Resumen
¿Quién de nosotros no ha recibido al menos una vez en la vida una propuesta que ha parecido tan tentadora que nos fue imposible negarnos? Pero que al final terminó en una mala elección, por haber caído en una trampa.
Son nuestras necesidades las que nuestros enemigos aprovechan para quitarnos aquello que “ellos” desean tanto de nosotros: a veces es simple satisfacción personal, pero otras veces es…y la mayoría de las veces..un beneficio económico. Y cuando hablamos de beneficio económico significa que nos robarán, pero también pueden quitarnos información valiosa que con ciertas artimañas al final se convertirá en beneficio monetario para el estafador.
No importa cuánto avancen y mejoren sus métodos, hay muchas cosas que nosotros podemos hacer para protegernos de estos individuos, y la primera de ellas es el principal objetivo de este artículo: Informarnos.
Estas personas nunca dejarán de existir, y aunque los combatamos, los criminales siempre evolucionan sus métodos, y solo la información y el conocimiento nos pueden proteger.
Metodología
En este artículo comparto mi experiencia personal, y cito algunas fuentes bibliográficas y de internet de excelente apoyo y veracidad. Los ejemplos que se exponen son reales, y los comparto con ustedes para que juntos nos instruyamos y sepamos realizar un análisis de cada situación.
Texto completo
Diferentes Tipos de Intento de Fraude
Phishing
Ocurre cuando alguien intenta por cualquier medio obtener información relevante o personal, tales como: número de tarjeta de crédito, número de seguro social, número de ID o DNI, número de licencia de conducir,entre otros. Esto con el fin de utilizar estos datos para su beneficio.
En la actualidad la tecnología Centralizada permite hacer todo tipo de consultas y gestiones gubernamentales vía web, incluso en EEUU hay bases de datos semi públicas donde cualquier persona puede localizarte solo con saber tu número de seguro social o tu nombre(*1).
En los ataques de phishing el objetivo es generalmente financiero, y tiene las siguientes características:
- Recibimos un mensaje que parece urgente en nuestro correo electrónico o redes sociales.
- Se nos pide enviar información urgente y personal.
- Los mensajes tienen la apariencia de ser legítimos, con logos reales de la empresa, banco o institución de la que estén disfrazados.
- En muchas ocasiones se nos ofrecen sorprendentes premios o incentivos económicos. Por ejemplo: “Usted se ha ganado un auto, solo tiene que enviarnos su número de acceso a banca en línea para hacerle el depósito”.
Vishing
Tiene los mismos objetivos que el Phishing solo que su modalidad es por voz. Por ejemplo: Usted recibe una llamada de un número privado (lo cual no es común en ninguna compañía seria), y se le dice “Buenas tardes, usted ha ganado un sorteo extraordinario que hemos realizado utilizando todos los números de teléfono de la ciudad, se ha ganado un teléfono inteligente de última gama, solo debe darnos su número de tarjeta de crédito para que Visa le haga la transferencia directamente a su cuenta, y también necesitamos su número de seguridad de la tarjeta”.
Muchas veces estos atacantes caen de manera ingenua ante usuarios que realmente saben que hay cosas absurdas que las empresas verdaderas nunca harían, como pedir tu número de seguridad de tu Visa.
En estos ataques podemos destacar las siguientes características:
- La persona que nos habla tiene un vocabulario deficiente, y su acento es muy dudoso. Puede ser alguien con un teléfono desde la cárcel (y suele ocurrir mucho).
- El número desde donde recibe la llamada no parece de una empresa, o es privado.
- Los datos que le están pidiendo son muy confidenciales. Hay datos que “nunca” se deben compartir por teléfono:
- Número de tarjeta de crédito completo(los bancos solo te piden los cuatro últimos dígitos o una fracción)
- Clave de acceso a banca online(Una empresa nunca te pide tu contraseña por teléfono, ya que el operador no tiene forma de saberla)
Recomendación
- Nunca compartas tu dirección exacta por teléfono, solo puedes indicar el corregimiento o distrito, pero no el número de casa y nombre de edificio.
- Nunca se debe compartir nombres de miembros de su familia ni información personal de ellos.
Recuerde: Una empresa de telefonía no tiene motivo para pedirle el número de pin de una recarga a dispositivo móvil.
SmiShing
Tiene los mismos propósitos del Vishing y el Phishing, solo que la modalidad es mediante mensajes de texto en su celular. Suele ocurrir que le dicen en un SMS: “Usted se ganó la celuLoto, por 1 millón de USD, haga válido su premio haciendo clic en www.rft.lotoTuYop.com”.Y este link lo dirige a una página con un formulario donde se le piden datos personales.
Gemelos Malvados
Es una nueva técnica de estafa, mediante la cual los estafadores logran crear una red de wifi idéntica a una de las redes a las que usted se conecta. Por ejemplo, usted suele conectarse a la red de la universidad que se llama “Uni Net”, el infractor con sus buenos conocimientos de informática ha creado una red con el mismo nombre, y dado que la red de la universidad es abierta, usted se conecta sin clave. Mientras usted navega en internet y revisa sus cuentas bancarias, el estafador esta capturando todos los datos importantes.
