|
:: Menú Principal ::
|
|
|  |
| Noticias: Tecnica Phishing para robar datos de cuentas bancarias
|
|
Tecnica Phishing o suplantación de la
identidad corporativa de una entidad bancaria para robar datos confidenciales de sus clientes
La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar el impostor. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL, http://www.nombredetubanco.com.ejemplo.com/. Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares). Por ejemplo, el enlace http://www.google.com@members.tripod.com/ puede engañar a un observador casual y hacerlo creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente). Este método ha sido erradicado desde entonces en los navegadores de Mozilla e Internet Explorer. Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL legítima.
En otro método popular de phishing, el atacante utiliza contra la víctima el propio código de programa del banco o servicio por el cual se hace pasar. Este tipo de ataque resulta particularmente problemático, ya que dirige al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque (conocido como Cross Site Scripting) los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace está modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios.
Otro problema con las URL es el relacionado con el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dοminiο.com, aunque en el segundo las letras "o" hayan sido reemplazadas por la correspondiente letra griega ómicron, "ο"). Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homógrafos, ningún ataque conocido de phishing lo ha utilizado.
Es posible que en
las últimas semanas usted haya recibido un sospechoso correo
electrónico solicitando sus datos bancarios. Sobre todo, si es cliente
de Caixa Catalunya, Caja Madrid o Banco Popular, tres de las entidades,
según la Asociación de Internautas, cuyos clientes han sufrido más
recientemente la estafa conocida como phishing (suplantación de la
identidad corporativa de una entidad bancaria, para hacerse con los
datos confidenciales de sus clientes). Pero no se confíe: sea quien sea
el banco con el que usted opera, es muy probable que en algún momento
sufra un intento de fraude por esta vía, que es una de las más
generalizadas en la actualidad.
Sin embargo, a partir de ahora, el cliente no será la única parte de la
relación bancaria expuesta al peligro. Según la Asociación de Usuarios
de Bancos, Cajas y Seguros (Adicae), el Juzgado de Primera Instancia
número 2 de Castellón ha dado la razón a dos clientes de Bancaja, que
reclamaban a su entidad los 6.000 euros que les fueron estafados
mediante la técnica del phishing.
Ahorro significativo
Según la asociación, "la banca por internet permite a las entidades un
ahorro económico muy significativo". Sin embargo, "sólo invierten en su
propia seguridad informática y no en la de sus clientes". Además,
afirma la sentencia que en los contratos de banca por internet, además,
las entidades buscan librarse de responsabilidad en caso de fraude,
pero si son ellas mismas las que ofrecen la posibilidad de operar por
internet, es también su responsabilidad dotar a sus clientes de la
información adecuada para que el servicio se dé en condiciones de
seguridad.
La reivindicación de Adicae está en línea con la opinión que ha
expresado el Banco de España (BdE) en su último Informe del Servicio de
Reclamaciones. En él, la autoridad bancaria afirma que "no parece
equitativo ni proporcionado que las entidades eludan sin más su
responsabilidad, dirigiendo a sus clientes a los tribunales de justicia
y haciendo recaer en los mismos la totalidad de los importes
defraudados".
El problema era, dice Adicae, que esta opinión del BdE no resultaba
vinculante para las entidades. En adelante, la situación será otra,
gracias a la sentencia del juzgado de Castellón.
internautas.org
|
|
|
|
Enviado el Martes, 12 agosto a las 14:05:48 por Draving
|
|
|
|
|
:: Enlaces Relacionados ::
|
|
|
|
:: Votos del Artículo ::
|
|
|
Puntuación Promedio: 0
votos: 0
|
|
|
:: Opciones ::
|
|
|
|
| | Los comentarios son propiedad de quien los envió. No somos responsables por su contenido. |
|
|
|
|
Inicio (Noticias):
Miembros:
Comunidad:
Estadísticas:
Theme Design By 
Powered By 
