Según indica la enciclopediaWikipedia(es.wikipedia.org), phishing es la capacidad de duplicar una página web para hacer creer al visitante que se encuentra en la página original en lugar de la copiada. Normalmente se utiliza con fines delictivos duplicando páginas web de bancos conocidos y enviando indiscriminadamente correos para que se acceda a esta página a actualizar los datos de acceso al banco.
De forma más general, el nombre de phishing también se aplica al acto de adquirir, de forma fraudulenta y a través de engaño, información personal como contraseñas o detalles de una tarjeta de crédito, haciendose pasar por alguien digno de confianza con una necesidad verdadera de tal información en un correo-e parecido al oficial, un mensaje instantáneo o cualquier otra forma de comunicación.
El término phishing fue creado a mediados de los años 90 por los crackers que procuraban robar las cuentas de America OnLine (AOL). Un atacante se presentaría como empleado de AOL y enviaría un mensaje inmediato a una víctima potencial. El mensaje pediría que la víctima revelara su contraseña, con variadas excusas como la verificación de la cuenta o confirmación de la información de la facturación. Una vez que la víctima entregara la contraseña, el atacante podría tener acceso a la cuenta de la víctima y utilizarla para cualquier otro propósito, tales como el envío de publicidad no solicitada (spamming).
En el último año, han trascendido intentos de estafas a clientes de distintas entidades bancarias mediante lo que se denomina phishing. El procedimiento utilizado consiste en que el usuario recibe un correo-e que simula ser de su banco, en el que se le pide una verificación de sus claves para operar por Internet.
Facua ha alertado de este nuevo caso de phishing o estafa bancaria por Internet a clientes de distintas entidades bancarias mediante el envío masivo e indiscriminado de un correo electrónico mediante el que se intentan recabar los datos de los usuarios para acceder a sus cuentas bancarias.
En el correo-e aparece como remitente el nombre de la entidad bancaria, con la supuesta dirección de su correo electrónico y especificando el asunto, relacionando con un proceso de notificación. Suele aparecer además una imagen que reproduce el logotipo de la entidad bancaria, y a veces se acompaña de un mensaje que invita a entrar en la página web del banco.
En el último fraude detectado, el texto del correo-e advertía al usuario que la entidad bancaria ha renovado su sistema de seguridad para prevenir las tentativas de estafa, lo que hace necesario, indica, que reactive su cuenta “a causa de las correcciones del programa de seguridad”.
Facua advierte a los usuarios que las entidades bancarias no verifican sus datos confidenciales mediante mensajes de correo electrónico, por lo que deben desconfiar de los que reciban aunque reproduzcan a la perfección los logotipos y el resto de señas de identidad de dichas empresas.
Facua reivindica a la banca que debe mejorar los protocolos de seguridad de sus páginas web para evitar que este tipo de estafas puedan tener éxito. Igualmente se pone de manifiesto la necesidad de que el sector bancario español ponga en marcha campañas de comunicación dirigidas a los usuarios para darles a conocer estas prácticas fraudulentas.
Consejos para evitar el phishing
El Centro de Alerta Antivirus de Red.es ha publicado un documento con cinco normas sencillas para no caer en la trampa del phishing, al que define como “maniobra de ingeniería social por la que un usuario de correo electrónico es invitado a revelar sus claves bancarias o números secretos de acceso a cuentas financieras“. Las recomendaciones para no caer en el phishing son:
1. No atender correos electrónico escritos en idiomas que no hable: la entidad financiera no se dirigirá al usuario en ese idioma si antes no lo ha pactado previamente.
2. No atender correos enviados por entidades de las que el usuario no sea cliente en los que se pidan datos íntimos o que afecten a su seguridad.
3. No atender sorteos u ofertas económicas de forma inmediata e impulsiva.
4. No atender correos que le avisen del cese de actividades financieras recibidos por primera vez y de forma sorpresiva.
5. No atender correos de los que se sospeche sin confirmarlos telefónica o personalmente con la entidad firmante.
Además, el Centro de Alerta Antivirus cuenta con una página dedicada más ampliamente al Fraude Financiero a través de Internet.
Para evitar caer en páginas trampa, es recomendable teclear la dirección del banco online o ficharla en los Favoritos. En cualquier caso, hay que evitar acceder a su web a través de mensajes de correo electrónico o páginas web de terceros.
Una de las formas de identificar una página web segura, que debe ser empleada por los servicios de banca online, es cerciorarse de que su dirección comienza por https, en lugar de http.
Fuente: Facua
