17
septiembre
2005

Phishing con tarjetas de coordenadas

luchando contra la falta de formación
[Phishing] 
Se encuentra activo un phishing a los clientes de eBankinter en la dirección http://www.ebankiinter.com

En principio uno más, pero he creido conveniente mencionarlo al hilo del comentario que surgió en una entrada anterior, en la que hablábamos sobre barras antiphishing, donde se hablaba de los teclados virtuales y las tarjetas de claves.

Ya comenté que, sin ser soluciones definitivas, ambas vienen a reforzar en parte las medidas de seguridad contra el phishing y troyanos especializados en el robo de credenciales. Quedo pendiente de haceros una demo sobre como un troyano roba las credenciales de un teclado virtual, hay varias técnicas.

En el caso del phishing a eBankinter podemos ver una técnica para burlar las tarjetas de claves que es cualquier cosa menos sofisticada, después de introducir el usuario y contraseña te presentan un formulario donde debes introducir... ¡todos los números de la tarjeta!

Pudiera parecer una prueba de concepto, el problema es que no es la primera vez. Ya vimos un caso similar con La Caixa, donde además del formulario para introducir todas las claves de la tarjeta se facilitaba un número de fax por si el usuario encontraba más cómodo enviar directamente una copia de su tarjeta de coordenadas. Y si la historia se repite es que, aunque nos parezca increible, en mayor o menor medida han obtenido algún éxito con esta estrategia o al menos preveen tenerlo.

Llegados a este punto las entidades bancarias deberían plantearse que los usuarios de banca electrónica pasaran una pequeña evaluación "antifraude", aunque sea tipo test breve, antes de facilitarles la cuenta de acceso. Sin ser un examen, que lo tuvieran que leer, rellenar, y poder ver las respuestas incorrectas, seguro que algo de culturilla antiphishing se les quedaría.

Si, ya se que desde el departamento de negocio de la entidad se van a negar, cualquier cosa menos poner "trabas" al cliente. Pero mientras no haya formación por parte del cliente, o una inversión importante en sistemas de autenticación alternativos (no voy a hablar de los servicios antifraude y antiphishing porque soy parte interesada), el phishing a este nivel seguirá siendo rentable para los atacantes.

¿Alguna otra idea? ¿Qué propondríais para formar a los usuarios?


Enviado por bquintero a las 12:35 | Enlace permanente | Comentarios (6) | Trackbacks (0)
Comentarios
Re: Phishing con tarjetas de coordenadas

Comentaros que para replicar el texto del mensaje (quoting) yo al menos no puedo "copiar y pegar" parte de tu artículo, no estaría de más que lo posibilitárais.

Sobre eso del examen, pues es un buen chiste. Las entidades tienen como fijación número uno forrarse, y luego ya vienen las demás cosas. Cualquier método que frene que nuevos clientes puedan operar con la banca online (les reduce MUUUUCHOS costes operativos y les deja SUCULEEEENTAS comisiones en interoperaciones) sera siempre una mala solución para la entidad.

Mientras el phishing no les haga verdadero daño (es decir, que la balanza dinero y clientes perdidos por phishing y dinero ganado por los clientes no phisheados sea negativa) los bancos harán lo que están haciendo: mucho ruído y pocas nueces. Salir del paso, invirtiendo lo menos posible, y toreando los ataques con métodos reactivos rudimentarios.

Lo que les vendría muy bien a los bancos es destinar un porcentaje de sus partidas millonarias de marketing (patrocinios, campañas en radio y TV, etc) a seguridad de los usuarios. Con lo que se gasta Caja Madrid en una semana de patrocinio de la obra social y el fondo de inversión de turno, en radio y TV, tienen para pagar las nóminas de 10 analistas de seguridad durante 1 año.

Saludos y enhorabuena por el blog.

Posted by: Juan Antonio at septiembre 17,2005 23:08
Re: Phishing con tarjetas de coordenadas

Otra buena medida preventiva, aunque no enfocada directamente a la educación de los usuarios, sería que los proveedores de correo electrónico, al igual que implantan antivirus y filtros anti-spam en sus servidores, implantasen filtros anti-phishing etiquetando los correos de forma análoga al típico [SPAM].

