Is it a fake website?

15 enero 2007

Lucha contra el phising: 44 maneras de protegerte



Es una estafa que genera billones de dolares en pérdidas, incluso aún cuando sólo el 5% de los usuarios caen en la trampa. Amenaza la integridad de las transacciones online entre clientes y banca electrónica principalmente. Es un juego constante del perro y el gato entre los estafadores y los especialistas en seguridad quienes les siguen los talones. Phising, carding, brand spoofing, web spoofing (falseo de web), llámalo como quieras, pero no escapamos al hecho de que este timo se esta volviendo cada vez más peligroso.

España es el tercer país del mundo que más estafas bancarias sufre, y el más afectado de toda Europa. .

Los estafadores tienen a su disposición un gran arsenal de armas, aparentemente enlaces incrustados en emails que redirigen a sitios falsos, ventanas pop-up que animan a introducir información sensible, direcciones URL que enmascaran su verdadero destino, y capturadores de pulsaciones de teclado que estan al acecho esperando capturar tu usuario y contraseña cuando las escribes en el teclado. No tienes porque ser un técnico experto para protegerte de estos ataques phising, basta con que tengas buen juicio, y ser consciente de que no todos los sitios en Internet son los originales, o los que dicen ser, y seguir una o varias combinaciones de los siguientes 44 consejos:

Simples pero efectivos....

1. Nunca confies en desconocidos: La misma regla que aplicabamos de pequeños entra en juego aquí: No abras correos provenientes de gente que no conoces. Configura tu filtro de basura y spam para entregar únicamente contenido de tu lista de contactos.

2. Esquiva aquellos links: ¿Qué ocurre si tu filtro de spam falla y empieza a entregar el contenido de esas carpetas en tu inbox?. Simple, NUNCA, hagas click en los links incrustados en tu correo.

3. Manten tu intimidad: Sin querer has hecho click sobre un link que te lleva a un sitio web donde te preguntan para que introduzcas información sensible como nombres de usuario, números de cuenta, contraseñas, números de tarjetas de crédito o de la seguridad social. Sólo tres palabras - NO LO HAGAS.

4. No temas: Muy a menudo, estos sitios web falsos te avisan de que tu cuenta está en riesgo de ser desactivada si no confirmas tu información de usuario, si recibes algún mail de estas características, simplemente, IGNORALOS.

5. Coge el teléfono y llama: Si dudas en que puede tratarse de una petición legitima, y tu banco te está preguntando para que les confirmes información sensible online. LLAMA al servicio de atención al cliente antes de hacer algo temerario.

6. Usa el teclado, no el raton: Escribe las URLs en vez de hacer click en los enlaces mientras realizas compras online o visitas tu banco y en aquellos sitios donde tengas que introducir números de tarjetas de crédito.

7. Busca el candado: Los sitios válidos que usan encriptación para transferir de una manera segura la información sensible se caracterizan por tener un candado en la parte inferior derecha de tu navegador, NO de la página web. Tambien, las direcciones web empiezn con https:// en vez de el normal http://

8. Nota la diferencia: A veces, simplemente la presencia de el candado es una prueba de que el sitio es auténtico, para verificar su autenticidad, haz doble click en el candado para mostrar el certificado de seguridad del sitio, y CHEQUEA que el nombre del certificado y el de la barra de direcciones coinciden. Si no coinciden, estas en un sitio problemático, por lo que sal de ese sitio.

9. Un razonable segundo intento: Si estas preocupado en que has alcanzado un sitio que se esta enmascarando como tu página del banco, algunas veces la manera fácil de comprobarlo, es introducir una password ERRONEA. El sitio falso la aceptará y normalmente te redirigirá a una página donde te dice que estan teniendo dificultades técnicas, e intentes el chequeo más tarde.
Tu sitio de banco original simplemente no te permitirá la entrada.

10. La clave aquí es la diferencia: Usa contraseñas DIFERENTES para sitios diferentes; lo se, es una tarea dificil en estos días, cuando la mayoría de las funciones de el cerebro se pasan a la tecnología, pero esta es una buena costumbre para prevenir a los phisers de recoger toda tu información de tranacciones sensibles, incluso si han llegado a comprometerte una cuenta. Además tambien ejercitarás el cerebro, es un ejercicio muy útil.

11. Manten tus ojos abiertos: Un email de spam está construido con errores gramaticales, generalmente no va personalizado y puede tener un enlace o un adjunto sospechoso. RECONOCELOS y denuncialos como spam.

12: La familiaridad produce desprecio: No estás seguro de que puedas distinguir un email con phising cuando lo recibes?, bien, echa un vistazo a este sitio, y conoceras como están generalmente construidos. Poco a poco aprenderas a diferenciarlos.

13: La codicia no paga: NUNCA participes en encuestas que te dan dinero por participar y a cambio te preguntan por información sensible. Estas son siempre intentos fraudulentos para conseguir tus datos personales. Puedes recibir los 20$ que te prometen, pero tambien hay una gran probabilidad de encontrar tu cuenta limpia.

