28 de març 2007

Un kit de «phishing», en «cibervenda»

Per ;) Lapil

Qui no ha rebut alguna vegada un correu d’algun Banc o Banca d’internet on li demanava que li confirmés les contrasenyes i dades del client?

Bé ja fa molt de temps que ens estan avisant d’aquesta estafa on line, li diuen phishing: En informàtica, la pesca electrònica (o phishing en anglès) és un frau que es fa amb un correu electrònic o missatgeria instantània amb el que es demanen dades sobre les targetes de crèdit, claus bancàries, o altres tipus d'informació. Els missatges empren tot tipus d'arguments relacionats amb la seguretat de l'entitat per justificar la necessitat de introduir les dades d'accés (http://ca.wikipedia.org/wiki/Pesca_electr%C3%B2nica), però encara hi ha algú que hi pica, segons els recents informes publicats...

D’altres definicions rel·lacionades amb phishing

Pharming: Quan teclegem la direccióadreça Web del banc en realitat estarem entrant a la pàgina específicament confeccionada per ells. És un sistema molt més perillós que el phishing ja que per molts coneixements que tinguem ens serà impossible saber si es tracta de la pàgina web real o la d'un estafador. Seria l'equivalent al món no virtual a canviar un caixer per un altre de mentida, pràctica que ja es va dur a terme per algunes màfies per obtenir el xifrat de targetes de crèdit amb les contrasenyes corresponents de l'usuari... aquesta vegada adaptat a Internet.

LSP i BHO: Aquestes tecnologies que estaven sent fins ara molt utilitzades pels creadors de spyware (programes maliciosos que mostren publicitat no desitjada), estan començant a ser utilitzades pels ciberlladres. Poden modificar tot el que veiem al navegador (fins i tot encara que es tracti de pàgines aparentment segures) i capturar tot allò que es teclegi o es clique (per exemple els codis d'accés a banc, incloent aquells que usen teclats embeguts en la pàgina).

Rastrejadors de teclat: La màfia agafa el relleu als amants gelosos (fins ara els usuaris mes avesats d'aquests programes) i com a qui retoca un cotxe per convertir-lo en un aparent model tuneado han aconseguit fer d'aquesta tecnologia un valuós aliat de les seves malifetes. Capturant fragments de pantalla específics quan es clica a les pàgines web dels bancs, així com registrant exhaustivament tot el que l'usuari tecleja el seu ordinador.

Per si els famosos spyware no ens estiguessin donant ja suficients maldecaps, ara la seva tecnologia es posa del costat dels estafadors.

El més molestós és que a sobre tenen faltes d’ortografia, i la traducció no està ben feta com veureu en les imatges dels mails que he rebut...

I sabíeu que hi ha una adreça: http://www.nomasfraude.com/spain/ on es pot denunciar aquests tipus d’estafes?



Nota informativa de AEAT:

La Agencia Tributaria advierte de un intento de Phishing:
**************************************************
30-enero-2007.
La Agencia Tributaria

La Agencia Tributaria advierte de que se ha producido un intento de Phishing suplantando a la AEAT con el fin de pedir los datos de las tarjetas de crédito de algunos contribuyentes.

El sistema consiste en que envían un e-mail con el logotipo de la AEAT donde se le comunica al destinatario que tiene una devolución tributaria pendiente y le redireccionan a una página web que imita a la de la Agencia Tributaria. En esa página simulada aparece un formulario para rellenar, donde se le piden los datos de la tarjeta de crédito.

La Agencia Tributaria quiere avisar a todos los contribuyentes de las siguientes cuestiones:

1. La Agencia Tributaria nunca envía un e-mail para pedir datos de los contribuyentes.

2. La Agencia Tributaria nunca paga devoluciones con abono a tarjetas de crédito.

3. El dominio que figura en esa página web no es el de la Agencia Tributaria, ya que el que aparece en la página simulada es www.aeats.eu y los dominios reales de la Agencia Tributaria son: www.aeat.es , www.agenciatributaria.es y www.agenciatributaria.com

La Agencia Tributaria estudia adoptar las medidas legales oportunas.

***************************************************
Espanya és el tercer país més afectat pel «phishing» (consisteix a robar informació personal o financera a l’internauta per a després estafar-li), rebem el 5-6 per cent dels atacs mundials. Però, així com a el Regne Unit un informe publicat estima que el 12 per cent dels internautes ha estat víctima d’algun frau on-line (cadascun ha perdut una mitjana de 1.300 euros), a Espanya és difícil calcular perquè no es denuncia.
I aquest és precisament el primer consell de la campanya «Deu dies contra el frau on-line», que va comencar ahir. Ja sigui phishing, en una compra per internet o qualsevol altra estafa en el ciberespai, el primer que l’usuari ha de fer és denunciar-ho a les autoritats. El lloc està dirigit tant a usuaris com a bancs. Entre altres recomanacions, els especialistes informen que les entitats financeres mai demanen informació personal a través del correu electrònic. Per això cal desconfiar sempre d’aquest tipus de missatges i mai respondre’ls.
El frau per internet s’ha incrementat de manera dràstica perquè la inversió per als estafadors és mínima i és un mètode ràpid, subratlla Fidel Pérez, director de Seguretat de EMC, promotora de la campanya. Phishing, pharming, keyloggers, vishing... són totes pràctiques relacionades amb un mateix delicte, el robatori d’identitat. Totes tenen com objectiu obtenir dades personals per a defraudar diners.

Un kit per a estafadors
La facilitat per a convertir-se en un ciberestafador és tal que fins as ven en internet un kit universal per a realitzar atacs de phishing a mesura. Això suposa no haver de crear un nou cada vegada que es vulgui llançar un atac, assenyala. El procediment consisteix a crear, amb el kit, una web falsa amb una interface simple i fàcil d’usar. Aquesta pàgina es comunica en temps real amb l’autèntica, per exemple la d’un banc. La víctima rep un e-mail de phishing estàndard i quan punxa li duu a la web fraudulenta. L’internauta interactua amb el contingut de la web real, que ha estat importada en l’atac a la pàgina falsa. El ciberdelinqüent accedeix immediatament i sense ser detectat a totes les dades personals de la víctima.
Si la informació de la web de la campanya no és suficient per al seu problema, hi ha un servei en el qual experts en seguretat resoldran els seus dubtes on-line. La iniciativa conta amb el suport del Grup de Delictes Telemàtics de la Guàrdia Civil, la Brigada d’Investigació Tecnològica del Cos Nacional de Policia i l’Associació d’Usuaris d’Internet.

http://www.abc.es/20070327/tecnologia-internet/phishing-ciberventa_200703270317.html

El Bloc de la Mediterrània

Estadisticas Gratis