miércoles, 9 de mayo de 2007

Phishing

La Ingenieria Social es aquella que no me enseñaron en la Universidad, pero ultimamente parece la mas fructifera. Basicamente consiste en engañar a alguna alma candida, que por lo que se ve, hay muchas por Internet.

Lo que esta mas de moda es simular la web de algun banco u otro medio de pago (por ejemplo PayPal) y enviar correos a usuarios para que introduzcan sus datos en esa web falsa. Esto se conoce como phishing.

Mi interes sobre el tema es meramente "deportivo", como quien observa la caceria del zorro, sin tomar partido sobre ningun bando.

No obstante, en una tarde de esas ociosas me plantee el tema del phishing, como ejercicio teorico.
  1. Recrear una web bancaria, asequible.
  2. Enviar correos a miles de candidos, asequible (anda que no tengo yo direcciones de gente, de esas que llegan en los correos en cadena... si son tan candidos para seguir con la cadena, por que no para picar en esto?).
  3. Al final el problema se reduce a la propia transferencia: si haces una transferencia a tu cuenta, eso es "traceable", se le puede seguir el rastro y al final te acaban cogiendo.
  • Investigue lo de la cuenta en Suiza, por aquello del anonimato, pero las comisiones no son pequeñas, y exigen un importe minimo de 50.000 euros para abrir la cuenta. Fuera de mi alcance. Aunque bien pensado, con una ampliacion de hipoteca... :-)
  • La otra solucion, que por lo que he leido hace tiempo que se aplica, es la de usar intermediarios. La transferencia se hace a la cuenta de "la mula", a la que se engancha ofreciendole un "trabaje desde casa", que es la que retira el dinero del banco y te lo da en mano. Lo que pasa es que cuando "la mula" cante (porque la pillaran con total seguridad) esta puede conducirles hasta ti. Y esto ya entra dentro del delito clasico, un terreno donde no quiero meterme.
Y es lastima, porque salvo esto, el resto del proceso es muy limpio.

El otro dia me sorprendio gratamente ver como Firefox me advertia sobre el peligro de una web:

http://1206795063:9999/www.paypal.com/cgi-bin/...

Me llego en un correo de esos tipicos de phishing, directamente a la carpeta de SPAM, y lo abri por ver la pinta que tenia, sabiendo de antemano que era un PHISHING en toda regla.

El sitio ya no existe. Suelen ser sitios de un par de dias de vida, hasta que el administrador de sites se da cuenta (o le pegan el toque) y lo elimina.

Cualquiera que vea esa direccion ya podria saber que esa web no es de PayPal... bueno, cualquiera no. La gente no lee. Y mientras vea un logo de PayPal bien grande y la apariencia de siempre, pues ya esta, eso es PayPal.



Pulsa sobre la imagen para verla en grande. En ella se aprecia como la pagina se ha ensombrecido y ha aparecido una advertencia enorme en la que se advierte de la sospecha de que es un sitio falso. No obstante, tras la explicacion aparecen dos opciones:
  • Sacame de aqui!
  • Ignorar esta advertencia
Esto ya deberia ser disuasorio para la mayoria. Aun asi, siempre quedara alguien que ignore la advertencia porque "debe meter sus claves antes de 2 horas para que no le cancelen la cuenta".

Y a ese es al que le tienen que pulir toda la pasta y dejarle sin un duro. Por imbecil.
Post perpetrado por Solo en 5/09/2007 10:18:00 a. m.
Etiquetas: , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)