[HACK] Re: phishing (merce)
fernand0 at hotpop.com
fernand0 at hotpop.com
Tue Apr 12 17:07:48 CEST 2005
Hola,
hombre, yo aún haría alguna puntualización:
On Sat, 9 Apr 2005, Vicente Aceituno wrote:
> 2. Confiar sólo en correos firmados digitalmente y
> cuyo
> certificado sea verificado.
>
> El usuario final normalmente no usa correo cifrado, ni
> sabe verificar certificados. Este consejo es inútil.
>
> 3. Los mensajes usados en ataques de "phishing" no
> suelen estar personalizados, mientras que los correos
> enviados por entidades reales sí lo son.
>
> Yo añadiría que los mensajes enviados por entidades
> reales no tienen faltas de ortografía, mientras que
> los de phising si las suelen tener.
Bueno, en la línea del anterior, no se hasta que punto se puede confiar
en la habilidad de los usuarios para cazar faltas de ortografía. Por
otra parte, la personalización o no creo que no es la clave, sino que
las entidades no se ponen (o no deberían; o si lo hacen debería estar
muy claro el 'protocolo') en contacto con sus clientes así.
> 4. No seguir los enlaces que proporciona un correo
> electrónico sinó teclear la dirección manualmente o
> incluso ponerse en contacto telefónicamente con la
> entidad.
>
> Yo añadiría que si ponemos en nombre del banco en
> google, habitualmente nos aparecerán enlaces fiables a
> nuestro banco, sin necesidad de sabernos la dirección.
O los favoritos, si uno opera con su banco la idea supongo que sería que
haga las cosas 'siempre igual', sin cambiar la forma de acceder al
sitio porque alguien le mande un mensaje.
Saludos,
--
Fernando Tricas
More information about the hacking
mailing list