Compte amb el fishing (captura de dades confidencials)

El fishing és un tipus de delicte informàtic que consisteix en la captura de dades confidencials de forma fraudulenta.

Una de les accions més comuns del fishing és l'intent de captura de dades bancàries mitjançant l'enviament massiu i indiscriminat de correus electrònics amb l'excusa que una entitat bancària ha tingut problemes de seguretat, ha actualitzat el programari de banca online, ... Amb un correu amb aparença "d'oficial" de l'entitat bancària, s'insta a l'usuari/client que accedeixi a un web amb una aparença exacta o gairebé exacta al de l'entitat, per tal de tornar a introduir les seves dades d'accés. Evidentment, tractant-se d'un delicte, les dades no s'estan introduint al web de l'entitat bancària sinó al web del delinqüent.

El patró sempre és el mateix: l'enviament de centenars de milers de correus fent-se passar per una entitat que té molts clients/usuaris amb la qual cosa és fàcil que alguns dels destinataris siguin realment usuaris de l'entitat i referint-se a problemes de seguretat que s'han de solucionar el més ràpid possible. Altres intents de fishing són suposats correus de l'Agència Tributària, enviaments de compres online que s'han de pagar, ...

El fishing sol ser fàcil de detectar i la majoria de gent no "cau a la trampa" però com que l'enviament es fa a moltíssims destinataris sempre hi ha algú que es creu l'engany. Per a tal d'evitar el fishing, us donem uns consells per evitar:

• Si no teniu cap relació amb qui us envia el correu (entitat bancària, comerç electrònic, empresa de transports, ...) ja podeu ignorar el correu.
• si heu obert el correu perquè teniu alguna relació amb l'emissor del correu o per curiositat, no feu clic a cap enllaç que contingui el correu. És millor entrar al seu web per mirar si hi ha algun avís de seguretat o relacionat amb el que us demanen al correu; des del web oficial identifiqueu-vos amb les vostres dades per comprovar si teniu algun avís personalitzat.
• Les entitats bancàries no envien correus avisant als seus clients de "problemes de seguretat".
• Mireu l'adreça del remitent. Sol ser d'un domini que o bé no és l'oficial de l'entitat o és d'un domini que no té res a veure.
• Reviseu el text per a detectar incongruències com ara errades ortogràfiques, tractament, construcció de frases, ...

Us posem un exemple d'un correu de fishing:

• Mireu el domini de l'adreça del remitent (@sac.info). No té res a veure amb el "Santander"
• Diverses errades ortogràfiques (subratllades en roig)
• Errades de tractament "... tienes que confirmar sus ..." i de gènere "... la instalación no es realizado ..."

Abans de fer clic a l'enllaç "Aceptar" millor situar el ratolí a sobre per veure on ens portarà. L'adreça és, com a mínim, estranya; no es veu "santander" per enlloc; no hi ha un nom de domini sinó una IP (200.27.79.148), ... A més a més, en aquest cas, al fer clic a "Aceptar" s'obre el navegador i sense mostrar cap web (en altres ocasions s'obre un web "calcat" al del banc) comença la descàrrega d'un programa.

Cal tenir en compte que gairebé tots els programes de correu electrònic, els serveis de correu via web o els programes de seguretat (antivirus, aplicacions "antifishing" específiques, ...) ja incorporen mesures per tal de detectar correus d'aquest tipus.

Davant de qualsevol dubte apliqueu el sentit comú i traslladeu el cas a la vida "de carrer": donaríeu les vostres dades bancàries a una persona que us aturés pel carrer dient que treballa al "banc X" i que us ensenyi una targeta de visita amb el logo del banc, explicant-vos que han tingut un problema de seguretat?

Actualització (7/1/2013)
Un nou correu de fishing que hem rebut, en aquest cas suposadament de La Caixa. L'excusa és un "nou sistema de seguretat" i l'advertència és que si en 48 hores no instal·les "la solució" el compte quedarà suspès temporalment. Es pot veure que l'adreça del remitent és del domini "sac.org" (que no és cap domini de La Caixa). Hi ha algunes errades ortogràfiques (marcades amb fons verd) i errors de forma que igual parlen de tu com de vostè (marcades amb fons groc). L'enllaç per a descarregar "la solució al nou sistema de seguretat" no està al servidor de La Caixa sinó a dropbox.com (!!!).

