GuillermoCastro.com - phishing tag

Combatiendo el phishing en México

Fri, 19 Oct 2007 13:17:00 GMT

Ya había comentado hace algunos meses acerca de como hay que tener cuidado cuando recibes un correo supuestamente de tu banco pidiendo que actualices tu información o que sincronices tu token o algún otro motivo, y que realmente es un intento por obtener tu información para robarte dinero. Pero además de ignorar o borrar estos mensajes ¿Existe algo mas que podamos hacer al respecto? ¿Que pasa si te sientes con la obligación moral de reportar el mensaje fraudulento a alguien? El día de ayer me topé con un dilema similar, y me puse a investigar diferentes opciones.

Si recibiste el mensaje en tu cuenta gmail, Google te ofrece la opción de reportar el mensaje:

Esta opción envía el correo a Gmail para que ellos lo marquen en su servidor, y cualquier subsecuente correo que te llegue a ti o a otro usuario de gmail sea marcado como tal. Lo que no se es si Google envía el correo a alguna institución gubernamental para que se investigue. Usualmente además de reportar el mensaje, intento averiguar donde esta hospedado el sitio que usan para obtener los datos de los tarjetahabientes, y trato de avisarle a la compañía que hospeda las páginas acerca del problema, ya que la mayoría de las empresas de hospedaje tienen clausulas en el contrato que permiten cancelar las cuentas de este tipo de usuarios que tratan de robar información.

¿Pero que pasa si quieres ir mas allá? ¿A quien puedes reportar este tipo de páginas o correos? En el caso de México, existen varios organismos gubernamentales y privados que pueden ayudar. Por ejemplo, está la CONDUSEF, cuyo propósito es atender a usuarios de Servicios Financieros. En particular, hay una página donde existen recomendaciones para los usuarios de bancas electrónicas y ligas a otros sitios relacionados con la seguridad. Entre ellos, está una página de la Asociación de Bancos de México que contiene los correos electrónicos de los diferentes responsables de cada banco para la atención de quejas.

Así mismo, la UNAM tiene un departamento de Seguridad en Cómputo con variada información relevante. De hecho, es como una copia del US-CERT, con alertas de vulnerabilidades y otra información de seguridad.

Lo que no pude encontrar fue alguna instancia de gobierno directamente responsable de investigar fraudes cibernéticos, o alguna manera de contactarlos. Si alguien conoce mas información al respecto, favor de dejarla en los comentarios. Hay que combatir a este tipo de personas que solo son criminales y que quieren perjudicar la economía de uno.

Como funcionan los Tokens de los bancos

Mon, 26 Mar 2007 20:14:00 GMT

A partir del 3 de Marzo del 2007 por disposición oficial de la Comisión Nacional Bancaria y de Valores, los bancos que operan en México tuvieron que implementar medidas de seguridad actualizadas para proteger a los usuarios de banca electrónica que realizan transacciones monetarias por Internet. Aun cuando la implementación del esquema varía de acuerdo al banco, la mayor parte de ellos decidió utilizar el esquema de Token. Pero, ¿Sabes como funcionan estos aparatos?

Básicamente, un Token es un dispositivo con un reloj interno, el cual se sincroniza con un servidor a la hora de ser activado por primera vez (en la fabrica, usualmente), y sirve para generar una contraseña única en un período de tiempo (segundos es lo mas común) a través de un algoritmo secreto y privado. Esta contraseña, una vez generada, es comparada con el servidor el cual tiene el mismo algoritmo para generar la contraseña, basándose en el número de serie de tu token, el cual está ligado a tu cuenta bancaria. Estos dispositivos generalmente duran de 3 a 5 años de uso normal, y están fabricados de tal manera que siempre estén sincronizados con el servidor. (Las compañías que los fabrican invirtieron millones de dólares asegurándose de que así sea).

Esto viene a colación porque en la mañana recibí el mismo correo que recibió Lula, donde supuestamente Banamex está pidiendo a sus usuarios que entren a su página de Bancanet con el objetivo "Sincronizar" el Netkey (nombre comercial del Token de Banamex) con sus servidores. Esto obviamente es un intento de Phishing, ya que el factor principal de estos tokens es precisamente que están desconectados de todo, y no necesitan sincronización con el servidor.

