com detectar el fishing i consells senzills per a evitar-lo

És conegut que el fishing és una pràctica delictiva cada vegada més estesa a Internet. Els delinqüents envien correus fent-se passar per organitzacions importants amb molts clients a nivell mundial per tal d'assegurar que un nombre molt elevat de persones sigui usuari del servei en qüestió. Exemples clars són entitats bancàries, empreses de transport, serveis de pagament, serveis de correu electrònic, ...

La manera d'operar és molt senzilla: envien correus de forma massiva fent-se passar per una organització determinada dient a l'usuari que per algun motiu (normalment per temes de seguretat) el servei s'ha suspès fins que no s'indentifiqui. El "truc" està en crear un correu electrònic amb una aparença "oficial" i en enviar a l'usuari a un web que és una còpia exacta de l'original. Si l'usuari cau en la trampa indicarà les seves dades d'accés (usuari i contrasenya) pensant-se que està reactivant el seu compte d'usuari amb el servei però en realitat el que estarà fent serà facilitar-li les dades al delinqüent que, a partir d'aquell moment, podrà accedir fent-se passar per l'usuari a qui ha enganyat. Si l'usuari no adverteix l'estafa es pensarà que tot ha anat correctament i el servei s'ha reactivat, entrarà s'identificarà i tot anirà bé (de fet mai ha deixat de funcionar) i, mentre el delinqüent podrà fer-se passar tranquil·lament per l'usuari.

Un exemple que ens ha arribat per correu electrònic: Un missatge presumptament enviat per PayPal dient-nos què hem de fer per a recuperar l'accès al nostre compte d'usuari. Com en tots els casos de fishing si s'està atent al correu rebut es detecten algunes coses que el delaten. En aquest cas el correu no ve del domini de PayPal (paypal.com) sinó d'un molt paregut (pay-pal.com). L'enllaç al que ens remet el correu per a "recuperar" el compte ens porta a un web que no està al domini de paypal.com sinó a updateaccount.org.

Quan hem intentat accedir a l'enllaç els navegadors firefox i chrome ens han alertat:

avís de Firefox sobre el fishing

avís de Chrome sobre el fishing (pesca)

Tot i les advertències dels navegadors hem accedit igualment i ens hem trobat amb un web que és una còpia gairebé exacta de l'original:

Consell: Davant de qualsevol petició de dades d'accès a un servei en lloc d'anar a l'enllaç que hi hagi al correu rebut, entreu al servei de manera manual des del vostre navegador identifiqueu-vos i comproveu que tot està correcte. Si heu caigut "a la trampa" i us adoneu abans no sigui tard entreu manualment al servei, identifiqueu-vos i canvieu la contrasenya.

Compte amb el fishing (captura de dades confidencials)

El fishing és un tipus de delicte informàtic que consisteix en la captura de dades confidencials de forma fraudulenta.

Una de les accions més comuns del fishing és l'intent de captura de dades bancàries mitjançant l'enviament massiu i indiscriminat de correus electrònics amb l'excusa que una entitat bancària ha tingut problemes de seguretat, ha actualitzat el programari de banca online, ... Amb un correu amb aparença "d'oficial" de l'entitat bancària, s'insta a l'usuari/client que accedeixi a un web amb una aparença exacta o gairebé exacta al de l'entitat, per tal de tornar a introduir les seves dades d'accés. Evidentment, tractant-se d'un delicte, les dades no s'estan introduint al web de l'entitat bancària sinó al web del delinqüent.

El patró sempre és el mateix: l'enviament de centenars de milers de correus fent-se passar per una entitat que té molts clients/usuaris amb la qual cosa és fàcil que alguns dels destinataris siguin realment usuaris de l'entitat i referint-se a problemes de seguretat que s'han de solucionar el més ràpid possible. Altres intents de fishing són suposats correus de l'Agència Tributària, enviaments de compres online que s'han de pagar, ...

El fishing sol ser fàcil de detectar i la majoria de gent no "cau a la trampa" però com que l'enviament es fa a moltíssims destinataris sempre hi ha algú que es creu l'engany. Per a tal d'evitar el fishing, us donem uns consells per evitar:

• Si no teniu cap relació amb qui us envia el correu (entitat bancària, comerç electrònic, empresa de transports, ...) ja podeu ignorar el correu.
• si heu obert el correu perquè teniu alguna relació amb l'emissor del correu o per curiositat, no feu clic a cap enllaç que contingui el correu. És millor entrar al seu web per mirar si hi ha algun avís de seguretat o relacionat amb el que us demanen al correu; des del web oficial identifiqueu-vos amb les vostres dades per comprovar si teniu algun avís personalitzat.
• Les entitats bancàries no envien correus avisant als seus clients de "problemes de seguretat".
• Mireu l'adreça del remitent. Sol ser d'un domini que o bé no és l'oficial de l'entitat o és d'un domini que no té res a veure.
• Reviseu el text per a detectar incongruències com ara errades ortogràfiques, tractament, construcció de frases, ...

