Archivo de la categoría: Phishing

Estafas informáticas


Artículo original escrito por el abogado Marco Esteban, del bufete de abogados penalistas Esteban Abogados.

La aparición y consolidación del comercio electrónico, y con el la utilización cada vez mayor de medios de pago a través de la red, así como el uso creciente de sistemas como la banca electrónica y otros parecidos han conllevado la aparición de una nueva tipología de delitos relacionados con ellos. Concretamente han aparecido delitos relacionados con el robo de datos sensibles y/o la utilización de estos para fines fraudulentos como por ejemplo vaciar las cuentas bancarias de la víctima o bien hacer uso ilícito de los fondos de su tarjeta de crédito.

Es de destacar que la aparición de este tipo de delitos obviamente ha venido acompañado de una legislación coercitiva al respecto y de la adopción de medios, de la creación de mecanismos, sistemas y entes para perseguir los mismos, pero también cabe decir y para hacer honor a la verdad, que muchas de estas conductas y acciones ilícitas, hoy, aún en día tienen una difícil persecución.

Y tienen una difícil persecución por diversos motivos: por la dificultad técnica en identificar como se ha producido el suceso delictivo, por la dificulatd para identificar al autor real de dichas acciones, por la dificultad o imposibilidad de perseguir penalmente al autor.

Como consecuencia de estas dificultades, existen sentencias que seeñalan el sobreseimiento provisional de las causas por no poder imputar a nadie en particular los delitos que se pretendían juzgar. Es el caso del auto de un Juzgado de Instrucción de Barcelona, que en 2008 dictó el sobreseimiento provisional de la causa que debía conocer por falta de autor conocido. Dicho sobreseimiento se vió ratificado por la resolución del recurso de apelación interpuesto contra dicho auto ante al Audiencia Provincial barcelonesa que lo desestimó en el mismo sentido que el juzgado instructor.

El carácter provisional del sobreseimiento de la causa es muy significativo y lo destaca la resolución de la Audiencia Provincial, en base a la  “poco conocida mecánica comisiva del delito”.

Si bien la Audiencia Provisional de Barcelona se vio “obligada” a sobreseer la causa de forma provisional por la imposibilidad de determinar el autor y de concretar la técnica utilizada, en la misma resolución estableció que se reabriese el procedimiento “cuando la Policía (UDEF, Investigaciones Tecnológicas) remita las correspondientes diligencias ampliatorias,  a la espera de que se complete la investigación policial de unos hechos ciertamente muy complejos”.

Y la dificultad para identificar a los autores del hecho delictivo  se evidencia al concluir que este se produce por la acción de redes delictivas altamente profesionalizadas, ramificadas y diseminadas, y en la mayoría de ocasiones no pertenecientes, ni instaladas o vinculadas directamente con el territorio español, ni siquiera con territorio comunitario, que hacen extremadamente difícil y en muchos casos imposible, la  misma identificación de las personas que las forman así como su persecución legal aún en el caso de que se puedan llegar a identificar.

En el caso del phishing, es posible identificar a “las mulas” que inician el cobro del dinero de la cuenta bancaria atacada y lo transfieren a través de prestadores internacionales de servicios de pagos con laxos controles de identificación de ordenantes y beneficiarios. Pero no es posible identificar a los responsables últimos que se escudan tras varios nivekes de intermediarios ubicados en diferentes países y que no se conocen entre sí.

La legislación internacional debería evolucionar más rápidamente para facilitar la persecución de estos delitos, especialmente en contextos en los que la tecnología diluye barreras, que sin embargo perduran en el marco de la jurisdicción y la ley aplicable.

Sobre el autor

Marco Esteban es abogado responsable del bufete de abogados penalistas Esteban Abogados. Profesionales especializados en derecho penal, asesoramiento jurídico y servicios legales

SMS de CardVISA (Ojo Phishing)


El phishing llega a los SMS.

El blog Histo-piniones cuenta en primera persona el caso.

Lo primero que hay que decir es que NUNCA hay que acceder a una supuesta entidad financiera haciendo click en un mensaje que nos llegue por correo electrónico, sino que hay que teclear directamente las URL de la página web de nuestra entidad financiera en caso de que tengamos alguna duda y pensaemos que un mensaje pueda tener algo de cierto.

