La técnica, conocida como PHISHING, pretende obtener información confidencial mediante la suplantación de la página de acceso en línea al servicio de banca electrónica de dicha institución.

Esta vez el engaño no se relaciona con la conocida vulnerabilidad del Internet Explorer, que permite esconder a los ojos del usuario el dominio verdadero de una dirección de Internet (este fallo fue solucionado con el último parche acumulativo del IE). En su lugar, simplemente se muestra una dirección en el mensaje con formato HTML, mientras el enlace apunta a otra.

En concreto, el usuario ve en el mensaje un enlace a https://www.bancopopular.es, pero si hace clic sobre el mismo, es dirigido a una dirección que nada tiene que ver con el banco: http://210.15.78.10/img/1,17266,logon,00.php

La dirección IP pertenece a un proveedor de origen chino (Jitong Communications Co. Ltd., de Zhejiang, China).

La página utiliza un código en JavaScript para abrir otra que realmente pertenece al banco (http://www.bancopopular.es), y al mismo tiempo abre una segunda ventana en pantalla completa, que muestra un formulario para el ingreso de los datos. Cómo ésta segunda pantalla no muestra la barra de direcciones (solo el título), el usuario podría ser engañado más fácilmente.

Por supuesto, ingresar los datos allí pedidos, comprometen seriamente dicha cuenta electrónica, en caso de tenerla en este banco.

El mensaje del correo electrónico original, muestra el logo del banco, y está correctamente escrito a diferencia de otros timos similares. Incluso se dan consejos totalmente válidos respecto a la seguridad para la protección de los datos del usuario.

Este es el texto completo de dicho mensaje:

--- Comienzo del mensaje falso ---

De: Validate [validate@bancopopular.es]
Enviado: domingo, 22 de febrero de 2004 18:33
Para: Cin6871
Asunto: Apreciado Cliente

