Ayer, por segunda vez en las ultimas semanas, me llegó un correo bastante convincente, de un banco. Precisamente en los ultimos dos meses, ya me habian hablado del banco donde tengo mi cuenta y acceso por internet, argumentando que tenia “movimientos extraños” que podrían significar fraude. En aquella ocasión, me lo hicieron saber, y me recomendaron hablar inmediatamente y de manera directa al banco, el número viene al reverso de la tarjeta o se puede buscar en su sitio. Y bueno, estos son los pasos que usaron estos fulano(s) que enviaron correo, para aprovechar este “feature” de los bancos de comunicar cuando algo raro pasa con tu tarjeta, y poder tener cuentas de banco gratis:
1. El correo. En mi caso muy particular, me llegó a mi cuenta de gmail. El sistema de gmail tiene un bug que permite que los correos lleguen al inbox en lugar de que lleguen como spam. El truco consiste en tener un sistema de correo que cumpla la mayoria de las reglas que piden, pero la clave del bug es poner en el FROM del correo a no-reply@google.com o noreply-mail@google.com ( no se si funcione con @gmail.com ). Yo mismo comprobé enviandome un correo de un servidor, con este FROM en los headers, y efectivamente, me llegó a mi inbox. Parece que después de 1 mes, no han arreglado este bug.
2. Conseguir un dominio parecido al de algun banco, o que parezca legítimo. En mi caso, me llegó un correo de data-exchange.co.tz/boa/ssl/online , pero para los que sabemos, de inmediato te das cuenta que no estas en un sitio con ssl ( obviamente no dan certificados para sitios fraudulentos ). En el otro caso ( no recuerdo si clamaban ser bank one o bank of america ), utilizaban en el URL la IP en hex, de manera que la gente “normal” no pueden darse cuenta de la ip o dominio en sí. Como ejemplo, saca la IP de youtube.com que en mi caso me resolvió a 208.65.153.238. Convirtiendo estos en hex, te da D0 41 99 EE, con lo que puedes entrar al sitio como http://0xd04199ee/ , de manera que puedes confundir al usuario. Ese es el primer paso.
3. Copia del diseño. En ambos casos el diseño era una copia fiel del sitio al que trataban de fraudar. Mismos logos, mismo layout, mismos fonts, mismo todo ( recordé las veces que hice esto para obtener algunas cuentas de hotmail 
). Los usuarios “normales” de internet creen todo lo que ven, y si se sienten como en el sitio “original”, ya v….
4. Acceso. De entrada, los sitios piden los datos de acceso a la cuenta de internet. Yo al no tener una cuenta en ese banco ( y aunque la tuviera ) le inventé cualquier cosa como login y pass ( digamos phised / user ). Cualquier cosa que le pongas a esta página de acceso, magia!!! te deja entrar. Para los usuarios “normales”, esto es parte del procedimiento, y meten su login y pass actuales. Para el defraudador, ya tienen una pieza ganada: el acceso del usuario al sitio del banco. Además de todo, el login y pass se guarda en sesión en el servidor, más adelante sabrán para qué 
) .
5. “Actualización de datos”. Voilá! Despues de hacer login con datos fantasmas, te dice que has entrado al sistema, y sobre el problema que ha sucedido en tu cuenta, o cuentas, o el sistema, o pueden inventar miles de cosas, pero te piden que porfavor actualices tu información. Te piden nombre, dirección, teléfono, obviamente tu numero de tarjeta, y … si!!! tu numero de verificación de tu tarjeta!! jajaja ( esos tres numeritos que te piden cuando haces una compra ). Con el número de tarjeta, numero de verificación y dirección ya los usuarios “normales” les regalan cualquier compra que puedan hacer por internet. Eso es lo mas gacho.
6. “Gracias”. 
Ajá. ( Gracias por regalarme tu dinero, tus cuentas, tu dirección, acceso a tu cuenta bancaria y, para usuarios “normales”, acceso a su im, hi5, blog, myspace, o cualquier otras cuentas que puedan tener, ya que usan el mismo password para todo 
). Y gracias, y que esto es para prevención de fraude o cosas extrañas, blablabla, un botón para continuar.
7. Lo mejor de todo, después de tanto meterle tanto a la mente del usuario, con el user y pass que traes en sesion, despues de clickear el botón de ‘continuar’, haces un post al sitio auténtico, y si el login y pass fueron puestos bien a la primera, el POST te autentifica en el sitio real, metiendote a tu cuenta de verdad, haciéndote creer que todo lo que hiciste fue, de verdad, algún procedimiento del banco.
Esta vieja “técnica” se llama phishing, e incluso hoy en día se aprovechan de vulnerabilidades tecnológicas y la credibilidad de los “users”. La mejor manera de evitar estos fraudes, es orientar a los usuarios “normales” a aprender a no creer todo lo que ven en internet, al menos a los usuarios que nos importen. Simplemente que no metan informacion por internet de algun sitio que lleguen de repente ( si van a entrar al banco, que SIEMPRE escriban el URL del banco directamente en el browser ). Que siempre observen que cuando estan metiendo información, hay un https ( con S ) en el URL, o el candadito que indica que estás con ssl.
Tags: People and stuff, Tech by eskizo
7 Comments »