Us posem un exemple d'un correu de fishing:

• Mireu el domini de l'adreça del remitent (@sac.info). No té res a veure amb el "Santander"
• Diverses errades ortogràfiques (subratllades en roig)
• Errades de tractament "... tienes que confirmar sus ..." i de gènere "... la instalación no es realizado ..."

Abans de fer clic a l'enllaç "Aceptar" millor situar el ratolí a sobre per veure on ens portarà. L'adreça és, com a mínim, estranya; no es veu "santander" per enlloc; no hi ha un nom de domini sinó una IP (200.27.79.148), ... A més a més, en aquest cas, al fer clic a "Aceptar" s'obre el navegador i sense mostrar cap web (en altres ocasions s'obre un web "calcat" al del banc) comença la descàrrega d'un programa.

Cal tenir en compte que gairebé tots els programes de correu electrònic, els serveis de correu via web o els programes de seguretat (antivirus, aplicacions "antifishing" específiques, ...) ja incorporen mesures per tal de detectar correus d'aquest tipus.

Davant de qualsevol dubte apliqueu el sentit comú i traslladeu el cas a la vida "de carrer": donaríeu les vostres dades bancàries a una persona que us aturés pel carrer dient que treballa al "banc X" i que us ensenyi una targeta de visita amb el logo del banc, explicant-vos que han tingut un problema de seguretat?

Actualització (7/1/2013)
Un nou correu de fishing que hem rebut, en aquest cas suposadament de La Caixa. L'excusa és un "nou sistema de seguretat" i l'advertència és que si en 48 hores no instal·les "la solució" el compte quedarà suspès temporalment. Es pot veure que l'adreça del remitent és del domini "sac.org" (que no és cap domini de La Caixa). Hi ha algunes errades ortogràfiques (marcades amb fons verd) i errors de forma que igual parlen de tu com de vostè (marcades amb fons groc). L'enllaç per a descarregar "la solució al nou sistema de seguretat" no està al servidor de La Caixa sinó a dropbox.com (!!!).

Actualització (5/10/2012):
Una usuària dels nostres serveis d'allotjament (hosting) ens ha reenviat un correu que havia rebut. Ens l'ha enviat perquè ha detectat alguna cosa estranya al missatge, que li demanava que, com a usuari de "Webmail" enviés les dades del seu correu electrònic. Sense cap mena de dubte, és exemple de fishing amb el mateix patró: adreça del remitent que no té res a veure amb el servei, dirigit a usuaris d'un servei que utilitzen molts usuaris (webmail o correu via web), amb un redactat confús i que demana dades confidencials. Us enganxem el text del correu rebut per la usuària:

Subject: ****Advertencia Final**** 
Date: Thu, 4 Oct 2012 05:56:18 -0300 (BRT) 
From: Webmail Soporte Técnico®  
To:   
Reply-To: Webmail Soporte Técnico®  

Estimado Webmail / usuario de correo electrónico,

Este mensaje es de nuestro centro de mensajes para todos nuestros
suscriptores. Queremos informar a todos ustedes que estamos actualizando nuestra base de datos
centro de datos y e-mail. Por lo tanto, la eliminación de todos los no utilizados / inactivo
cuentas de correo electrónico para crear más espacio para nuevas cuentas.

Para asegurarse de no perder su cuenta durante este período,
debe confirmar que su cuenta sigue activa, respondiendo a este aviso
información de su cuenta a continuación:

1 - usuario (Login ID):
2 - E-mail:
3 - Contraseña:
4 - Teléfono:

NOTA: Esta información nos ayudará también elevó su cuenta a
F-Secure nuestro nuevo HTK4S Anti-virus/Anti-spam 2012 versión y la contraseña será
Las claves de cifrado con RS seguridad de 1024 bits para la contraseña.
La no adherencia a cumplir con esta notificación podrá procesador
Automáticamente su cuenta de correo electrónico de nuestra base de datos desactivado
correo electrónico / servidor.

Disculpen las molestias.
Código de verificación: en: 6524
Correo de Soporte Técnico © 2012

Com actuar davant una suplantació d'identitat a Internet?

acudit gràfic de Daniel Paz

Extret i traduït del post "Robo de identidad en redes sociales, ¿qué hacer?" via bitelia.com

Com actuar davant una suplantació d'identitat?

