viernes, 3 de marzo de 2017

Phishing Bancario : Caso Banco del Pacífico




Esto ya lo hemos visto en anteriores ocasiones en otras instituciones financieras como el Banco del Pichincha y Banco de Guayaquil, pero ahora el turno es del Banco del Pacífico. 

Pero, ¿Qué es el Phishing?

El phishing o suplantación de identidad, consiste en el robo de información personal y/o financiera del usuario, a través de la falsificación de un ente de confianza. De esta forma, el usuario cree ingresar los datos en un sitio de confianza cuando, en realidad, estos son enviados directamente al atacante.

¿Cómo ocurre el phishing?


En cualquier momento puedes recibir un correo electrónico de tu banco explicando que por razones de seguridad, mantenimiento, mejora del servicio, confirmación de identidad, advertencia de fraude o cualquier otro motivo, debes actualizar los datos de tu cuenta. El correo de fraude también puede decir que te bloquearán la cuenta si no actualizas la información en un período de tiempo determinado. 
Por lo general, dichos correos imitan el diseño (logotipo, firma, etc.) que utiliza el banco (o tienda) para comunicarse regularmente contigo. El mensaje puede tener un formulario para enviar los datos, aunque lo más habitual es que incluya un enlace a una página para actualizarlos allí y de esa manera capturarlos para cometer fraude.


En esta imagen notamos como la dirección de correo electrónico no es el remitente el cual es :  intermail@bancodelpacifico.com.ec 



Y realizando un análisis un poco más profundo , notamos que el dominio usado para enviar el correo fraudulento es : bancopacifico@kia.com.ec que al revisar el protocolo SPF (Convenio de Remitentes, del inglés Sender Policy Framework) del dominio kia.com.ec notamos que la IP de donde se originan tales correos fraudulentos es : 200.31.10.91

Y al efectuar la consulta de que ubicación es la IP nos encontramos que es de Argentina. 


Un usuario no precavido , procedería a dar clic en el enlace logrando acceder a la URL pirata para recopilar la información. Sin notar que esta no tiene el certificado de seguridad SSL, y también que su dirección no es la correspondiente al banco.


La copia es casi exacta, inclusive tiene todas las imágenes de fondo del Banco. La URL ya no se encuentra disponible, pero sabemos que este ataque no será el único y serán más cuidadosos con las direcciones de correo y certificados SSL.



Los trucos de 'phishing' que más hay que temer

1. Si usted recibe un correo electrónico que le pide "urgentemente" confirmar sus datos confidenciales, pues de lo contrario su cuenta bancaria será cerrada, empiece por dudar de la veracidad de esta petición. 

2. Muchas veces recurren al truco de enviar un SMS pidiendo detalles para confirmar si es usted de verdad un cliente del banco. Aunque los bancos tienen un servicio de mensajes de texto para confirmar, por ejemplo, una transacción hecha por internet, nunca solicitarán contraseñas ni información personal a través de ese medio.

3. Otra práctica muy engañosa consiste en recibir un correo electrónico o un mensaje de texto al teléfono, donde se le solicita confirmar algunos datos para activar algunos servicios de los que usted todavía no dispone. 

4. En algunas ocasiones los delincuentes informáticos se hacen pasar por su banco, le envían un mensaje al teléfono donde le ofrecen un enlace para descargar una nueva aplicación que, supuestamente, le permitirá gestionar mejor su cuenta bancaria. 

5. Otro método de estafa parte del envio de un e-mail donde se comunica que es necesario cambiar la tarjeta bancaria debido a supuestos "defectos" de la misma y que enviarán a una persona a recogerla que además le pedirá el número de PIN como confirmación. 

6. Otra de las nuevas formas de engaño consiste en llamar al teléfono fijo de la víctima para avisarle que se han detectado transacciones fraudulentas en la cuenta. Para ganarse su confianza pide que llame al número oficial del banco, pero lo que realmente ocurre es que reproducen un sonido de marcado y la víctima nunca se comunica con el banco sino con los mismos delincuentes. Acto seguido proceden a pedir detalles de la cuenta.

Recomendaciones finales


Pongan mucha atención al certificado de seguridad del banco. Siempre será un certificado de barra verde junto con su candado más el HTTPS.


Revisar que los remitentes sean los que usted conoce, y tomar muy enserio las alertas que ofrezca su proveedor de correo para alertarlo. Recuerde que mucho más seguro esta en internet, ya que existen muchos métodos para detectar los fraudes, solo debe recordar que una transacción se la realiza con cuidado y que nunca un banco solicitará sus datos personales ya que ellos los tienen.