Actualització (5/10/2012):
Una usuària dels nostres serveis d'allotjament (hosting) ens ha reenviat un correu que havia rebut. Ens l'ha enviat perquè ha detectat alguna cosa estranya al missatge, que li demanava que, com a usuari de "Webmail" enviés les dades del seu correu electrònic. Sense cap mena de dubte, és exemple de fishing amb el mateix patró: adreça del remitent que no té res a veure amb el servei, dirigit a usuaris d'un servei que utilitzen molts usuaris (webmail o correu via web), amb un redactat confús i que demana dades confidencials. Us enganxem el text del correu rebut per la usuària:

Subject: ****Advertencia Final**** 
Date: Thu, 4 Oct 2012 05:56:18 -0300 (BRT) 
From: Webmail Soporte Técnico®  
To:   
Reply-To: Webmail Soporte Técnico®  

Estimado Webmail / usuario de correo electrónico,

Este mensaje es de nuestro centro de mensajes para todos nuestros
suscriptores. Queremos informar a todos ustedes que estamos actualizando nuestra base de datos
centro de datos y e-mail. Por lo tanto, la eliminación de todos los no utilizados / inactivo
cuentas de correo electrónico para crear más espacio para nuevas cuentas.

Para asegurarse de no perder su cuenta durante este período,
debe confirmar que su cuenta sigue activa, respondiendo a este aviso
información de su cuenta a continuación:

1 - usuario (Login ID):
2 - E-mail:
3 - Contraseña:
4 - Teléfono:

NOTA: Esta información nos ayudará también elevó su cuenta a
F-Secure nuestro nuevo HTK4S Anti-virus/Anti-spam 2012 versión y la contraseña será
Las claves de cifrado con RS seguridad de 1024 bits para la contraseña.
La no adherencia a cumplir con esta notificación podrá procesador
Automáticamente su cuenta de correo electrónico de nuestra base de datos desactivado
correo electrónico / servidor.

Disculpen las molestias.
Código de verificación: en: 6524
Correo de Soporte Técnico © 2012

Els codi QR arriben als cementiris

La Vanguardia publica en un article que una empresa de venda on-line d'articles i serveis funeraris, ofereix un servei innovador per recordar als difunts. Aquesta empresa ha tingut la idea d'incloure codis QR a les làpides per a que els usuaris (evidentment amb smartphones que incorporin aquesta aplicació), puguin recordar a la persona morta amb un recull d'imatges, vídeos o la seva música preferida. 

Els codis QR són un sistema que emmagatzema informació en una matriu de punts o un codi de barres bidimensional. Per llegir aquesta informació encriptada es necessita un dispositiu digital de captura d'imatges (la càmera de fotos d'un mòbil, tauleta, etc.) i un programari lector de qr-codis. Els QR permeten emmagatzemar molta informació que després és descodificada a alta velocitat i el seu ús s'ha extés principalment per incloure publicitat, descomptes, ofertes, informació turística i cultural, etc. L'empresa de serveis funeraris, Memorial Spain, que ha endegat aquesta inciativa, explica que imprimeix el codi QR en una peça de ceràmica que es coloca a la làpida. Enlloc de gravar una simple inscripció o imatge, amb el codi QR diuen, es podrà personalitzar molt més el record de la persona estimada. A partir del material audiovisual proporcionat del difunt, l'empresa Memorial Spain l'edita d'acord amb les indicacions dels seus familiars i amics. 

Si voleu saber més sobre els codi QR: http://ca.wikipedia.org/wiki/Codi_QR

Microsoft admet un error de seguretat en el seu navegador Internet Explorer

Microsoft ha advertit als usuaris sobre un error de programari que divendres passat es va descobrir en el seu navegador web Internet Explorer (en les versions 7, 8 i 9), que fa que els ordinadors siguin vulnerables als atacs dels hackers. 