Si hem estat víctima d'un robatori d'identitat o sospitem que alguna cosa no funciona correctament hem d'actuar ràpidament però sense perdre la calma.

Si encara tenim accés al servei, és el moment de canviar la contrasenya tenint en compte que no tingui un patró semblant, no contingui caràcters significatius (cognoms, noms, poblacions, dates de naixement, ...). Aquest seria el cas més favorable perquè el problema s'acaba amb el restabliment de la contrasenya i "netejant" allò que no hàgim publicat nosaltres.

En el pitjor dels casos podem estar sense accés la nostre compte d'accés al servei en qüestió. Si es dóna aquest cas cal actuar per dos fronts: recuperar el control del compte i posar-ho en coneixement de les autoritats i del responsable del servei. 

Per a poder recuperar el control del compte, pràcticament tots els serveis tenen publicat el procediment que indica com contactar amb els responsables per tal d'informar de la pèrdua del control del nostre compte, sol·licitar la suspensió temporal de l'activitat o tornar a recuperar  el control:

• Centre d'ajuda de Twitter
• Comptes de Facebook compromesos y Què fer si el teu compte de Facebook està vigilat per una altra persona
• Ajuda en comptes de Google
• Restaurar contrasenya a Hotmail
• Comptes de Yahoo! compromeses
• Accés fraudulent a un compte de Tuenti

A més a més, per tal d'evitar que se'ns faci responsables d'allò que altres facin o publiquin sota el nostre perfil (denúncies de tercers, inclusió en llistes negres, ...), hem d'informar de la suplantació a les autoritat que, en el cas de l'estat espanyol, és la Policia, la Guàrdia Civil i la Agencia de Protección de Datos; en el cas de residir a Catalunya us podeu adreçar als Mossos d'Esquadra (també podeu enviar-los un correu a mossosdti@gencat.cat, adreça específica per informar-vos sobre delictes en tecnologies de la informació)


Com estar previnguts?

Tot i que ningú està lliure de ser víctima d'un robatori d'identitat, si que podem prendre un seguit de mesures per tal de posar-ho complicat a aquelles persones que intentin accedit a les nostres dades, seguint aquestes pautes:

• No utilitzar la mateixa contrasenya en els diferents serveis en els que estiguem registrats, i a més no utilitzar contrasenyes fàcilment associables a nosaltres (data de naixement, noms, cognoms, poblacions,  seqüències de lletres i/o números, ...).
• No compartir la contrasenya d'accés amb ningú i canviar-la passat un temps prudencial (cada tres mesos).
• En equips compartits, o d'ús públic, utilitzar el mode de navegació anònim, buidar els arxius temporals, historial, contrasenyes i formularies en acabar la sessió de navegació.
• Utilitzar navegació segura en tots els webs que ho permetin.
• Prestar atenció als webs als que solem accedir per comprovar si han sofert algun canvi substancial, o en cas de banca electrònica comprovar si s'està navegant de manera segura.
• No deixar l'equip sense vigilància, desbloquejat i amb sessions obertes.
• Mai enviar contrasenyes per correu electrònic. Serveis com Facebook, Twitter o banca electrònica, mai demanen que els enviem la contrasenya per correu electrònic. Si es rep algun correu sol·licitant dades d'accés segurament és un intent de phishing.

Extret i traduït del post "Robo de identidad en redes sociales, ¿qué hacer?" via bitelia.com 

Més informació relacionada:

• Guia per a l’ús segur de les xarxes socials (PDF, 1,33 MB), publicada pel CESICAT.
• Consejos para crear contraseñas seguras, publicat a Yahoo! seguridad.
• Guías y manuales del Observatorio de la Seguradad de la Información a INTECO.
• seguridadenlared.org

Aprender a redactar correos electrónicos

A veces en las empresas damos por supuesto que la gente tiene conocimientos adquiridos que luego a la hora de la verdad no resultan tales. Una de las cuestiones en las que esto ocurre frecuentemente es en la redacción y especialmente con el correo electrónico. Es necesario realizar la formación necesaria para aprender a redactar correos electrónicos.


Es un asunto del que no podemos desentendernos, puesto que no es sólo un documento interno, sino que a través de esta herramienta daremos respuestas a nuestros clientes y proveedores. Es decir, en parte el correo electrónico es la imagen de nuestra empresa en su comunicación con el resto del mundo. [...]

Via: Tecnología Pyme