En el caso de este phishing por SMS propone teclear como URL una página web denominada www.cardvisa.us que puede que a algunas personas les parezca como una dirección compatible con su tarjeta VISA.

Hay que decir que las entidades gestoras de medios de pago son relativamente “invisibles” en los procesos de gestión de pago con tarjeta, y que solo son visibles las entidades financieras del titular de la tarjeta (denominada entidad emisora) y la del comercio (denominada entidad adquirente). Así que ante cualquier duda, debemos contactar con NUESTRA ENTIDAD FINANCIERA.

Una posible excepción a esta recomendación se da con la posibilidad de reportar la pérdida o robo de varias tarjetas en una única llamada para bloquearlas de la forma más rápida posible.

En España, se puede llamar a estos números de teléfono en caso de emergencia:

  • 4b: 91 362 62 00 – 902 11 44 00 (Tarjetas VISA y MasterCard)
  • Servired: 902 19 21 00 – 91 519 21 00 (Tarjetas VISA y MasterCard)
  • Euro6000: 902 20 6000 – 91 596 53 35 (Tarjetas VISA y MasterCard)
  • American Express: +34 91 400 42 50 – 902 37 56 37
  • Dinner’s Club: 902 401 112 – 912 114 300

VISA Europe advierte en una de sus páginas sobre la forma de proceder ante mensajes de correo sospechosos, y concluye:

Si ha recibido un correo electrónico sospechoso o tiene dudas sobre la autenticidad de algún sitio web, contacte con la entidad financiera emisora de su tarjeta. También puede reenviar el correo sospechoso o la dirección URL del sitio web sobre el que tenga dudas a nuestra siguiente dirección de correo electrónico: phishing@visa.com.

También VISA Europe proporciona una lista de números en diversos paises en los que podemos consultar la forma de proceder en caso de pérdida o robo de nuestra tarjeta:

  • Alemania 0800-811-8440
  • Anguilla 1-800-847-2911
  • Antigua 1-800-847-2911
  • Arabia Saudita 1-800-10-866-654-0129
  • Argentina 0800-666-0171
  • Aruba 800-1518
  • Australia 1-800-125-440
  • Austria 0800-200-288 y después 800-892-8134
  • Bahamas 1-800-847-2911
  • Bahrein 8000-006
  • Barbados 1-800-847-2911
  • Bélgica 0800-1-8397
  • Bolivia 800-10-0188
  • Bonaire 001-800-847-2911
  • Bosnia Herzegovina 00-800-0010-888-557-4457
  • Brasil 0800-891-3680
  • Bulgaria 00-800-0010-888-557-4446
  • Canadá 1-800-847-2911
  • Chile 1230-020-2136
  • China (Norte) 10-800-711-2911
  • China (Sur) 10-800-110-2911
  • Colombia 01-800-912-5713
  • Corea 00798-11-908-8212
  • Costa Rica 0-800-011-0030
  • Croacia 0-800-220111-866-654-0125
  • Curaçao 001-800-847-2911
  • Dinamarca 80-010277
  • Dominica 1-800-847-2911
  • Egipto (excepto El Cairo) 02-510-0200-866-654-0128
  • Egipto (sólo El Cairo) 510-0200-866-654-0128
  • Emiratos Árabes Unidos 0-800-121-866-654-0112
  • Eslovaquia 0-800-000-101-800-406-9970
  • España 900-99-1124
  • Estados Unidos 1-800-847-2911
  • Estonia 800-12001-800-406-9982
  • Filipinas 1-800-1-111-9015
  • Finlandia 0800-11-0057
  • Francia 0800-90-1179
  • Gibraltar 8800-877-3745966
  • Granada 1-800-847-2911
  • Grecia 00-800-11-638-0304
  • Guam 1-800-847-2911
  • Guatemala 1-800-999-0115
  • Holanda 0800-022-3110
  • Hong Kong 800-96-7025
  • Hungría 06-800-17682
  • India No disponible
  • Indonesia 001-803-1-933-6294
  • Irlanda 1-800-55-8002
  • Islas Bermudas 1-800-847-2911
  • Islas Caimán 1-800-847-2911
  • Islas Turku y Caicos 0-1-800-847-2911
  • Islas Vírgenes Británicas 1-800-847-2911
  • Islas Vírgenes Estadounidenses 1-800-847-2911
  • Israel 1-800-941-1605
  • Italia 800-819-014
  • Jamaica 0-800-847-2911
  • Japón 00531-11-1555
  • Jordania 1-880-0000-888-557-4442
  • Kazajstán 8-800-121-4321-888-557-4447
  • Kenia 866-654-0162
  • Letonia 800-2131
  • Líbano (excepto Beirut) 01-426-801-866-654-0130
  • Líbano (sólo Beirut) 426-801-866-654-0130
  • Liechtenstein 0800-89-4732
  • Lituania 8-800-900-28-800-406-9962
  • Luxemburgo 0800-2012
  • Macedonia 99-800-4288-888-557-4458
  • Malasia 1800-80-0159
  • Marruecos 002-11-0011-866-654-0163
  • Mauricio 01-120-866-654-0165
  • México 001-800-847-2911
  • Mónaco No disponible
  • Montserrat 1-800-847-2911
  • Nevis 1-800-847-2911
  • Noruega 800-12052
  • Nueva Zelanda 0800-44-3019
  • Okinawa 00531-11-1555
  • Panamá 001-800-111-0016
  • Paraguay 008-11-800-800-599-1137
  • Perú 800-890-0623
  • Polonia 0-0-800-111-1569
  • Portugal 800-8-11-824
  • Puerto Rico 1-800-847-2911
  • Qatar 0800-011-77-888-557-4428
  • Reino Unido 0800-89-1725
  • República Chechenia 800-142-121
  • República Dominicana 1-800-847-2911
  • Rumania 021-800-4288-888-557-4416
  • Rusia (excepto Moscú/San Petersburgo) 8-10-800-110-1011-866-654-0164
  • Rusia (sólo Moscú) 755-5042-866-654-0164
  • Rusia (sólo San Petersburgo) 325-5042-866-654-0164
  • Saba 1-800-847-2911
  • Saint Eustatius 1-800-847-2911
  • San Marino 800-819-014
  • San Martín 1-800-847-2911
  • Senegal 810-3072-888-557-4451
  • Singapur 800-110-0344
  • St. Kitts/Nevis 1-800-847-2911
  • Sudáfrica 0800-990-475
  • Suecia 020-795-675
  • Suiza 0800-89-4732
  • Tailandia 001-800-11-535-0660
  • Taiwán 00801-10-3008
  • Trinidad y Tobago 1-800-847-2911
  • Turquía 00-800-13-535-0900
  • Ucrania 8-100-11-888-557-4445
  • Uruguay 00-0411-940-7915
  • Venezuela 0800-1-002167

También Mastercard ofrece una lista de contactos internacionales:

