[HACK] phishing

merce merce at grn.es
Thu Apr 7 17:26:34 CEST 2005


18:13 24/03/2005


AUMENTAN UN 366% LOS INTENTOS DE ESTAFA A CLIENTES DE BANCOS EN LÍNEA

Caja Madrid, BBVA, Banesto y Banco Popular, entre las
entidades más afectadas por el "phishing"


Mercè Molist
En menos de dos años, una plaga de correos masivos se ha
unido al "spam" y los virus, ganándoles en peligrosidad. Se
llama "phishing" y tiene en ascuas a bancos y comercios
electrónicos: consiste en engañar a sus clientes,
enviándoles mensajes que les instan a introducir sus datos
financieros en webs fraudulentas. España es uno de los
países con más incidencias, según Verisign.


Robar contraseñas es el delito más viejo de la red. Empezó
como un juego: se engañaba a los incautos en los chats, para
conseguir los datos de su cuenta de acceso y entrar gratis a
Internet. Hoy el engaño va más allá y se usa para robar
números y contraseñas de cuentas bancarias.

El correo electrónico es el medio para estas estafas: se
envía un mensaje a miles de personas, procedente
supuestamente de un banco, esperando que algunas sean
clientes y piquen. Por eso, a esta práctica se la llama
"phishing", salir de pesca. El mensaje les pide que vayan a
una web y pongan allí sus datos bancarios, engañándoles con
diversas excusas, como que si no lo hacen se les anulará la
cuenta

En sus escasos dos años de vida, este fraude ha hecho saltar
todas las alarmas. El último informe bianual de Symantec
afirma: "A finales de diciembre de 2004, bloqueamos una
media de 33 millones de intentos de "phishing" por semana,
lo que representa un aumento del 366% desde julio. Preveemos
que seguirá creciendo y será cada vez más preocupante".

MessageLabs también ha investigado: "En septiembre de 2003,
sólo 279 de los mensajes que escaneamos cada día eran
"phishing". En septiembre de 2004, habían subido hasta dos
millones. A diferencia de los virus y el correo basura, el
problema del "phishing" es que está personalizado. Aunque se
envíe masivamente, el objetivo es sólo una compañía y sus
clientes".

Según la Guardia Civil, que ha investigado diversos casos en
España, los criminales suelen ser mafias del este. Envían
sus mensajes usado las mismas técnicas del correo basura:
masivamente y mediante máquinas atacadas previamente, desde
las que es difícil seguirles los pasos. Recientemente, uno
de estos mensajes inundaba los buzones españoles, simulando
venir de una dirección @cajamadrid.es.

Decía: "Necesitamos confirmar que Ud. es el verdadero dueño
de esta cuenta. Si no confirma sus datos en 24 horas, nos
veremos obligados a bloquearla, para su protección". Un
formulario en Javascript acompañaba el mensaje, donde debían
introducirse el DNI, la clave y la firma del banco. Si la
víctima lo hacía, los datos se enviaban a un ordenador
personal de Taiwan, asaltado por los delincuentes.

Este caso es el más sofisticado que ha visto la Internet
española. Normalmente, el mensaje fraudulento insta a la
víctima a visitar un enlace que parece pertenecer al banco
pero, en realidad y mediante diversas técnicas de engaño,
lleva a una web preparada por los estafadores, con el mismo
diseño y logos.

El BBVA fue el primer banco español víctima de "phishing".
En mayo de 2003, un mensaje masivo instaba a sus clientes a
darse de alta en un nuevo servicio, siguiendo el enlace
http://w3.grupobbvanet.com, un dominio registrado apenas
unos días antes y muy parecido al auténtico:
https://www.bbvanet.com.

Desde entonces, no han cesado los ataques. En enero de 2004,
otro mensaje pedía a los clientes del Banco Popular que
visitasen un enlace "para mejorar su seguridad". Llevaba a
un sitio falso, pero aprovechaba un fallo del navegador
Internet Explorer, que en su barra de direcciones seguía
mostrando la URL auténtica del banco.

