2/9/07

Delíctes informàtics: El Phishing

Des d’aquest blog, la seguretat en el nostre entorn, tracto de donar resposta a tot el que pot ser susceptible de millorar en el que a la nostra seguretat es refereix. El ventall és ampli: la casa, el carrer, el treball, les vacances, la carretera, els nens, els majors, etc.

Avui em vull endinsar en un món en el qual som especialment sensibles, però de vegades confiats: els nostres diners, i especialment els diners electrònics, parlant d’un tema que desgraciadament cada vegada està més al dia:

El Phishing

El podem definir com una veritable obra d’enginyeria social amb una única pretensió, fer que desvetllem les nostres claus bancàries: usuari, password, o qualsevol altra dada que pugui facilitar a aquests lladres de guant electrònic, l’accés al nostre compte, llibreta, o tarja de crèdit.

Com detectar el phishing?

L’essència i el mètode són gairebé sempre els mateixos. Rebem un correu electrònic en el qual ens donaran una sèrie d’arguments enginyosos: Recomanacions per a la nostra seguretat, Detecció de fraus, Problemes tècnics, Canvis en la política de seguretat, etc. Ens demanaran que cliquem en un enllaç el qual ens redirecciona a una pàgina pràcticament idèntica a la de la nostra entitat bancària. Una vegada allà, ens demanaran que emplenem un formulari en el qual, per descomptat si no som cautes, desvetllarem totes les nostres dades privades. En aquest moment hem donat sense saber-ho a aquests “lladregots”, la combinació de la nostra “caixa forta”.

L’atac és com sortir de pesca. Trameten mitjançant un enviament massiu, milers d'emails, amb la intenció o amb l’esperança que algun ingenu “piqui”. Sol ser habitual que es dirigeixin a nosaltres de forma impersonal amb alguna cosa semblant a: Benvolgut Sr. Benvolgut client, aquesta dada ja ens ha de fer desconfiar.

En qualsevol cas hem de sospitar d’un correu d’aquest tipus. En quin cas nostra entitat bancària ens demanarà dades confidencials per a verificar?. Mai!, les tenen totes a les seves bases de dades.

Més enllà, si ens fixem atentament en l’adreça des d’on arriba el correu, veurem que té similituds amb la de la nostra entitat, però amb canvis substancials.

Si l’adreça original és www.mibanco.com, ells utilitzaran deformacions com les següents: www.mivanco.com, www.mi-banco.com, etc.

Normes de seguretat

Per a no caure en cap d’aquests paranys, hem de tenir molt en compte aquestes recomanacions:

No respongui a cap correu electrònic que ens trametin des d’entitats financeres que no siguin la nostra, i en qualsevol cas a cap que ens demani dades confidencials

No atengui cap correu en un idioma que no sigui el seu.

No respongui a ofertes que, d’entrada, semblen desproporcionades.

Si accedeix a la pàgina de la seva entitat bancària, faci-ho des de la barra d’adreces del navegador, no des d’un cercador.

No accedeixi mai a la seva entitat bancària des d’un enllaç. Per a tenir la seguretat de connexió a un servidor segur, comprovi que en la barra d’adreces del seu navegador, que la URL comença per https://

En el cas d’Internet Explorer o de Netscape, apareix, un cadenat que ens indica connexió segura. AL clicar sobre aquest podem obtenir el certificat de connexió a un web segur.

En qualsevol cas davant el dubte, el millor serà sempre cridar a la seva entitat bancària i fer la comprovació pertinent. I si no es tracta d’un dubte sinó d’una realitat, posis en contacte amb el Grup de Delictes Telemàtics de la Guàrdia Civil ells li atendran de forma professional indicant-li les accions que ha de prendre.

2 comentaris:

Albert Serrano García, ha dit...

vaja, jo em pensava que això del phising era anar a pescar... sort tenim de tu JLL.

gràcies pels consells i una abraçada

Josep Lluís Pouy ha dit...

Bon dia Albert,
Veig que a tu també et costa dormir, coses del blogguing.

Una abraçada