14. No salgas: Nunca dejes tu ordenador DESATENDIDO cuando estes logeado con tu cuenta del banco o cuando has dado información de la tarjeta de crédito en un sitio de compras online.

15. El salir apropiadamente cuenta: Una vez que has terminado tus transacciones online, DESCONECTATE apropiadamente en vez de simplemente cerrar el navegador, especialmente si estas usando un terminal público.

16. Nunca puedes ser demasiado cuidadoso: Haz login en tu cuenta del banco regularmente y lleva cuenta de tu dinero. No querrás levantarte un día y encontrar que un phisher ha estado desviando unos pocos de cientos de dolares cada vez.

17. Un poco de conocimiento no es peligroso: Mantente al día con las últimas noticias e INFORMACIÓN sobre el pishing.

18. Pruebas difíciles: Se muy cuidadoso cuando te deshagas de tu viejo ordenador o disco duro. En ordenadores reciclados se ha encontrado información confidencial perteneciente a bancos de Internet. Utiliza software para BORRAR y sobre-escribir los datos de tu disco duro para asegurar que no se pueden recuperar los datos borrados.

19. ¿Lo conozco, o debería conocerlo?: Ten cuidado con el arpón del pishing, cuando tu cuenta corporativa se ha comprometido y los correos solicitando información privada parece que vienen de tus compañeros de trabajo o amigos, es mejor llamar a la persona en cuestión y verificar la autenticidad del correo.

20. Examina concienzudamente esos documentos: Como parte del trabajo en tu empresa, hay mucho que puedes hacer para prevenir que los pishers comprometan la seguridad de tu empresa. Configura Firewalls y manten tus sistemas de Antivirus actualizados. MONITORIZA los logs de tus equipos proxy ,DNS, firewalls y otros equipos de detección de intrusos de una manera regular para chequear si has sido infectado.

21. La política es la mejor política: Crea un conjunto de POLÍTICAS estrictas para la creación de contraseñas de tus usuarios, servidores y routers y asegurate de que tu personal sigue estas políticas.

22. Sin intromisiones: Establece sistemas de detección de intrusos que protejan el contenido de tu red y la prevenga de enviar y recibir emails con phising. Protege tu GATEWAY con herramientas antipishing, antivirus y firewalls.

23. Vigila lo que mantienes en tu compañía: Crea y manten una lista de los DISPOSITIVOS aprobados que tienen permiso para conectar en la red de tu empresa.

Tomando la tecnología de nuestro lado...

24. Es cuestión de confianza:
Una questión importante es, ¿Puedes confiar en que el certificado del sitio sea auténtico?. Verisign fue culpable de emitir certificados de seguridad a sitios que reclamaban ser parte de Microsoft no hace mucho. La última versión de los navegadores IE 7, y Opera, en breve serán capaces de proveer a los usuarios con certificados EV SSL (Validación Extendida de SSL) que asegurarán que un sitio es el auténtico. La barra de direcciones muestra verde para los sitios buenos y rojo para los dudosos.

25. Pishers con codicia: Los emails tambien pueden ser spoofeados. La única manera de asegurarte de que no lo sean, es usar clientes que soporten firmas digitales S/MIME. Primero chequea si la dirección del remitente es correcta, y busca la firma digital. Esta es una táctica anti-phising muy efectiva ya que la firma es generada por el cliente despues de que el mail ha sido abierto y autenticado, y está basada en robustas técncias de criptografía.

26. Mantente actualizado: Asegurate de que tu sistema operativo y navegador estan regularmente ACTUALIZADOS. Chequea por los últimos parches y aplicalos inmediatamente.

27. Create un muro: PROTEGE tu ordenador con software anti-spam y antivirus que sean efectivos, y configura firewalls para mantener esos peligrosos caballos de troya alejados. Estos son capaces del peor tipo de phising instalando por ejemplo software de keylogging en tu sistema para capturar todas las pulsaciones realizadas en tu teclado y enviarlas a un sitio desconocido donde el atacante las pueda recoger. Lo que es peor, es que este ataque se puede expandir desde tu PC a demás ordenadores conectados al tuyo, comprometiendo así todos los equipos de la red.

28. Dos son mejor que uno: Usa autenficación de dos factores para hacer login en sitios sensibles. La combinación de un token vía software como una contraseña y un dispositivo hardware como una tarjeta ATM doblan la dificultad de conseguir abrir una cuenta que con sólo uno o ningún factor de verificación.

29. Paso a paso: Es muy dificil para los pishers tener acceso a tu password si DIVIDES el proceso de login en dos fases - introduciendo el ID de usuario en el primero y otras credenciales en el segundo. El proceso es incluso más seguro cuando introduces tus detalles de identificación en la segunda fase sólo si la ventana de entrada se ha personalizado de alguna manera, por ejemplo, si se muestra una imagen explicitamente seleccionada por tí.