  • Asia / Pacific
  • American Samoa: 1-1-800-307-7309
  • Australia: 1800-120-113
  • China: 10-800-110-7309
  • Guam: 1-800-307-7309
  • Hong Kong: 800-966677
  • India: 000-800-100-1087
  • Indonesia: 001803-1-887-0623
  • Japan: 00531-11-3886
  • Korea: 0079-811-887-0823
  • Malaysia: 1-800-804594
  • New Zealand: 0800-44-9140
  • Philippines: 1-800-1-111-0061
  • Saipan: 1-800-307-7309
  • Singapore: 800-1100-113
  • Taiwan: 00801-10-3400
  • Thailand: 001-800-11-887-0663Europe
  • Austria: 0800-21-8235
  • Belgium: 001-800-307-7309
  • Czech Republic: 800-142-494
  • Denmark: 8001-6098
  • Finland: 08001-156234
  • France: 0-800-90-1387
  • Germany: 0800-819-1040
  • Greece: 00-800-11-887-0303
  • Hungary: 06800-12517
  • Ireland: 1-800-55-7378
  • Italy: 800-870-866
  • Liechtenstein: 0800-89-7092
  • Luxembourg: 800-2-4533
  • Monaco: 0-800-90-1387
  • Montserrat: 1-800-307-7309
  • Netherlands: 0800-022-5821
  • Norway: 800-12697
  • Poland: 0-0800-111-1211
  • Portugal: 800-8-11-272
  • San Marino: 800-870-866
  • Spain: 900-97-1231
  • Sweden: 020-791-324
  • Switzerland: 0800-89-7092
    Turkey: 00-800-13-887-0903
  • United Kingdom: 0800-96-4767
  • Vatican City State: 800-870-866Latin America / Caribbean
  • Anguilla: 1-800-307-7309
  • Antigua and Barbuda: 1-800-307-7309
  • Argentina: 0800-555-0507
  • Bahamas: 1-800-307-7309
  • Barbados: 1-800-307-7309
  • Bermuda: 1-800-307-7309
  • Bolivia: 800-10-0172
  • Bonaire: 001-800-307-7309
  • Brazil: 0800-891-3294
  • Cayman Islands: 1-800-307-7309
  • Chile: 1230-020-2012
  • Colombia: 01-800-912-1303
  • Costa Rica: 0-800-011-0184
  • Curacao: 001-800-307-7309
  • Dominica: 1-800-307-7309
  • Dominican Republic: 1-800-307-7309
  • Grenada: 1-800-307-7309
  • Guatemala: 1-800-999-1480
  • Jamaica: 0800-307-7309
  • Mexico: 001-800-307-7309
  • Panama: 001-800-307-7309
  • Peru: 0-800-307-7309
  • Puerto Rico: 1-800-307-7309
  • Saba: 1-800-307-7309
  • St. Eustatius: 1-800-307-7309
  • St. Kitts-nevis: 1-800-307-7309
  • St. Maarten: 1-800-307-7309
  • Trinidad and Tobago: 1-800-307-7309
  • Turks and Caicos Islands: 01-800-307-7309
  • Venezuela: 0800-1-002902
  • Virgin Islands, British: 1-800-307-7309
  • Virgin Islands, U.S.: 1-800-307-7309Middle East / Africa
  • Bahrain: 8000-0087
  • Cyprus: 080-90569
  • Israel: 180-941-8873
  • South Africa: 0800-990418US / Canada
  • Canada: 1-800-307-7309
  • United States: 1-636-722-7111

Nueva oleada de phishing


phishing-AEATAprovechando el retorno vacacional que hace que estemos un poco despistados, los delincuentes “pescadores” (de “phishing”, juego de palabras con “password fishing” en inglés) han intensificado sus campañas al inicio de septiembre.

El ‘phishing’ es una estafa que consiste en en el envío de correos electrónicos que simulan provenir de organismos, empresas privadas o entidades financieras (entidades públicas o privadas que pudieran tener algún acceso a datos financieros) y proponen que se acceda a páginas web falsas que simulan ser del organismo suplantado, y en las que se propone la actualización de datos o el acceso al servicio.

Al acceder a tales páginas los incautos ceden sus datos financieros, tales como identificador (usuario) y password, número de cuenta bancaria o de tarjeta de crédito.

Uno de los aspectos que hace que los incautos sigan “picando” es que los mensajes de atención que se dan desde entidades financieras y organismos afectados son confusos. En efecto, es frecuente leer la frase “la entidad XXX no le pedirá sus datos financieros o información confidencial por internet”. Y la confusión creada es que los mensajes de los criminales no “piden” información: la “ofrecen”. Por ejemplo diciendo: “acceda a su cuenta a través de este enlace y compruebe la información del sistema”. Es decir, no hay conciencia de estar cediendo datos confidenciales cuando uno accede a una página web y teclea su password (clave) porque es lo que hace cuando accede de forma correcta a su entidad financiera.

En la última campaña se están utilizando remitentes como PayPal o la Agencia Tributaria, que efectivamente pueden tener información financiera del usuario. En estos contextos se baja la guardia porque los usuarios están aprendiendo a deconfiar cuando el mensaje aparenta ser de una entidad financiera.

Los mensajes falsos que aparentemente proceden de la Agencia Tributaria (AEAT) se identifican con el remitente impuestos@aeat.es

La propia AEAT advierte en una nota sobre estos ataques de phishing y explica que esos mensajes hacen referencia a un reembolso de impuestos  inexistente. Supuestamente, para poder disponer del dinero hay que acceder a una dirección web en la que se deben aportar datos de cuentas bancarias. Dicha web es falsa, y su finalidad es proporcionar a los intrusos la información que allí introduzcan las víctimas del fraude, con la que accederían a las cuentas bancarias reveladas.