Las entidades financieras del mundo entero y sus clientes siempre sufrían por las tentativas de los criminales de recibir dinero por dolo. Hay varios modos de efectuar dichas tentativas. (por ejemplo, falsificación de tarjetas de crédito, uso no autorizado de teléfono o Internet) En el marco de nuestro compromiso de prestar óptimos servicios ("Best Possible") a todos nuestros clientes, le rogamos validar sus cuentas una vez al mes. Para validar su cuenta bancaria personal online BANCO POPULAR, siga el siguiente link: https://www.bancopopular.es Estas medidas de seguridad son necesarias para proteger la integridad de su cuenta. Presentamos nuestras excusas por las molestias que puedan causar dichas medidas. Estamos convencidos de que al fin y al cabo esta medida suplementaria de seguridad asegurará veinticuatro horas al día la protección de sus cuentas. A continuación se dan dos ejemplos de fraudes comunes efectuados por Internet: Tentativa de obtener la información de identificación del cliente mediante el envío de e-mails que parecen ser de entidades financieras con la petición de comunicar datos personales (por ejemplo, número y contraseña del cliente) Creación de página web que parece a la de una entidad financiera, pero que actúa como una página web fantasma para la recogida de información sobre el cliente y su uso con el fin de acceder a su cuenta  BANCO POPULAR trata de modo muy serio todos los asuntos de seguridad. A continuación se dan algunos modos rápidos y fáciles de protección de sus datos online. Asegúrese de ser Ud conectado a la página web auténtica de BANCO POPULAR Asegúrese de que el e-mail esté enviado por BANCO POPULAR Proteja sus registros financieros Proteja su computadora Asegure la integridad de su contraseña Guarde la confidencialidad de su información Asegúrese de ser Ud. conectado a la página web auténtica de BANCO POPULAR Es importante para Ud. de tener la certeza de que su browser está conectado con la verdadera página web bancaria de BANCO POPULAR. Cada vez que Ud. se conecta a Internet Banking, el servicio envía a su browser la información, denominada “certificación digital”. Esta certificación identifica de modo seguro el site al que Ud. está conectado y se utiliza para establecer sesión cifrada. Ud. puede ver el contenido de la certificación después de establecerse la conexión. Para Microsoft Internet Explorer 5.01 y más los datos sobre la certificación se pueden obtener haciendo doble clic en el icono de la barra de estado (en la parte baja de su browser). Para Netscape Communicator 4.77 haga clic en el icono de la barra de estado y haga clic en el botón Page Info. Esta certificación está “digitalmente firmada“ mediante el sistema Verisign, el más reconocido expedidor de certificaciones digitales en el mundo. La mayoría de los browsers están programados para el reconocimiento automático de cualquier certificación “firmada“ por Verisign. Verifique obligatoriamente los campos de la certificación. El campo “Expedidor“ ('Issuer') debe contener referencia a Verisign. En el campo “Sujeto“ ('Subject') siempre debe estar indicada la organización BANCO POPULAR Banking Corporation. Además, cada certificación tiene su “huella dactilar digital“ que esencialmente es sucesión de cifras. Como cualquier huella dactilar, es única, pero por razones de seguridad la cambiamos dentro de intervalos regulares. Ud. puede verificar la huella dactilar llamando por teléfono 1300 655 505 de BANCO POPULAR Internet helpline. En caso de tener Ud. dudas en cuanto a la autenticidad de nuestra página web, llame al teléfono 1300 655 505.   Asegúrese  de que el e-mail esté enviado por BANCO POPULAR Es importante de que Ud. actúa sólo a base de instrucciones y indicaciones contenidas en los auténticos e-mails de BANCO POPULAR. Algunos criminales tienen acceso a tecnologías que les permiten enviar e-mails parecidos a los enviados por BANCO POPULAR, pero en efecto son falsificaciones. Ud. debe siempre saber que en todos los e-mails auténticos de BANCO POPULAR se utiliza el mismo estilo, formato, terminología y lenguaje. Hay que conocer también las siguientes acciones que pueden realizarse para asegurar su seguridad: BANCO POPULAR nunca solicita sus datos personales o de contraseña por e-mail En ninguna circunstancia Ud. debe enviar sus datos personales en e-mail de respuesta Todos los e-mails de BANCO POPULAR tienen referencia o link a información sobre la seguridad Borre e-mails innecesarios y no abra archivos adjuntados a e-mails de desconocidos, ya que pueden contener virus peligrosos Familiarícese con la imagen de nuestros e-mails. Siempre guarde una copia de un e-mail auténtico para compararla con e-mails de aspecto sospechoso El lenguaje y el texto utilizados deben ser profesionales, con terminología correcta y observación de las reglas gramaticales Comuníquese obligatoriamente con BANCO POPULAR por teléfono 1300 655 505 si Ud. tiene dudas en cuanto a la autenticidad del e-mail o si ha recibido e-mail de aspecto sospechoso.   Proteja sus registros financieros Siempre guarde sus registros fiscales y otros documentos financieros en un lugar seguro Al arrojar documentos asegúrese de que en los mismos no se ve su código fiscal No comunique información sobre su cuenta por teléfono, si no llame Ud. mismo Solicite que su información personal sea borrada de bases de datos comerciales Tenga cuidado con e-mails/páginas web que le solicitan información personal o sobre la cuenta – pueden ser de compañías inexistentes Guarde fotocopias de sus registros y números de contacto de su entidad financiera en lugar seguro, de modo que pueda comunicarse inmediatamente con la misma en caso de sospechar fraude o robo Verifique obligatoriamente sus extractos bancarios en cuanto a cualquier operación que Ud. no ha efectuado   Proteja su computadora Instale en su computadora programa anti-virus apropiado y manténgalo actualizado Actualice programas anti-virus y cortafuegos (firewalls) con paquetes protectores o nuevas versiones sobre base regular Al terminar la sesión siempre salga de Internet Banking y cierra la ventana del browser Tenga cuidado cuando utiliza computadora pública o compartida (por ejemplo en Internet café) y siempre asegúrese de que haya salido de la sesión y haya cerrado la ventana del browser Proteja su PC de virus y otros programas nocivos.   Asegure la integridad de su contraseña No utilice su contraseña de Internet Banking para otros servicios (por ejemplo para video cuenta, contraseña hotmail, servicio de telefonía móvil) Cambie regularmente sus contraseñas y nunca inscríbalos   Guarde la confidencialidad de su información Pregunte cuál es la política de confidencialidad de las compañías a las que Ud. comunica sus datos personales/ bancarios e infórmese de su modo de tratar la información ofrecida Asegúrese de que éstas compañías protejan su confidencialidad recogiendo sólo los datos necesarios y utilizando dicha información sólo por razones indicados por ellos, es decir no venden su información a compañías comerciales Si Ud. sospecha mal uso su información personal, comuníquese inmediatamente con su entidad financiera.