30. No solo con un token: Considera usar un dispositivo "ID vault USB token" que encripte todos tus ids y contraseñas y los almacene en una unidad flash, la cual se puede utilizar para hacer login de una manera segura en los sitios web. El dispositivo por si mismo está protegido por contraseña para que los ladrones tengan una capa más de encriptación que afrontar.

31. Hashing para confundir: Plugins de software están entrando en la lucha contra el phising, un ejemplo es el PwdHash, o la herramienta hash de contraseña desarrollada por dos profesores de Stanford que codifica cualquier password que introduces, y crea un único sign-on por cada sitio que visitas. Incluso si los phisers consiguen tu contraseña, no podrán hacer nada.

32. Espío que no me espíen: Otra aplicación desarrollada en la línea de PwdHash, y tambien creada por los mismos profesores de Stanford que la anterior, es SPYBLOCK, una herramienta que previene a los programas caballos de troya de capturar pulsaciones de teclado y robar tus contraseñas.

33. Extendiendo la protección: Las extensiones de navegador como antipish usadas como plugin en el navegador Firefox de mozilla, ofrecen protección contra ataques de phishing manteniendo LISTAS de contraseñas y demás información sensible, y mostrando advertencias cuando el usuario escribe esta información en sitios falsos.

34. Marcando políticas: Los Bancos y casas de negocios online harían bien en usar el marco de políticas de remitente Open Source, un standard que previene el falsear las direcciones de email listando a los servidores que están permitidos enviar mail.

35. Tomando confianza: Como alternativa, podría usar un SERVICIO DE CONFIANZA como Geotrust's True Site que permite a los clientes verificar la autenticidad del sitio web.

Protección eventual contra el phising...

36. Enviando señales positivas: Nuevas tecnologías como el Marco del ID de remitente están entrando en la lucha contra los sitios web suplantados verificando el origen de cada email. Distribuidas por Microsoft y CipherTrust.

37. Salvo que no haya confianza: Trustbars, que son componentes seguros y a prueba de trampas de navegadores, permiten la VISUALIZACIÓN de la información de sitios. Los usuarios son alertados con avisos cuando existe una discrepancia en la visualización de la barra del navegador.

38. Disminuye estos ataques: Otra técnica, revelación de contraseña retardada (DPD), protege contra las ventanas emergentes que solicitan información sensible, (acertadamente calificados como ataques de ventana) trabaja contra los ataques phising cuando los usuarios introducen su contraseña letra a letra, una siguiendo la otra sólo despues de que la correspondiente imagen sea reconocida.

39. Prueba positiva: Los sitios web que deseen demostrar que son auténticos, pueden utilizar extensiones HTML llamadas PROOFLETS para aumentar un contenido del servidor. Estos son verificados por los navegadores a través del uso de servicios web especiales.

Enfoques alternativos...

40. Timos en los móviles
: A medida que los consumidores van comprendiendo estos timos, los phisers se mueven a nuevos medios para seguir con sus estafas. Los teléfonos móviles, una necesidad en el mundo de hoy, son las últimas víctimas. Mensajes de texto aparentando ser un aviso de tu banco indicando que a menos que confirmes tu información de cuenta, será desactivada. IGNORA estos mensajes, siempre son spam.

41. Dudas de la voz: Otro campo caliente de actividad, es la tecnología VoIP, está siendo aprovechada como una herramienta de phising con una regularidad alarmante. Los criminales la encuentran EFECTIVA EN EL COSTE para hacer numerosas llamadas y ganar una buena suma con los gastos incurridos. Esto es doblemente peligroso porque la gente, que generalmente piensan en el correo para sospechar, generalmente tienden a confiar en las llamadas telefónicas.

Haz la diferencia....

42. Entra en la lucha: Si te encuentras con un timo de phising REPORTALO al grupo de trabajo anti-phising, o en España a la Asociación de Usuarios de Internet, ambos sitios trabajan para acabar con el phishing y capturar a los responsables.

43. Di adios: Si alguna de tus cuentas han sido comprometidas, CIERRALAS en seguida.

44. El cambio es bueno: Si sospechas que alguna de tus contraseñas ha caido en malas manos, CAMBIA todas tus contraseñas y números de pin en tus cuentas online inmediatamente..

El phishing es un campo de actividad donde la ignorancia nunca es feliz. En tanto exista gente crédula, habra timadores para aprovecharse de las vulnerabilidades humanas como el descuido, pereza, avaricia, e ignorancia. Ayudados y apoyados en la tecnología, estos ataques están incrementando día a día. Un largo camino nos queda en la lucha contra estos cibercriminales, mientras tanto, permanezcamos alerta.

Este post es mi granito de arena para contribuir en esta lucha.

Este artículo ha sido traducido de su original y adaptado en algunos puntos para la versión española.



1 comentario:

Emilio dijo...

Gracias buen salvaje, a mi lo que no me parece justo es que escribas este comentario en un post que nada tiene que ver con lo que comentas, mejor hubiera sido enviar este mensaje a través de mail. Le hubiera hecho más caso.
Gracias de cualquier manera por tu compromiso con la blogosfera, aunque no sea la forma. :)