miércoles, 12 de febrero de 2014

ATAQUES "PHISHING" DESVIARON MAS DE RD$120 MILLONES DE BANCOS


Ataques "phishing" desviaron más de RD$120 millones de bancos

En seis años, las autoridades han conocido 1,823 denuncias de este tipo de fraude



En los últimos seis años, 432 casos de robo de datos bancarios a través de páginas web o correos electrónicos fraudulentos pusieron en juego más de RD$120 millones de cuentas en República Dominicana.

De 11 entidades bancarias con fraudes reportados, los clientes de dos fueron los más perjudicados. Sólo una compañía financiera fue víctima de 168 casos que involucraron RD$14,843,745; US$74,429.89 y €1,000. La otra totalizó 139, envolviendo RD$8,780,704.

El Departamento de Investigación de Crímenes y Delitos de Alta Tecnología (DICAT), de la Policía Nacional, reporta que estos 432 casos fueron resueltos y los montos recuperados. Sin embargo, ¿cómo lograron desviarlos?
La modalidad usada fue la denominada "phishing" (del inglés fishing: pesca), un término informático, que Microsoft define como un tipo de robo de identidad en línea, a través del correo electrónico y páginas de Internet fraudulentas diseñadas para robar información personal, como números de tarjetas de crédito, contraseñas y datos de cuentas. 
Entre 2007 y principios de 2013, el DICAT manejó 860 denuncias de "phishing". Sin embargo, desde febrero de ese año, cuando se creó la Procuraduría Especializada contra Crímenes y Delitos de Alta Tecnología, hasta finales de 2013, se recogieron 963. Esto significa que en sólo seis años, se han conocido 1,823 querellas, resolviéndose 1,050, para el 57.5%.
Miles al día
Años atrás, un correo electrónico "phishing" podría considerarse como uno más de la lista de "basura". Aunque las estadísticas indican que el e-mail es menos usado para estos ataques, los "phishers" han perfeccionado los mensajes hasta hacerlos parecer confiables.

Una víctima contó a DL que consideró fidedigno un correo que llegó a su bandeja, solicitándole que renovara su tarjeta de códigos para transacciones bancarias. Suministró la información, y de inmediato le sustrajeron su quincena de RD$12,700.

Mejor suerte corrió otro usuario. Recibió un correo de su "propio" banco para rehabilitarle su tarjeta de claves. Se dio cuenta de que el mensaje comprendía una imagen alojada en una dirección de una página de Internet sobre diabetes, y lo descartó.

Entre mayo de 2011 y abril de 2013, unos 37.3 millones de usuarios a nivel mundial fueron sujetos de un ataque de "phishing"; el 20% se identificaba como una entidad bancaria. Así lo reporta el estudio "Evolución de los Ataques Phishing 2011-2013", de Kaspersky Lab, una empresa internacional especializada en productos para la seguridad informática.

Kaspersky señala que 102,100 internautas recibieron ataques "phishing" cada día entre 2012-2013. En tanto que Websense, una compañía que trabaja en la protección de organizaciones contra ataques cibernéticos y robos de datos, estima que el porcentaje de intentos de "phishing" en todo el tráfico de correo electrónico se redujo a 0.5 % en 2013, frente al 1.12 % de 2012.


La República Dominicana no figura entre los países más atacados. Kaspersky indica que el 64.05% de las víctimas fueron de Rusia, Estados Unidos, India, Alemania, Vietnam, Reino Unido, Francia, Italia, China y Ucrania. Mientras que Websense establece un conteo de las 10 principales naciones que hospedan las direcciones (URL) de páginas de Internet de "phishing": (1) China, (2) Estados Unidos, (3) Alemania, (4) Reino Unido, (5) Canadá, (6) Rusia, (7) Francia, (8) Hong Kong, (9) Holanda y (10) Brasil.

Las autoridades dominicanas no manejan las estadísticas de la cantidad de "phishing" que se envía cada día en el país, pero conocen cómo funcionan. El director del DICAT, coronel Licurgo Yunes, explica que una de las maneras empleadas es usar listas de correos masivos para tomar las direcciones y enviarles el correo malicioso.

En el caso de fraudes a bancos, en un amplio universo, puede coincidir que entre los destinatarios existan usuarios con una cuenta en la institución financiera falseada que, creyendo que es real, accedan a la página, y suministren sus datos, para darse cuenta después que fueron estafados.

Por su experiencia, el coronel Yunes afirma que aquellos con más bajo nivel educativo y financiero son los más propensos a caer en un "phishing".
¿Cómo detectarlos?
En su estudio: "Los 10 países que más hospedan phishing y las 5 líneas de asunto más peligrosas", Websense destaca que los ciberdelincuentes están orientando sus ataques a usuarios, a quienes han investigado a través de las redes sociales, y les han creado un perfil.

La empresa destaca que, según investigaciones realizadas entre enero a septiembre de 2013, las cinco principales líneas de asunto en los correos electrónicos "phishing" son invitación a conectarse en la red social de contactos profesionales LinkedIn; "La entrega del mensaje ha fallado: devolver el mensaje al remitente", "Querido cliente del banco", "Comunicación importante" y "Mensaje no entregado devuelto al remitente".

Los atacantes crean una copia detallada de la página falseada, con una URL similar, a la que reemplazan uno o varios caracteres, que a veces son imperceptibles a primera vista.

DL consultó a la empresa dominicana Wepsys, dedicada a ingeniería de softwares bancarios, y a Engel Rivas, docente en el Diplomado de Seguridad de la Información del Instituto Tecnológico de las Américas (ITLA), para conocer el proceso de un ataque "phishing", y cómo se determina la falsedad de la URL de una página. Para mejor entendimiento, suministraron a este medio unas gráficas que acompañan este reportaje.

El Banco Popular, uno de los bancos del país con más cartera de clientes, recomienda "siempre ignorar y borrar" los correos "phishing". "Las entidades financieras no piden informaciones similares por esta vía. En caso de haber pinchado los enlaces, aconsejamos entonces pasar de inmediato un programa antivirus, ya que el equipo puede estar comprometido".

La entidad financiera maneja un software de seguridad denominado Vigía Web, que alertará al cliente si su computadora está siendo vulnerada.

Sin embargo, a pesar de los esfuerzos contra el "phishing", Websense asegura: "Esta técnica de ataque nunca desaparecerá, y seguirá siendo una de las causas de dolor de cabeza de los profesionales de seguridad".
Cómo prevenir
- Nunca revele información por la Internet sobre su nombre de usuario, contraseña y números de cuentas.
- Si entra a la página de un banco, asegúrese de que en la URL aparezca un símbolo de seguridad, como un candado amarillo.
- Esté pendiente de que la dirección URL no tenga errores.
- Si un amigo o desconocido le envía un enlace en las redes sociales o mensajería instantánea, trate de identificar primero hacia dónde dirige.
- Si recibe un mensaje con un hipervínculo, las plataformas de "emails" (y los "browsers") permiten que si se posiciona sobre el enlace, le aparezca en una esquina de la pantalla la dirección hacia dónde lo llevará el vínculo. Si no hay congruencia, usted está frente a un correo "phishing".
- Si sospecha que fue víctima, cambie sus contraseñas y acuda a su banco.
- Remita cualquier correo o mensaje phishing a dicat@policianacional.gov.do o a la cuenta de Twitter @DICAT_PN.

No hay comentarios:

Publicar un comentario