[HACK] Re: phishing (merce)

Vicente Aceituno aceituno at yahoo.com
Sat Apr 9 13:14:01 CEST 2005 

Me gustaría hacer un crítica a los consejos de
Abraham, razones a continuación:

>1. Sospechar de correos electrónicos que hacen
peticiones urgentes de información sensible.

Es poco habitual que el usuario final diferencie la
información sensible de la no sensible, en parte
debido  a la continua solicitud de información
personal en páginas web. Se elige tantas veces una
contraseña y se da el nombre, la dirección, etc, que
parece normal darla una vez más. El consejo sería más
bien "No dar bajo petición nunca contraseñas por
telefono ni por correo"

2. Confiar sólo en correos firmados digitalmente y
cuyo
certificado sea verificado.

El usuario final normalmente no usa correo cifrado, ni
sabe verificar certificados. Este consejo es inútil.

3. Los mensajes usados en ataques de "phishing" no
suelen estar personalizados, mientras que los correos
enviados por entidades reales sí lo son.

Yo añadiría que los mensajes enviados por entidades
reales no tienen faltas de ortografía, mientras que
los de phising si las suelen tener.

4. No seguir los enlaces que proporciona un correo
electrónico sinó teclear la dirección manualmente o
incluso ponerse en contacto telefónicamente con la
entidad.

Yo añadiría que si ponemos en nombre del banco en
google, habitualmente nos aparecerán enlaces fiables a
nuestro banco, sin necesidad de sabernos la dirección.

5. No proporcionar información confidencial mediante
correo electrónico, hacerlo sólo en sitios web
seguros.

El usuario final no sabe que es información
confidencial ni "un sitio web seguro", de modo que
este no es un consejo útil. Yo lo cambiaría por "No
dar información personal, especialmente económica, por
correo"

6. Cuando se den datos en una web, el usuario debe
asegurarse de que está en un sitio seguro, verificando
que se utiliza el protocolo https en la barra de
direcciones o que aparece un candado o una llave en el
navegador, así como que la información del certificado
es correcta.

El usuario final puede comprobar que aparece "https"
en la barra, pero no sabe lo que es un protocolo.

7. El usuario debe asegurarse de que el navegador y el
cliente de correo electrónico estén actualizados y con
los parches de seguridad aplicados.

El usuario normalmente no sabe hacer esto.

Saludos
Vicente Aceituno

Para hacer tu ordenador de casa más seguro consulta mi página:
http://seguridaddelainformacion.com/


		
__________________________________ 
Do you Yahoo!? 
Yahoo! Small Business - Try our new resources site!
http://smallbusiness.yahoo.com/resources/

More information about the hacking mailing list