Una de les accions més comuns del fishing és l'intent de captura de dades bancàries mitjançant l'enviament massiu i indiscriminat de correus electrònics amb l'excusa que una entitat bancària ha tingut problemes de seguretat, ha actualitzat el programari de banca online, ... Amb un correu amb aparença "d'oficial" de l'entitat bancària, s'insta a l'usuari/client que accedeixi a un web amb una aparença exacta o gairebé exacta al de l'entitat, per tal de tornar a introduir les seves dades d'accés. Evidentment, tractant-se d'un delicte, les dades no s'estan introduint al web de l'entitat bancària sinó al web del delinqüent.
El patró sempre és el mateix: l'enviament de centenars de milers de correus fent-se passar per una entitat que té molts clients/usuaris amb la qual cosa és fàcil que alguns dels destinataris siguin realment usuaris de l'entitat i referint-se a problemes de seguretat que s'han de solucionar el més ràpid possible. Altres intents de fishing són suposats correus de l'Agència Tributària, enviaments de compres online que s'han de pagar, ...
El fishing sol ser fàcil de detectar i la majoria de gent no "cau a la trampa" però com que l'enviament es fa a moltíssims destinataris sempre hi ha algú que es creu l'engany. Per a tal d'evitar el fishing, us donem uns consells per evitar:
- Si no teniu cap relació amb qui us envia el correu (entitat bancària, comerç electrònic, empresa de transports, ...) ja podeu ignorar el correu.
- si heu obert el correu perquè teniu alguna relació amb l'emissor del correu o per curiositat, no feu clic a cap enllaç que contingui el correu. És millor entrar al seu web per mirar si hi ha algun avís de seguretat o relacionat amb el que us demanen al correu; des del web oficial identifiqueu-vos amb les vostres dades per comprovar si teniu algun avís personalitzat.
- Les entitats bancàries no envien correus avisant als seus clients de "problemes de seguretat".
- Mireu l'adreça del remitent. Sol ser d'un domini que o bé no és l'oficial de l'entitat o és d'un domini que no té res a veure.
- Reviseu el text per a detectar incongruències com ara errades ortogràfiques, tractament, construcció de frases, ...
Us posem un exemple d'un correu de fishing:
- Mireu el domini de l'adreça del remitent (@sac.info). No té res a veure amb el "Santander"
- Diverses errades ortogràfiques (subratllades en roig)
- Errades de tractament "... tienes que confirmar sus ..." i de gènere "... la instalación no es realizado ..."
Abans de fer clic a l'enllaç "Aceptar" millor situar el ratolí a sobre per veure on ens portarà. L'adreça és, com a mínim, estranya; no es veu "santander" per enlloc; no hi ha un nom de domini sinó una IP (200.27.79.148), ... A més a més, en aquest cas, al fer clic a "Aceptar" s'obre el navegador i sense mostrar cap web (en altres ocasions s'obre un web "calcat" al del banc) comença la descàrrega d'un programa.
Cal tenir en compte que gairebé tots els programes de correu electrònic, els serveis de correu via web o els programes de seguretat (antivirus, aplicacions "antifishing" específiques, ...) ja incorporen mesures per tal de detectar correus d'aquest tipus.
Davant de qualsevol dubte apliqueu el sentit comú i traslladeu el cas a la vida "de carrer": donaríeu les vostres dades bancàries a una persona que us aturés pel carrer dient que treballa al "banc X" i que us ensenyi una targeta de visita amb el logo del banc, explicant-vos que han tingut un problema de seguretat?
Actualització (7/1/2013)
Un nou correu de fishing que hem rebut, en aquest cas suposadament de La Caixa. L'excusa és un "nou sistema de seguretat" i l'advertència és que si en 48 hores no instal·les "la solució" el compte quedarà suspès temporalment. Es pot veure que l'adreça del remitent és del domini "sac.org" (que no és cap domini de La Caixa). Hi ha algunes errades ortogràfiques (marcades amb fons verd) i errors de forma que igual parlen de tu com de vostè (marcades amb fons groc). L'enllaç per a descarregar "la solució al nou sistema de seguretat" no està al servidor de La Caixa sinó a dropbox.com (!!!).
Actualització (5/10/2012):
Una usuària dels nostres serveis d'allotjament (hosting) ens ha reenviat un correu que havia rebut. Ens l'ha enviat perquè ha detectat alguna cosa estranya al missatge, que li demanava que, com a usuari de "Webmail" enviés les dades del seu correu electrònic. Sense cap mena de dubte, és exemple de fishing amb el mateix patró: adreça del remitent que no té res a veure amb el servei, dirigit a usuaris d'un servei que utilitzen molts usuaris (webmail o correu via web), amb un redactat confús i que demana dades confidencials. Us enganxem el text del correu rebut per la usuària:
Subject: ****Advertencia Final****
Date: Thu, 4 Oct 2012 05:56:18 -0300 (BRT)
From: Webmail Soporte Técnico®
To:
Reply-To: Webmail Soporte Técnico®
Estimado Webmail / usuario de correo electrónico,
Este mensaje es de nuestro centro de mensajes para todos nuestros
suscriptores. Queremos informar a todos ustedes que estamos actualizando nuestra base de datos
centro de datos y e-mail. Por lo tanto, la eliminación de todos los no utilizados / inactivo
cuentas de correo electrónico para crear más espacio para nuevas cuentas.
Para asegurarse de no perder su cuenta durante este período,
debe confirmar que su cuenta sigue activa, respondiendo a este aviso
información de su cuenta a continuación:
1 - usuario (Login ID):
2 - E-mail:
3 - Contraseña:
4 - Teléfono:
NOTA: Esta información nos ayudará también elevó su cuenta a
F-Secure nuestro nuevo HTK4S Anti-virus/Anti-spam 2012 versión y la contraseña será
Las claves de cifrado con RS seguridad de 1024 bits para la contraseña.
La no adherencia a cumplir con esta notificación podrá procesador
Automáticamente su cuenta de correo electrónico de nuestra base de datos desactivado
correo electrónico / servidor.
Disculpen las molestias.
Código de verificación: en: 6524
Correo de Soporte Técnico © 2012
Date: Thu, 4 Oct 2012 05:56:18 -0300 (BRT)
From: Webmail Soporte Técnico®
To:
Reply-To: Webmail Soporte Técnico®
Estimado Webmail / usuario de correo electrónico,
Este mensaje es de nuestro centro de mensajes para todos nuestros
suscriptores. Queremos informar a todos ustedes que estamos actualizando nuestra base de datos
centro de datos y e-mail. Por lo tanto, la eliminación de todos los no utilizados / inactivo
cuentas de correo electrónico para crear más espacio para nuevas cuentas.
Para asegurarse de no perder su cuenta durante este período,
debe confirmar que su cuenta sigue activa, respondiendo a este aviso
información de su cuenta a continuación:
1 - usuario (Login ID):
2 - E-mail:
3 - Contraseña:
4 - Teléfono:
NOTA: Esta información nos ayudará también elevó su cuenta a
F-Secure nuestro nuevo HTK4S Anti-virus/Anti-spam 2012 versión y la contraseña será
Las claves de cifrado con RS seguridad de 1024 bits para la contraseña.
La no adherencia a cumplir con esta notificación podrá procesador
Automáticamente su cuenta de correo electrónico de nuestra base de datos desactivado
correo electrónico / servidor.
Disculpen las molestias.
Código de verificación: en: 6524
Correo de Soporte Técnico © 2012