Características:
- Pueden aparecer dos redes con el mismo nombre al momento que trata de conectarse
- Usted puede ver una velocidad anormal en la conexión (en ocasiones no se nota ninguna diferencia)
- Suele ser difícil de detectar
Tabnabbing
“Consiste en emplear scripts para reemplazar la página normal en una pestaña que no esté activa por una copia creada por el hacker”(*2).
Es una nueva metodología que funciona cuando tenemos muchas pestañas abiertas (tabs), sin que nos demos cuenta el infractor reemplazará una de estas pestañas por una fraudulenta idéntica a la que estamos usando. Este tipo de ataques no suelen ocurrir cuando tenemos un buen firewall ya que implica hacking.
Pharming
Consiste en que al ingresar a una página web, caemos en una página falsa con la misma apariencia de la original. Suele ocurrir con páginas web de bancos y páginas gubernamentales.
“Los ataques mediante pharming pueden realizarse de dos formas: directamente a los servidores DNS, con lo que todos los usuarios se verían afectados, o bien atacando a ordenadores concretos, mediante la modificación del fichero «hosts» presente en cualquier equipo que funcione bajo Microsoft Windows o sistemas Unix.”(*3)
Existen otros tipos de metodologías de fraude tales como: Spoofing (ataque por red, suplantación de IP), Phreaking(hacking telefónico) y otros, pero este artículo busca encontrar los puntos lógicos claves para detectar estos elementos maliciosos, y protegernos incentivando el informarnos más sobre el tema.
¿Cómo protegernos?
Hay aspectos un poco técnicos que todos debemos saber, y para esta explicación utilizaremos un ejemplo real del autor de este artículo.
Hace casi un mes recibí este correo en mi buzón:
Parece una mujer que vio mi perfil (dado que todos tenemos un perfil en alguna red social), y aparentemente ella quiere llamar mi atención diciéndome que me enviará fotos de ella.
Si reviso la información del remitente he notado algo extraño:
El nombre del remitente dice “vera damah <chana@cantv.net>” , lo cual es inusual ya que nadie coloca en nombre de remitente una dirección de correo, esta persona además utilizó un supuesto servidor de “cantv.net” que corresponde a una página de entretenimiento venezolano.
Continuando el análisis noté que la dirección remitente real es veradamah120@mail.com, no hay nada extraño en eso pero resulta que me dio por colocar esa dirección en google. Y descubrí que a todos le envió ese email, e incluso en diferentes idiomas. Obviamente Veradamah120 no es una mujer real.
Para finalizar mi análisis pude notar que si hago clic en Responder, la dirección de respuesta no es ninguna de las que ella dice que son suyas.Ya que como vemos en la imagen de arriba, este mensaje tiene como dirección de respuesta la dirección “veradamah01@gmail.com”.
Este mensaje fue enviado a miles de personas, de las cuales seguro muchos hombres respondieron a su llamado, esperando las grandiosas fotos que ella prometió. Con la esperanza de tener una relación seria con ellos. Así vemos que el atacante siempre busca una vulnerabilidad en sus víctimas(en este caso hombres faltos de una relación).
Otro ejemplo real: Hace un mes decidí vender una tablet que no utilizo, es un modelo económico y decidí venderlo en 160$, un día me enviaron una respuesta de la página donde publiqué mi anuncio:
Hay algo parecido entre este correo y el anterior, lo cual nos puede enseñar algo. Podemos ver que ambas enviaron su correo desde una dirección de correo , y ambas indican que la respuesta debe hacerse a otra dirección. Esto es así ya que la dirección de origen es de un sistema automatizado de envío, como un robot. Y la única manera de filtrar las respuestas, utilizan otro buzón para tener en su bandeja de entrada las respuestas de sus víctimas.
Continuando con el ejemplo, decidí responder a esta persona indicándole los detalles del producto, y ella me volvió a responder:
Utilizando la lógica estas fueron mis conclusiones:
- Ningún padre responsable estaría dispuesto a darle la dirección de su hija a un extraño que vende cosas en internet.
- Si estas en “Færøerne “ por qué tienes que comprar un producto en Panamá?
- Me está pidiendo información de mi banco (muy malo). Definitivamente debo borrar este email. Creo que hay una regla de oro en estos tiempos: “Todo extraño que te pida información bancaria por internet, es un posible estafador y debemos cuidarnos”.
En este caso Veradamah nunca recibió mi respuesta, y la hija de Stella no recibió su tablet, pero yo no fui estafado.
Conclusión
Ya no existe un libro donde se describa el comportamiento común de los criminales de esta época, la creatividad de los estafadores suele crecer y nosotros somos sus víctimas si no aplicamos la lógica en la toma de decisiones.
Recomendación
Siempre que recibamos un correo o llamada de nuestro banco o de una entidad financiera, debemos aprender a preguntar e investigar, y no siempre ser nosotros a quienes se nos pregunte.
Hay que aprender a analizar los datos de las personas que nos envían correos, SMS o llamadas, para estar seguros de que es un remitente verídico.
En internet hay muchos consejos y recomendaciones que nos serían útiles para estar alertas antes los avances en las técnicas de estafa. Estar informado es la mejor protección.
Fuentes:
- http://www.peoplesearch.com/
- http://es.wikipedia.org/wiki/Tabnabbing
- http://es.wikipedia.org/wiki/Pharming