Microsoft ha assegurat que els atacants poden aprofitar l’error per infectar el PC d'algú que visita un lloc web maliciós i després agafar-ne el control de l'ordinador de la víctima. El fabricant de programari ha recomanat als seus clients a que instal·lin una eina de seguretat com a mesura provisional.

Microsoft està intentant corregir l'error i llançar una versió nova i més segura d'Internet Explorer. La companyia no ha assegurat quant temps els portarà, però diversos investigadors de seguretat van afirmar que esperen que l'actualització es llanci aquí a una setmana. 

L'eina de seguretat gratuïta, que es coneix com el conjunt d'eines Enhanced Mitigation Experience Toolkit (Emet) està disponible a través del lloc web de Microsoft. Sobre aquesta eina, els experts en seguretat han afirmat que el programari de seguretat en alguns casos ha demostrat ser incompatible amb els programes existents que ja s'estan executant en les xarxes. L'equip de Microsoft no ha fet comentaris sobre aquesta afirmació.

Per altra part, els experts aconsellen als usuaris de Windows canviar temporalment Internet Explorer per altres navegadors rivals com Chrome, Mozilla Firefox o Opera. 

El llibre blanc del comerç electrònic

L'Asociación Española de la Economia Digital (adigital.org) ha presentat la segona edició del "Libro blanco del comercio electrónico". Aquest llibre aborda temes tan importants per a la venda online com la posada en marxa d'un comerç electrònic, màrqueting, formes de pagament, logística, comerç mòbil, aspectes legals i la seguretat per al consumidor.

Descàrrega: Libro blanco del comercio electrónico (arxiu RAR de 5MB que contè el PDF del llibre)

IFTTT: programar accions quan passi alguna cosa

La idea de IFTTT (if this then that) és força senzilla: fer alguna acció qua passi alguna cosa.

És un servei web en el que es pot programar que es faci alguna acció (enviar un correu, rebre un SMS, pubicar un tuit, crer una nota, etc. etc.) quan passi alguna cosa (publiquis al teu facebook, s'actualitzi el teu dropbox, canviï el temps a una població, etc. etc.)

El servei actua sobre diversos serveis web i xarxes socials (facebook, twitter, gmail, tumblr, instagram, evernote, linkedin, ...)

El funcionament és força senzill (de moment només està en anglès). Per a actuar sobre alguns serveis cal autoritzar l'accés de IFTTT.

Exemples:
Si passa alguna cosa al dropbox, fes alguna cosa a evernote
Si canvia el temps, envia un correu
Si passa alguna cosa a facebook, envia un correu

Un supermercat "virtual-presencial"

Sorli Discau obre un supermercat "virtual-presencial" a l'estació de Sarrià (Barcelona) en el que només hi ha imatges dels productes que inclouen un codi QR. Els clients trien els productes llegint el QR amb el seu telèfon intel.ligent i quan tenen el cistell ple envien la comanda que rebran a casa.

Una mescla entre comerç electrònic i supermercat tradicional, funcionarà?

La previsió de l'empresa ès que rendeixi com un establiment petit i mitjà.

[+] més info

Urbicar.com : lloguer de vehicles online

Des d´InsertNet hem desenvolupat urbicar.com a mig camí entre web i comerç electrònic, buscant la màxima senzillesa i facilitat per a l´usuari,  que permet localitzar vehicles de diferents aparcaments per diferents vies: buscador per paràmetres població i tipus de vehicle, mapa (visualment o indicant la població) o per les ofertes actuals.

En el moment de la posada en marxa de urbicar.com hi ha més de 200 aparcaments disponibles, amb més de 20 tipus de vehicles diferents que els usuaris poden triar indicant els dies en que es vol disposar del vehicle. El pagament de la finança de la reserva es fa mitjançant PayPal.

Per tal de gestionar el web hem desenvolupat un gestor de continguts amb diferents nivells d´accés: administrador d´urbicar.com, empreses de lloguer i aparcaments. Des de les diferents opcions disponibles segons el tipus d´usuari, es pot gestionar des de les pàgines informatives (condicions generals, funcionament, ...), empreses, aparcaments (dades, ubicació al mapa, dades de contacte, ...), tarifes, condicions específiques de cada empresa, ...


Realització: maig - juny 2012