Se ve que quien quiera que trate de robar la información de los clientes de Banamex ha pensado muy bien como tratar de engañar a la gente, ya que el texto del correo tiene sentido si no conoces bien como funcionan estos aparatos. Por eso es que hay que estar siempre al pendiente de este tipo de fraudes, y nunca seguir ligas de correos, aun cuando creas que el correo sea legítimo. Si tienes duda sobre si realizar el proceso o no, abre una ventana (o tab) nuevo, y manualmente teclea la dirección de tu banco (banamex.com, bancomer.com, santander.com.mx, etc.). De esa manera estás mas protegido. Mucho ojo (y cuéntaselo a quien mas confianza le tengas... pensándolo bien, cuéntaselo a todos, mientras mas gente esté consciente de este tipo de fraudes, menos éxito tendrán).

De hackeos de blogs (y como evitarlos)

Wed, 30 Aug 2006 14:53:59 GMT

Pues resulta que el día de ayer "hackearon" un blog que estaba a favor del Peje, "El Sendero de Fecal". Personalmente no estoy de acuerdo con este tipo de acciones, principalmente porque yo también tengo un espacio en la red, y a mi no me gustaría que alguien tratara de quitarmelo.

Sin embargo, yo creo que la gente ya está harta de este tipo de sitios, que solo sirven para inflamar a la gente y poner propaganda pro-amlo con sus "verdades" a medias, y que desde mi punto de vista no pueden ser calificados como blogs, ya que no proveen de un espacio para comentar acerca de las historias ahi puestas. No hay un espacio abierto para comentar y/o discutir la relevancia o la veracidad de las historias, etc. Cuando menos ahora todos los que están a favor y en contra del Peje pueden dejar sus opiniones ahi.

Lo que me parece interesante, por estar involucrado en la industria de la Tecnología de la Información, es la manera en que lograron apoderarse del sitio. Siendo que el sitio está basado en Blogger (un servicio de Google), el cual hospeda millones de blogs, siento que la posibilidad de "hackear" el sistema en sí es muy difícil. Entonces la vulnerabilidad tuvo que estar en la cuenta del administrador del blog. Es decir, el "hacker" lo único que tuvo que hacer fue obtener la contraseña del usuario que administra el blog. Esto lo pudo hacer de varias maneras:

Adivinándolo. Si conoces a la persona puedes tratar de adivinar cual es la contraseña que podría utilizar. Por eso es que cuando escogas una contraseña, procura que no sea nada que otra gente pueda saber de ti, como el nombre de tu perro, tu matrícula de la escuela, etc. Existen varios programas que te permiten generar contraseñas aleatorias.
A traves de una página de phishing. No solo para tratar de quitarte la información de tu cuenta de banco sirve este tipo de ataques. Mucha gente ya sabe que no debe de darle click a ningun mail supuestamente de tu banco donde te pide que actualizes tu información, ya que este es un claro intento de robarte tu cuenta. Sin embargo, cuando la petición viene de un sitio no financiero (como Blogger), puedes bajar tus defensas. Por eso es muy importante no seguir las ligas de ningun correo que recibas de ninguna compañía, no importando que no sea un banco.
Buscando una vulnerabilidad en tu cuenta de correo. Aqui aplican los dos puntos anteriores. Normalmente los sitios de internet donde te registras te piden una cuenta de correo para recuperar tu contraseña en caso de que la olvides. Por eso es muy importante que tu cuenta de correo esté segura. Si llegaran a apoderarse de tu cuenta de correo, automáticamente tendrán acceso a todas los sitios donde estés registrado. Procura usar una contraseña diferente para tu cuenta de correo de la que usas en otros sitios.

Siempre hay que tener cuidado con los correos que recibes. Desafortunadamente, es muy difícil actualmente establecer la verdadera identidad de la persona o compañía que te envió el correo, a menos que utilizes firmas digitales.

Por último, procura respaldar tu sitio regularmente, para que en el peor de los casos tengas una manera de recuperar todo el tiempo que has invertido, aunque sea en otro lugar.