Los clientes de Banesto, Banco Pastor, Caja Madrid y BBVA
han sufrido más de una vez este tipo de ataques, donde se
les ofrece un enlace que parece bueno pero lleva a una web
falsa. En febrero de 2004, el Banco Popular era víctima de
otra variante: al pinchar el enlace, se abrían dos ventanas,
la de la entidad y otra, fraudulenta, idéntica a la página
de autenticación del banco pero sin mostrar ninguna URL.

El mes pasado, en un alarde de pesca de altura, un mismo
mensaje se dirigía a la vez a los clientes de cuatro bancos:
BBVA, Banesto, Cajamar y Banco de Valencia, cada uno con su
enlace correspondiente, todos supuestamente auténticos pero
que llevaban a sitios falsos, alojados en un proveedor ruso.

Según un estudio de la compañía Verisign, España es uno de
los países con más incidencia de "phishing" y el séptimo en
envío masivo de mensajes falsos. El primero es Estados
Unidos, donde no sólo se atacan entidades bancarias, que son
el 80% de víctimas, sinó también sitios de comercio
electrónico, como eBay, AOL o Amazon. En Europa, según la
policía británica, las próximas víctimas serán también los
comercios.

El gobierno norteamericano prepara una "Ley Anti-Phishing"
que prevee multas de 250.000 dólares y cinco años de
prisión. Mientras, la industria informática y bancaria ha
unido sus fuerzas en el "Anti-Phishing Working Group". Según
su último informe, los ataques en EEUU crecen a un ritmo del
30% mensual y sólo en enero de 2005 se detectaron 2.560
sitios web fraudulentos, con un promedio de vida de 5,8
días.

"Con unos días ya les vale, porque hacen envíos muy masivos
y siempre hay alguien que pica. A veces la página sigue
funcionando un mes o dos porque, aunque el departamento
legal del banco afectado avisa al proveedor, éste tarda en
cerrarla. Son webs anónimas, en servidores gratuitos donde
se piden pocos datos", explica Abraham Pasamar, consultor de
seguridad del esCERT.

Los bancos suelen enterarse en seguida del ataque: "Cuando
les avisamos ya lo saben, porque los envíos son tan masivos
que también les llegan", explica el consultor. Robarles,
dice, no es tan fácil: "Se recolectan nombres de usuario y
contraseñas, pero la mayoría de bancos piden códigos
adicionales para las transferencias, aunque pueden hacerse
pasar por el cliente legítimo y pedirlos".

Pocos ciudadanos denuncian ser víctimas de este fraude, dice
Pasamar, aunque según los datos del esCERT un 5% de
internautas caen en la trampa. En noviembre del año pasado,
la Guardia Civil detenía a dos personas en Valencia y Madrid
por robar más de 12.000 euros a clientes del BBVA. Habían
hecho pequeñas transferencias que acababan en un banco ruso.

La consultora Hispasec realizó un estudio, en noviembre de
2004, que concluía que el 44% de webs bancarias españolas
eran vulnerables a los ataques más básicos de "phishing": no
permitían comprobar, mediante la barra de direcciones del
navegador, que el usuario estaba en la web auténtica del
banco, ni tampoco que introducía sus datos en un servidor
seguro de la entidad.

Antonio Ropero, autor del informe, explica: "Apenas un mes
después, un tercio de los que presentaban fallos los habían
corregido, evidenciando su preocupación por el tema. Aún
así, quedan 13 entidades que fallan en algún aspecto, tan
representativas como Bancaja, entidades del grupo Atlántico,
el BSCH, Deutsche Bank o La Caixa".

Según Ropero, el "phishing" es un buen negocio: "El envío
masivo de miles de mensajes es muy económico y, sólo con que
pique un usuario y se le vacíe la cuenta, el ataque habrá
sido rentable". Según el Ponemon Institute, en Estados
Unidos las pérdidas ascendieron el año pasado a 500 millones
de dólares.