Lo cierto es que va llegando la hora de que las entidades financieras eliminen los sistemas de usuario/password que hacen sus servicios tan vulnerables y exponen a sus clientes a estos riesgos. Una buena oportunidad para que el Banco de España ejerza su función supervisora, exigiendo la adopción de las mejores prácticas, o simplemente el cumplimiento del artículo 2 de la Ley 56/2007.

CeCOS III, cita en Barcelona contra el crimen electrónico


CeCOS III en Barcelona 2009CeCOS III, la tercera cumbre operativa anual contra el crimen electrónico (Counter-eCrime Operations Summit), tendrá lugar en Barcelona del 12 al 14 de mayo, en las instalaciones del Hotel AB SKIPPER (Avinguda del Litoral 10).

El evento abordará, como cuestiones centrales para los equipos de respuesta inmediata y los profesionales del análisis forense, los retos operativos y el desarrollo de recursos comunes para la protección de empresas y consumidores frente a la amenaza de esta forma de delincuencia. Los ponentes presentarán estudios reales sobre ataques dirigidos a economías regionales y nacionales, casos de éxito en la cooperación internacional en materia forense, modelos de colaboración y respuesta única, así como fuentes de datos para las actividades forenses.

Esta cumbre brinda una excelente oportunidad para que los diferentes grupos de interés se reúnan, establezcan objetivos comunes y definan procedimientos para la armonización de recursos en la lucha internacional contra la delincuencia electrónica. No deberían faltar a la cita: profesionales de la seguridad informática, miembros de las fuerzas y cuerpos de seguridad, desarrolladores de tecnologías contra el crimen electrónico, responsables de áreas de seguridad o sistemas, especialistas en inteligencia (militar o empresarial), investigadores privados, analistas de normativas, especialistas en tecnologías, legisladores y estudiosos del Derecho, redactores de normas industriales, investigadores universitarios y empresariales…

El Anti-Phishing Working Group (APWG) cree que las cuestiones operativas menos tratadas, aquellas que las empresas rara vez consideran como centrales, son lo suficientemente importantes como para ser el hilo conductor de la cumbre. La CeCOS III centrará sus objetivos precisamente en estas cuestiones, con la meta final de beneficiar al conjunto de la comunidad de profesionales en la lucha contra el crimen electrónico.

Patrocinadores CeCOS IIIi

Grupo “Evidencias Electrónicas” en LinkedIn


He creado un grupo en “Linked In“especializado en “Evidencias Electrónicas“. Es el paso hacia las Redes Sociales del Foro de las Evidencias Electrónicas.

The meeting point of spanish attorneys, judges,coroners, policemen, technologists, forensic examiners, records managers and other practitioners interested in advancing and improving electronic evidencies management and the development of laws aligned with the needs of Information Society.

No es sino la reformulación de las ideas del Foro.

Este Grupo pretende aunar los intereses de los técnicos y de los juristas, contribuyendo a que los desarrollos legislativos que se acometan en relación con las nuevas tecnologías se ponderen en la protección de los derechos de los ciudadanos y de las empresas, tal como corresponde al imperio de la ley, pero teniendo en cuenta los múltiples detalles técnicos de los que depende su aplicabilidad.

Diversos comités creados con el apoyo de los participantes llevarán a cabo propuestas concretas que elevar a los poderes públicos. Aspectos como la Firma Electrónica, la factura electrónica, el voto electrónico, la protección de la propiedad intelectual, los ilícitos tecnológicos, los ataques tecnológicos y la protección ante ellos,…

Sarkozy víctima de transacciones fraudulentas


Ya he mencionado en este blog los riesgos del phishing y los fraudes relacionados con las tarjetas de crédito, en los que profundizo en los cursos de Medios de Pago.

La noticia hoy es la misma, pero la víctima un personaje ilustre (y excelentísimo). La he visto en varios medios, pero referencio aquí la de La Nueva España.

