Nueva oleada de phishing


phishing-AEATAprovechando el retorno vacacional que hace que estemos un poco despistados, los delincuentes “pescadores” (de “phishing”, juego de palabras con “password fishing” en inglés) han intensificado sus campañas al inicio de septiembre.

El ‘phishing’ es una estafa que consiste en en el envío de correos electrónicos que simulan provenir de organismos, empresas privadas o entidades financieras (entidades públicas o privadas que pudieran tener algún acceso a datos financieros) y proponen que se acceda a páginas web falsas que simulan ser del organismo suplantado, y en las que se propone la actualización de datos o el acceso al servicio.

Al acceder a tales páginas los incautos ceden sus datos financieros, tales como identificador (usuario) y password, número de cuenta bancaria o de tarjeta de crédito.

Uno de los aspectos que hace que los incautos sigan “picando” es que los mensajes de atención que se dan desde entidades financieras y organismos afectados son confusos. En efecto, es frecuente leer la frase “la entidad XXX no le pedirá sus datos financieros o información confidencial por internet”. Y la confusión creada es que los mensajes de los criminales no “piden” información: la “ofrecen”. Por ejemplo diciendo: “acceda a su cuenta a través de este enlace y compruebe la información del sistema”. Es decir, no hay conciencia de estar cediendo datos confidenciales cuando uno accede a una página web y teclea su password (clave) porque es lo que hace cuando accede de forma correcta a su entidad financiera.

En la última campaña se están utilizando remitentes como PayPal o la Agencia Tributaria, que efectivamente pueden tener información financiera del usuario. En estos contextos se baja la guardia porque los usuarios están aprendiendo a deconfiar cuando el mensaje aparenta ser de una entidad financiera.

Los mensajes falsos que aparentemente proceden de la Agencia Tributaria (AEAT) se identifican con el remitente impuestos@aeat.es

La propia AEAT advierte en una nota sobre estos ataques de phishing y explica que esos mensajes hacen referencia a un reembolso de impuestos  inexistente. Supuestamente, para poder disponer del dinero hay que acceder a una dirección web en la que se deben aportar datos de cuentas bancarias. Dicha web es falsa, y su finalidad es proporcionar a los intrusos la información que allí introduzcan las víctimas del fraude, con la que accederían a las cuentas bancarias reveladas.

Lo cierto es que va llegando la hora de que las entidades financieras eliminen los sistemas de usuario/password que hacen sus servicios tan vulnerables y exponen a sus clientes a estos riesgos. Una buena oportunidad para que el Banco de España ejerza su función supervisora, exigiendo la adopción de las mejores prácticas, o simplemente el cumplimiento del artículo 2 de la Ley 56/2007.

Un pensamiento en “Nueva oleada de phishing

  1. Alonso Hurtado Bueno

    Hola Julia,
    Comentaba este caso ayer en mi blog, tan pronto recibí el e-mail en cuestión.
    Respecto a como terminas el post… desde luego, el Banco de España y más aún, cuando en su propio Informe Anual del 2008 hacía referencia expresa a los nefastos sistemas de seguridad empleados por las entidades financieras, en lo que respecta al aceso online de sus usuarios. Existe tecnología de sobra y sinceramente, los costes, cada vez más son más reducidos…
    En fin, esperemos a ver si logramos que entren en razón…y que los afectados sean los menos posibles…
    Un saludo.

    Responder

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s