Posted by: Tico at septiembre 18,2005 00:54
Re: Phishing con tarjetas de coordenadas


"¿Qué propondríais para formar a los usuarios?"

Muy simple:


Toda entidad bancaria debiera mandar por carta y por e-correo una copia de las diferentes páginas-pantallas que aparecen en cualquier proceso de operación bancaria, con la indicación que cualquier otra forma de petición de información (para dicha transacción bancaria), es falsa, y no debe ser nunca contestada.

Otra posibilidad es recomendar que vengan a leer este blog (los franceses han propuesto nombrarlo bloc ,y yo propondría llamarlo bloque, en castellano; pero estamos fuera de tema).

Hay que tener en cuenta también, que la mayoría de los utilizadores particulares de la banca-en-línea son *totalmente profanos* en informática, o no tienen tiempo de informarse, por lo que no es tan extraño que sucumban fácilmente ante los engaños del phishing, o que no sepan bien lo que es un troyano.

¿Pero porqué debièramos ser nosotros, y no los propios bancos, los encargados de formar a los clientes de dichos bancos???

Claro, que también lo podríamos hacer, explicando didácticamente lo que es un troyano, cómo áctua, etc..(les pasaríamos la factura (por nuestros servicios) a los bancos posteriormente.)

Me queda un interrogante: No he oído jamás ningún caso real de robo en transacción en línea bancaria.

¿No ha habido nunca, o se callan, o lo están ocultando...?


¿ Alguien sabe de algún caso de alguien que fué robado por phishing-troyano, y cuál fué la reacción del banco, y si recuperó su dinero...???

Posted by: sopadeajo at septiembre 18,2005 03:27
Re: Phishing con tarjetas de coordenadas

Aparte de ofrecer información S-E-N-C-I-L-L-A a sus clientes las tarjetas con claves deberían de tener un texto GRANDE y subrayado en el cual indique claramente "NO indique jamás todas las claves de esta tarjeta en ningún sitio web o por correo electrónico".

Posted by: NetVicious at septiembre 19,2005 12:38
Re: Phishing con tarjetas de coordenadas

En primer lugar,

los bancos no se van a gastar un duro en esto. ¿Quereis saber porque?, porque si se produce ese fraude, hay detras una compañia de seguros que le cubre la perdida de ese dinero al banco.

Estoy con Juan Antonio, cuando dice que los bancos solo quieren dinero para forrarse, es una tonteria que siguan cobrando las comisiones que cobran, pero este no es el foro.

NetVicius, tenemos que tener en cuenta, que como buenos españoles no leemos las instrucciones de uso de nada, asi que ¿por que lo leeria el usuario de un servicio que no entiende como funciona?....

Es cierto que se deberia insistir mas en sistemas de seguridad e informar al usuario, pero la ingenieria social existe y existira siempre....¿no sigue picando la gente con el timo de la estampita?.

Tambien, se deberian crear sistemas mas faciles de entender para el usuario, que el usuario lo identifique con algo a lo que ya este hecho y convencido de que funciona.

Si a un usuario corriente, le roban fisicamente la tarjeta de credito, llamara a los 2 segundos y lo denunciara, pero si "le roban" el numero, la mayoria de ellos no sabra que hacer, ¿a donde acude?, ¿donde lo denuncia?.

Posted by: tisasia at septiembre 19,2005 12:59
Re: Phishing con tarjetas de coordenadas

Resultará una obiedad pero... Nunca han pensado los bancos (aparte de ganar dinero y tapar los fraudes electronicos) en utilizar como medio de autentificacion certificados PKI? Telefónica, Amena y Vodafone (casos que conozco personalmente) asi lo tienen montado para que sus distribuidores acudan a las paginas web (tipo intranet) para realizar gestiones de todo tipo (alta, baja, migracion....).

Puede que no haya que inventar nada, simplemente mirar que es lo que tenemos.

Posted by: Alex at septiembre 19,2005 16:50
Trackbacks
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/40/tbZ3ping
Reemplazando "nospam" por "com"
No hay trackbacks.
Enviar un comentario