Piratas informáticos logran robar dinero de una cuenta de Sarkozy

Mientras el presidente de Francia, Nicolas Sarkozy, busca soluciones contra la crisis, los ladrones meten mano en sus ahorros. La Policía gala trata de identificar a uno o varios estafadores que consiguieron sacar pequeñas cantidades de dinero en varias ocasiones de una cuenta bancaria personal del presidente francés.

El Elíseo confirmó que el líder galo presentó el pasado mes de septiembre una denuncia, que no se había hecho pública hasta ahora, por el pirateo de sus señas bancarias.

Un experto en seguridad bancaria explicó que el procedimiento que usa este tipo de delincuentes suele consistir en hacerse con el número de la tarjeta de crédito, así como el nombre de su propietario y la fecha límite de validez.

Gracias a estos datos operan, normalmente por internet, sustrayendo pequeñas cantidades, normalmente menos de 200 euros, con la esperanza de que la víctima del robo se dé cuenta lo más tarde posible.

El fiscal que se ocupa de la denuncia del jefe del Estado, Philippe Courroye, ha encargado la investigación a la brigada criminal de París y a la financiera, la élite del cuerpo de Policía en este tipos de casos. Los agentes buscan a profesionales del robo en la red, dada la cautela y limpieza con la que han actuado, según recoge el diario galo «Le Journal du Dimanche».

Este tipo de estafas se está extendiendo rápidamente durante los últimos meses. De hecho, el observatorio nacional de la delincuencia ha constatado un incremento del 9 por ciento en los últimos doce meses de esta clase de estafas con respecto al año anterior.

Una fuente allegada a la investigación, y citada por el diario francés, aseguró que durante un cierto tiempo los ladrones lograron sustraer pequeñas cantidades de dinero, hasta que Sarkozy se dio cuenta. «El objetivo ahora es hallar a los autores más que audaces de este pirateo presidencial, algo que hasta ahora no se ha conseguido, y que prueba que los bandidos no son aficionados».

Nuevas técnicas de phishing


Santi Casas me pasa este intento de phishing, que tiene algunas características interesantes:

La dirección utilizada como remitente es del dominio del Banco Popular, “avisos@bancopopular.es”, con lo que todas las direcciones que respondan con error al no poder entregarse, serán rebotadas a esta dirección del Banco Popular y, por lo tanto, es posible que se enteren directamente del intento de phishing.

La url a la que se accede mediante el enlace también es del banco popular:

“http://www.bancopopular.es/correo/envio2.asp?_MailTo=a@a.a&_SuccessDocument=http://www.oficinamulticanal.com/AppBPE/servlet/servinp_pf=cp_id=espp_pm=bop_et=pa/”

Se aprovechan de la existencia de un código ASP estándar para mandar correos y donde se pasa como parámetro la URL de retorno, que es la del phishing. Esto es un agujero de seguridad de la web del banco, aunque seguramente los “logs” también les permitirá detectar cosas “anómalas”.

Finalmente el dominio que utilizan los atacantes “www.oficinamulticanal.com” (marca que utiliza el Banco Popular), está registrado en un registrador americano (www.domainsite.com), con lo que a la policía no le será excesivamente complicado seguirles la pista .

Asunto:

Aviso de Seguridad

De:

Grupo Banco Popular <avisos@bancopopular.es>

Fecha:

Mon, 07 Apr 2008 21:56:12 +0200

Para:

santi@casas.name

logo

Estimado Cliente:

Según nuestros registros informáticos, hemos detectado que los accesos a su cuenta a través de banca electrónica han sido realizados desde diferentes direcciones IP.

Esto seguramente se debe a que la dirección IP de su ordenador es dinámica y varía constantemente, o debido a que usted ha utilizado más de un ordenador para acceder a su cuenta.

Debido a este suceso y en cumplimiento con la legislación vigente, y para brindar una mayor seguridad a nuestros clientes, le invitamos a acceder al servicio de Banca Multicanal y reactivar su Firma Electrónica.

Para ingresar a su cuenta a través de Banca Multicanal y verificar la actividad de la misma, debe utilizar el siguiente enlace:

https://www2.bancopopular.es/AppBPE/servlet/servinp_pf=c&p_id=esp&p_pm=bo&p_et=pa

Gracias por su ayuda y compresión.