sábado, 10 de noviembre de 2007

Phishing

Hace un tiempo leía en Forobet la historia de un timo realizado a un usuario que se quejaba de que le habían entrado en la cuenta y substraido cierta cantidad de dinero que fue "blanqueada" por medio de una cuenta de póquer. Cuando estas cosas suceden la realidad es que la única posibilidad es acudir a la justicia ordinaria, sin muchas posibilidades de recuperar nuestro dinero. ¿Es el riesgo de phishing suficientemente grande como para dejar de utilizar los monederos electrónicos? No. Sería lo mismo que si decidiesemos abandonar las tarjetas de crédito porque la banda magnética es susceptible de ser duplicada o porque cualquier caco nos puede pegar el palo por la noche.

Lo que debemos hacer es tomar nuestras precauciones y saber el "modus operandi" de estos delitos. En este caso, en un 99% de los casos, nos encontramos ante phishing. Esta palabra procede de fish (pescado), y en este caso los pescaditos son las personas, no las sardinas. El modelo más extendido de timo en la actualidad en la web es intentar que entremos en páginas "espejo" de los sitios reales, que actúan como tapadera, y en los que introducimos nuestros datos "sensibles" (passwords, nombre y apellidos, fecha de nacimiento, etc), que pasan a manos ajenas, terceros, donde son susceptibles de ser utilizados maliciosamente.

Algunos ejemplos de este tipo de correos son estos:


(estracto de correo que suplanta a Moneybookers)


(extracto de correo suplantando a Paypal).

Como se aprecia, en ambos casos se imita el formato de las compañías (colores, tipo de letra, logos) y, paradójicamente, para que el receptor baje la guardia, se recomienda no ceder a terceros los datos reales y extremar las precauciones. Pasa como en la vida: las personas más bondadosas en apariencia son las más dañinas potencialmente, gracias al efecto sorpresa.

Posiblemente a los lectores se les ocurran más recomendaciones, pero ahí van algunas cuentas que son cosecha propia.

  • La obvia. No cedas tu contraseña a los amiguetes. (Situación típica: "Oye colega, acaba el torneo de póquer por mí que me tengo que ir a currar"). Esto incluye los programas para saber SI TE TIENEN COMO NO ADMITIDO EN EL MESSENGER (como quienteadmite y similares).
  • Utiliza contraseñas seguras, que mezclen letras, números y mayúsculas, a se posble con un mínimo de 6-8 caracteres. Esto dificulta el hackeo con programas de algoritmos para reventar contraseñas, al menos lo ralentiza.
  • No uses la misma contraseña, ni el mismo nombre de usuario para cada sitio de apuestas o banco. Y desde luego, que ese nick no coincida con el que uses en los foros de apuestas, que es algo público por el que te pueden identificar fácilmente.
  • No uses "recordar clave" de tu navegador para los passwords de los monederos y bookies.
  • No vayas por ahí colgando datos reales, como la fecha de nacimiento, en ningún sitio que no sea una compañía con la que vas a tener transacciones económicas. Es bonito que te feliciten en el foro por tu cumpleaños, pero también lo es tener un gato en casa y yo no tengo.
  • Crea al menos 2 cuentas de correo electrónico. Una para los amiguetes y la basura y otra para los sitios oficiales. Asegurate de no ir dando la dirección de la segunda por ahí.
  • Usa un antivirus y un firewall actualizado, pero ten cuidado con los programas específicos de antispyware. Algunos son spyware en sí mismo. Por tanto, no te bajes cualquier cosa.
  • El monedero electrónico con una mayor seguridad es Neteller. De hecho hasta ahora no he tenido noticia de un intento de phishing exitoso sobre esta empresa. En cierta ocasión, cuando cambié mi proveedor de ADSL a Telefónica, Neteller bloqueó temporalmente mi cuenta, como medida de precaución temporal, al detectar que estaba accediendo desde un lugar diferente al habitual y me obligaron a llamar a su número gratuito para confirmar que todo andaba bien.
  • De los navegadores, Firefox es el más recomendable para evitar el phishing. En vez de perder el tiempo con mensajes absurdos sobre la caducidad de los "sitios fiables" (que Bwin no ha actualizado, manda huevos...), si entramos en una página de probable phishing nos advertirá con un mensaje como este:

Para más información sobre el phishing o información para cómo actuar si habeis sido estafados, visitar estas páginas:

http://es.wikipedia.org/wiki/Phishing
http://seguridad.internautas.org
http://www.identidadrobada.com/site/index.php

2 comentarios:

Anónimo dijo...

Hola Anja.

Desafortunadamente yo si conozco unos cuantos casos de robo por Neteller, pero ha sido m�s com�n entre jugadores de Poker, donde Neteller estaba (ahora no se) mucho mas extendido que Moneybookers.

Si es m�s seguro contra el fraude, no tengo estad�sticas a mano. Y en cuanto a su salud financiera, Neteller tuvo problemas grav�simos tras la aprobaci�n de la UIGEA (Unlawful Internet Gambling Enforcement Act), congelando durante meses fondos de sus clientes norteamericanos. Adem�s Neteller est� registrado en la Isla de Man, por lo que tu dinero tendr�a en principio m�s riesgo que en Moneybookers (regulado por la FSA)... claro que en MB afirman que solo responden hasta por 1000�

Anja Ander: anjaander@gmail.com dijo...

Gracias por el matiz. Yo no decía que hubiesen existido casos de fraude ahí, pero dada mi experiencia personal, mi sensación es que estaban más "alerta" (bastante más). Te hablo de hace unos 8-9 meses. Tal vez antes estaban menos preparados contra el psishing, qué se yo. Yo tampoco tengo estadísticas en la mano.

Lo de la Isla de Man es un punto interesante. También lo es lo de los 1000€ de Moneybookers. La verdad es que es muy poco dinero esto. Es España, el acuerdo que tienen los bancos diría que te reintegran del orden de 1 kilo si tu banco peta.

Y lo de los problemas de Neteller con USA, ya lo explique en un post anterior aquí. Fue un tema político, no financiero. El Estado USA asaltó Neteller para apropiarse de los datos confidenciales de sus clientes. Esta es mi opinión al menos. Los organismos que haya usado me son indiferentes. USA puede usar hasta a la OTAN como justificación, así que qué no hará con el UIGEA.

Muchas gracias por tu aportación de todas formas.

Publicar un comentario