños indicios técnicos.
La norma número 1 es mucho más simple que todo esto, es “nunca acceder a nuestras cuentas bancarias desde un enlace”, si tenemos que entrar a nuestro banco escribimos la dirección, y a ser posible en un navegador abierto por nosotros mismos.
Uno de los últimos boletines de PandaLabs habla sobre los troyanos bancarios, os dejo el enlace por si queréis apmliar la informnación: http://www.pandasecurity.com/img/enc/Boletines%20PandaLabs4.pdf
Sobre windows en una charla sobre phishing a la que asistí, hicieron una demostración práctica, dónde un troyano guardaba en el fichero hosts el nombre dns del banco apuntando hacia una ip falsa, por lo que cuando el usuario entraba en el navegador, aunque pusiera la dirección del banco verdadera ésta la llevaría a la web falsa.
Sentido común es lo que hace falta. Pero también sistemas operativos seguros.
Yo para entrar en el banco uso Linux. Siempre.
Esto último de los troyanos que modifican el fichero hosts en Windows es lo que se conoce por Pharming.
@Acort; alguien escribió un artículo “cómo crear un virus en Linux en 5 pasos” http://www.geekzone.co.nz/foobar/6229
No todo es seguro, después, o inclusive ahora, ya se sabrá como crear trojanos o hacer pishing en Linux. Solo es un comentario para no sentirnos tan confiados en todo lo que nos ofrece la red.
@Kids: Interesante Post. Desconocía de algunos indicios que mencionas. Gracias