Por: Lucas Rincón (Senior Associate, Risk Concepts, Ltd.)
El fraude tipo phishing –la pesca por correo electrónico de datos bancarios personales y confidenciales- es un ilícito en auge asechando a los bancos, a las empresas del sector real y a sus clientes en todo el mundo. Este artículo enfoca el flagelo desde la óptica de los bancos.
¿Qué es el phishing bancario?
El phishing bancario es el diseño y envio por correo electrónico de mensajes falsificados aparentando pertenencia y procedencia de bancos acreditados para inducir a los destinatarios a suministrar sus datos bancarios personales y confidenciales para defraudarlos. Bajo pretexto de confirmación o de actualizaciónde sus datos -como PINES y claves, números de tarjetas de crédito y de débito, cédulas de identificación, de ciudadanía o de vecindad, y números de cuentas bancarias- los correos phishingpiden al ingenuo activar el hipervínculo (hyperlink)señalado en el mensaje mismo para enlazarlo con otro sito Web creíble y exclusivamente dispuesto para engañosamente tomar sus datos.
En poder de estas confidencias los pillos tienen los elementos suficientes para vaciar los fondos de las cuentas bancarias y de las tarjetas plásticas de sus víctimas. Los mensajes y las páginas falsificadas para cometer phishing entrampan porque lucen como páginas fidedignas de los bancos imitados… pero al final de cuentas son emulaciones remitidas por los atacantes solo para robar datos y para defraudar con ellos… ¡así de sencillo!
Características de un mensaje phishing
Como lo muestra la pantalla ejemplo a continuación, la dirección en el campo de remisión (from field) (1.) de un mensaje electrónico phishing siempre aparenta ser del banco imitado en el correo, en este caso del Citibank. Asimismo, la página lucirá sus logotipos o imágenes (2.) muchas veces extraídas de algún sitio Web legítimo del banco. Además, aparecerá un hipervínculo -en la pantalla es la palabra here (aquí)(3.)- que al activarse enlaza al usuario con otro sitio Web aparentemente del banco pero que en realidad es un sitio Web gemelo falso y preparado para pedir y tomar sus datos. En este caso la dirección del falso es la que aparece en la parte inferior izquierda de la pantalla ejemplo… que de entrada no es de un banco porque las direcciones de los bancos son https:// en lugar de http:// (también, las paginas de los bancos llevan en sus navegadores un candado cerrado que si no figura no es una página legítima).
Los hipervínculos además pueden aparecer con nombres más persuasivos comoLog-in to Citibank o www.citibank.com/secure. Cual sea la nomenclatura los mensajes falsos phishing buscan insinuarle a la víctima activarlos “…para actualizar sus datos por no haber podido procesar recientes operaciones en su cuenta y para garantizar que su cuenta no sea suspendida favor teclear aquí”… como reza el ejemplo. También proponen otros argumentos como… “para confirmar sus datos a solicitud del departamento de seguridad del banco favor teclear aquí…”. Cualquiera sea el raciocinio, los mensajes buscan engañar.
¿Quien esta detrás del phishing?
Son miles los delincuentes -solos u organizados- detrás de los correos electrónicos phishing. Envían millones de correos a la expectativa que al menos unos pocos de sus destinatarios muerdan el anzuelo aportando su información bancaria personal y confidencial. Cualquiera con dirección electrónica está expuesto y las direcciones matriculadas en la Internet (en foros de discusión, en grupos de noticias o en un sitio Web) corren mayor peligro porque los programas araña (webcrawlers) merodean la Internet atrapando cuanta dirección electrónica puedan de las páginas Web. Por eso el phishing es tan rentable. Sin mayor costo los pillos pueden acceder a millones de direcciones.
¿Qué hacer contra el phishing?
Lo más importante es saber que todo banco que se respete no solicita información bancaria personal y confidencial por Internet. Por más convincente que sea la página, la regla de oro es rechazar in so facto todo mensaje electrónico solicitando datos personales. Inmediatamente debe borrarse y en seguida vaciarse la papelera de reciclaje para evitar activaciones accidentales. Cualquier duda que le persista a la persona sobre lo planteado por un mensaje phisihing deberá aclararse por los canales regulares dispuestos por el banco.
Acto seguido se debe ir a la página Web titular del banco imitado para informar el incidente. La dirección del banco agradecerá conocer que su institución es utilizada para phishing y tomará medidas. Muy posiblemente la misma página Web titular del banco también aporte direcciones Web de instituciones que luchan y sensibilizan contra este flagelo (Vg. Anti-Phishing Working Group ). Y dependiendo del país de residencia, pueden existir organismos gubernamentales que manejen el tema (Vg. Federal Trade Commission en los EE.UU. <www.ftc.gov>). Todos deben notificarse.
Sensibilización de los clientes y del personal
Para sensibilizar a los clientes podrían hacerse campañas didácticas sobre elphishing, por ejemplo, en desprendibles ensobrados con sus estados de cuenta y correspondencia. También podrían señalarse alertas en la página Web del banco y desplegarse advertencias en afiches fijados en sitios prominentes del banco. Una circunstancia interesante para divulgar es que mucho mensaje phishing se delata por si solo por errores risibles como logotipos imperfectos, errores de ortografía, signos porcentuales seguidos por números o por símbolos como @ para designar hipervínculos, nombres sin afinidad con el contenido o direcciones de correo electrónicos en los textos de los mensajes, hasta encabezados sin parecido a los del banco imitado.
Con el personal del banco podrían hacerse ataques phishing sorpresa…. con seguridad mas de uno caerá. La experiencia servirá para sensibilizarlos y para convertirlos en factor multiplicador de ello ante la clientela y sus compañeros de trabajo. Esto también ayudará a prevenirlos contra los ataques phishing puntuales a continuación.
Phishing puntual
Este tipo de phishing ataca a un solo usuario o a un solo departamento del banco. Los mensajes phishing puntuales aparentan envío por alguien de autoridad en el banco solicitando, por ejemplo, identificaciones de inicio de sesión y claves de acceso. También, se usan mensajes fingiendo envió por el departamento de recursos humanos o por el departamento de soporte técnico exigiendo al receptor actualizar sus datos. Otro tipo de phishing puntual pide a los usuarios internos activar hipervínculos, disparando spywares que roban datos. Con estos ataques phishingpuntuales e ingeniosos ni las redes internas mas blindadas están a salvo… ¡y podrían cometerse por hackers internos!