El "phishing": timo de la estampita 2.0

(anda María ¿no querías que escribiera? Toma escritura... ;-)

Para quien no sepa aún lo que es el phishing, le voy a contar una bonita historia reciente.

Hace unos minutos recibí un mensaje de correo electrónico. Concretamente, en mi carpeta de spam de Hotmail. Dicen que son Caja Madrid, y como esta entidad es en la que deposito todos los meses mi nómina y es copropietaria de mi vivienda habitual, tenía curiosidad por saber lo que me tenían que contar. Una vez saltados los protocolos de seguridad de Hotmail, y con el debido conocimiento de que van a intentar metérmela doblada, leo lo siguiente:

Notificamos que su Servicio en linea se ha suspendido temporalmente debido a intentos fallidos de accesos a su cuenta en linea.

Como medida de seguridad hemos decidido desactivar su cuenta temporalmente , este incidente puede deberse a que realizo intentos de acceso a su cuenta desde otra direccion IP debido a el sistema dinamico que utilizan los proveedores de Internet.

Para asegurarnos de su autenticidad rogamos reactivar su cuenta desde el siguiente enlace el cual presentamos seleccionando el tipo de cuenta manejado

Todo ello adornado con la identidad visual de Caja Madrid y la parafernalia legal que hace parecer el mensaje como genuino. Atención a la captura:


Hagamos gala de sentido común y analicemos ciertos hechos:

1) La redacción del mensaje es pésima, el texto está lleno de reiteraciones y presenta algunos errores de bulto impropios de una empresa con una fuerte imagen corporativa como Caja Madrid: separación de contracciones ("a el"), con construcciones incorrectas y confusas ("el cual presentamos seleccionando el tipo de cuenta manejado") y faltas de puntuación (ni una tilde y separación entre comas y las palabras a las que acompañan).

2) La dirección del remitente, fíjate en la captura, no pertenece a cajamadrid.es, sino a cajamadrld.es. Sutil, pero descarta por completo la auténtica identidad. ¡OJO! Es relativamente sencillo suplantar un dominio, así que aunque veas cajamadrid (en mi caso), eso no es motivo suficiente para confiar.

3) Hay un enlace a una página, que por seguridad no reproduzco; si pasamos el ratón por encima (como yo he hecho en la captura anterior), veremos que la URL no es exactamente la de Caja Madrid, sino ésta:


4) El cliente de correo que uso (en mi caso Hotmail, pero hoy día casi cualquiera cumple sobradamente) no deja de avisarme que el asunto huele mal: "No abras el mensaje" - "Bueno, lo has abierto, ¡pero no leas el contenido!" - "Vale, ¡pero no pinches en ningún sitio!" - "¿De verdad que quieres abrir el enlace? ¿Te sobra el dinero?".

5) Mi proveedor de banca es Caja Madrid, pero en otras ocasiones he recibido mensajes similares de Santander, Cajamar o Banesto. Huelga decir que si no tienes cuenta en ese banco o caja, el timo es imposible.

Si no tuviese una bitácora como ésta, posiblemente habría borrado el mensaje y santas pascuas. Pero como quiero ponerte un ejemplo claro de phishing y de cómo evitarlo, decidí mantenerlo y morder el anzuelo, a ver qué pasaba. Moralismo intelectual socrático puro.

Pues bien, estimado/a lector/a, ESTO ES PHISHING:

Página a la que me remite el mensaje. Mira qué look más retro tiene mi Firefox...

Página original de la oficina internet de Caja Madrid. No se me ocurren coñas, ¡funciona muy bien!

El phishing es un delito informático que consiste en que te cuelan por correo un enlace a la página de la captura de arriba, introduces tus datos de acceso a tu banco por internet y al poco te despides de regalarle a tu pareja la colección completa de "Fortunata y Jacinta" en BluRay.

Como puedes ver el procedimiento hasta que llegas a pinchar en el enlace del mensaje es chabacano, pero como lo hagas, la has cagado, porque el parecido es asombroso. Precisamente, fijarnos en las diferencias va a ser nuestro mejor aliado contra esta estafa.

La página "buena" muestra tres elementos que dan luz verde para que introduzcamos nuestros datos con seguridad: la palabra https en la barra de direcciones (frente al http de la mala), el candado en la esquina inferior derecha y un botón azul junto a la barra de direcciones que certifica la identidad del propietario de la página. Todos los navegadores actuales muestran claramente si una página es segura o no. Si no ves esos elementos en una página que te pide datos personales importantes, no se te ocurra introducirlos.

Y por último, recuerda que JAMÁS JAMÁS (¿he dicho JAMÁS?) JAMÁS debes acceder a través de enlaces que te lleguen por correo o messenger a páginas críticas en el mundo real como las de bancos, administraciones públicas, etc. Ten a mano un favorito o marcador, es la mejor opción.

Un saludo con gomilla tras las orejas.

P.D. No me ha valido de resistirme, y he decidido seguir con el juego. Mira lo que me dice la página cuando introduzco un identificador y una clave inexistente. Por supuesto, ingreso una firma falsa y el timo se completa con el siguiente mensaje.

P.P.D. Espero que el cliente de Caja Madrid con DNI 12.345.678 y clave 1234 me perdone, porque se va a quedar sin el pack de "Fortunata y Jacinta" con "Mentes Criminales" en DVD.

2 comentarios: (Comenta)

Mayte dijo...

jajajaja, te ha pasado como a mí que no podía resistir la tentación de ver qué pasaba, pero bueno, al leer tu post ya veo que efectivamente te acaban pidiendo también la firma digital. Yo he recibido hoy el mail y me extrañó porque yo tenía cuenta con ellos pero la día de baja en diciembre, por lo que entré a ver qué pasaba por curiosidad, y me dí cuenta de todo lo que pones, no es un servidor seguro, la dirección tan rara y para rematar, si pinchas arriba para cambiar de idioma, en la web real te aparece el menú en el idioma seleccionado, en esta te da un error la página y te redirecciona a otra que no sale nada.
Supongo que hay gente que pensará, quién va a ser tan tonto de picar... Pues espero que no haya nadie, pero hay que prevenir, sobre todo a gente mayor, como mi padre, que las webs son prácticamente iguales y nunca se sabe.
Un saludo y gracias por ahorrarme el probar a ver qué pasa jajajaj.

Megrez dijo...

¡De nada, Mayte! Allá donde haya un marrón que documentar, me meteré hasta las orejas :-)

Publicar un comentario