--- Final del mensaje falso --- 

Cómo dijimos, en la página falsa, se le pide al incauto usuario ingresar datos confidenciales como su identificación personal, número de usuario (Visa, 4b o virtual), tarjeta, y otros, junto con sus claves de identificación.

El propio banco advierte en sus páginas, que estas claves sólo deben ser utilizadas en las denominadas páginas seguras, identificadas con una dirección que comienza con "https://", al mismo tiempo que en la parte inferior del navegador se muestra la imagen de un "candado cerrado" o de una "llave".

Tampoco se deben facilitar estas claves a nadie, aún cuando manifieste solicitarlas en nombre del banco.

En caso de que por cualquier motivo se hubieran facilitado las claves, estas deberán ser cambiadas de forma inmediata, debiéndose poner el usuario en contacto con dicho banco a la brevedad posible.

Para tener en cuenta:

1. Desconfíe siempre de un mensaje como el indicado. Cerciórese antes en los sitios principales, aún cuando el mensaje parezca "real". Toda vez que se requiera el ingreso de información confidencial, no lo haga sin estar absolutamente seguro.

2. Preste atención al hecho de que cualquier compañía responsable, le llevará a un servidor seguro para que ingrese allí sus datos, cuando estos involucran su privacidad. Una forma de corroborar esto, es observar si la dirección comienza con https: en lugar de solo http: (note la "s" al final). Un sitio con una URL https: es un sitio seguro. Pero recuerde que eso solo significa que las transferencias entre su computadora y el sitio serán encriptadas y protegidas, de ningún modo le asegura que el sitio es real.

Note que el servidor seguro, no necesariamente es al que usted ingresa cuando entra a un sitio como el de un banco. Pero si debe serlo en el momento en que ese sitio lo lleve a algún formulario para ingresar datos confidenciales.

Compruebe SIEMPRE, si al colocar el puntero del ratón sobre cualquier dirección indicada en un mensaje (sin hacer clic), el Outlook Express le muestra abajo la misma dirección.

3. Una vez en un sitio seguro, otro indicador es la presencia de un pequeño candado amarillo en el rincón inferior a su derecha. Un doble clic sobre el mismo debe mostrarle la información del certificado de Autoridad, la que debe coincidir con el nombre de la compañía en la que usted está a punto de ingresar sus datos, además de estar vigente y ser válido.

4. Si aún cumpliéndose las dos condiciones mencionadas, duda de la veracidad del formulario, no ingrese ninguna información, y consulte de inmediato con la institución de referencia, bien vía correo electrónico (si es una dirección que siempre usó), o mejor aún en forma telefónica.

De todos modos, recuerde que prácticamente es una norma general, que NINGUNA institución responsable le enviará un correo electrónico solicitándole el ingreso de alguna clase de datos, que usted no haya concertado previamente.

Glosario:

SCAM - Engaño con intención de estafa o fraude, que mezcla el correo no solicitado (SPAM) con un HOAX (bulo o broma).

PHISHING - Técnica utilizada para obtener información confidencial mediante engaños (generalmente por medio de un "scam", mensaje electrónico fraudulento, o falsificación de página web).

(c) Video Soft
(c) VSAntivirus