"Hay que tener en cuenta que el "phishing" no se realiza
sólo sobre entidades bancarias. Se puede usar para crear
bases de datos personales", explica. En enero, circuló un
mensaje de este tipo, supuestamente del Instituto Nacional
de Estadística, que pedía a los internautas ir a una web y
dejar diversos datos.

Los criminales refinan cada vez más los medios técnicos para
el fraude. El ataque más nuevo, sufrido por el Citizens
Bank, Visa y Mastercard, es el "cross-site scripting", al
que son vulnerables millones de sitios, especialmente los
dedicados al comercio electrónico.

Esta técnica aprovecha fallos en los "scripts" (pequeños
programas usados para formularios, búsquedas, etc) de la web
legítima, para inyectar código y abrir un nuevo marco que
parece estar dentro del banco o comercio pero, en realidad,
es una página fraudulenta. También sirve para robar
"cookies" a los usuarios, donde se almacenan sus contraseñas
y números de cuenta.

Otra amenaza son los programas troyanos, que pueden
introducirse en el ordenador mediante mensajes o webs
infectadas, explica Ropero: "Están especialmente
desarrollados para activarse cuando el usuario visita
determinadas webs de bancos, capturando las credenciales de
acceso e incluso las pantallas, para conocer el estado de
las cuentas corrientes y si vale la pena atacarlas".



CÓMO EVITAR EL "PHISHING"


La regla de oro para no ser víctimas del "phishing" es,
según Abraham Pasamar, "no meter nunca tus datos en un sitio
que no has ido tú a buscar y has tecleado la dirección". El
esCERT añade más recomendaciones:


1. Sospechar de correos electrónicos que hacen peticiones
urgentes de información sensible.
2. Confiar sólo en correos firmados digitalmente y cuyo
certificado sea verificado.
3. Los mensajes usados en ataques de "phishing" no suelen
estar personalizados, mientras que los correos enviados por
entidades reales sí lo son.
4. No seguir los enlaces que proporciona un correo
electrónico sinó teclear la dirección manualmente o incluso
ponerse en contacto telefónicamente con la entidad.
5. No proporcionar información confidencial mediante correo
electrónico, hacerlo sólo en sitios web seguros.
6. Cuando se den datos en una web, el usuario debe
asegurarse de que está en un sitio seguro, verificando que
se utiliza el protocolo https en la barra de direcciones o
que aparece un candado o una llave en el navegador, así como
que la información del certificado es correcta.
7. El usuario debe asegurarse de que el navegador y el
cliente de correo electrónico estén actualizados y con los
parches de seguridad aplicados.



El phishing en alza
http://www.vsantivirus.com/ajl-phishing.htm

Primer intento de "phishing" a un banco español
http://www.hispasec.com/unaaldia/1668

Timo a clientes de Caja Madrid
http://www.vsantivirus.com/scam-cajamadrid-220305.htm

Phishing al INE
http://www.internautas.org/index.php?op=1&id=2602

Un 44% de las páginas web bancarias españolas favorecen el phishing
http://www.hispasec.com/unaaldia/2216

Supermarkets next in line for phishing attacks
http://www.securityfocus.com/news/10684

Online Banking Industry Very Vulnerable to Cross-Site Scripting Frauds
http://news.netcraft.com/archives/2005/03/11/online_banking_industry_very_vulnerable_to_crosssite_scripting_frauds.html

Troyano que captura contraseñas de banca online
http://www.hispasec.com/unaaldia/2214

DIY phishing kits found on the internet
http://www.vnunet.com/news/1157488

Anti-Phishing Working Group
http://www.antiphishing.org

esCERT
http://escert.upc.edu

Phishing - Wikipedia
http://en.wikipedia.org/wiki/Phishing




Copyright 2005 Mercè Molist.
Verbatim copying, translation and distribution of this
entire article is permitted in any digital medium, provided
this notice is preserved.







More information about the hacking mailing list