Credit image

¿Te gusta el diseño web? ¡Echa un vistazo a la documentación de LenguajeCSS.com!

10 pasos que debería dictar el sentido común

Los 10 pasos que debería dictar el sentido común para no caer en estafas de Phishing, Scam o fraudes electrónicos.

Hasta el momento, los emails de phishing (estafas o engaños) siempre me habían parecido muy evidentes, por lo que, a pesar de que esconden cierto peligro (sobre todo para usuarios despistados o no experimentados), no les había prestado más atención.

Sin embargo, ayer me encontré con uno que, por varias causas, me hizo reflexionar. Voy a analizar minuciosamente las dudas que nos pueden surgir, y los pasos que el sentido común nos debería dictar.

El mensaje me llegó por correo, y mostraba el siguiente contenido:

  • De: Media Temple Abuse (abuse-support@mediatemple.net)
  • Asunto: Phishing Page Complaint on Your MediaTemple (mt) Web Hosting Account
  • Responder-a: patrickrigney@ymail.com

Hello,

We receive a complaint about phishing page in your web hosting account. The complaint came from Verisign inc. There is a page in your hosting account that collects personal account details and disguise as legitimate Lloyds TSB Bank PLC. That webpages have been broadly distributed to individuals by a person or entity pretending to be Lloyds TSB Bank PLC.

Please provide me with your hosting username and password so we can delete that phishing page from our server. Just reply this email with the information we needed so we can fix it immediately.

Thank you

(mt) Media Temple, Inc.
Patrick Rigney
Technical Support Manager
8520 National Blvd. Building A
Culver City, CA 90232
we appreciate your rapid response

Para los que tienen dificultad con el inglés, el mensaje me llega desde el abuse (departamento especial de las empresas para tramitar denuncias o posibles abusos en el servicio) de MediaTemple, el servicio de hosting en el que tengo Emezeta blog.

Reconozco que yo, en un principio, al no leer el email completo sino sólo el primer párrafo, me lancé al servidor a comprobarlo todo, preguntándome como podría haberme ocurrido algo así, yo que tanta importancia le doy al spam:

Hemos recibido una queja de Verisign inc., quién nos informa que en su cuenta se ha detectado un fraude y se están recogiendo datos personales de usuarios haciéndose pasar por el banco Lloyds TSB Bank PLC.

Ahora mismo es muy sencillo saber que se trata de un claro email de phishing, dentro de un artículo de seguridad, con un texto introductorio sobre las estafas y el contexto adecuado.

Sin embargo, aseguro que en su momento real, inmerso entre otras tareas y bajo el repentino aviso de que posiblemente haya gente que haya sido engañada y/o estafada por tu culpa indirecta, el tema es muy diferente.

Repasemos lo que puede ocurrir, paso a paso.

1. Apariencia general

En otras ocasiones he mantenido contacto con el soporte de MediaTemple, y la plantilla que usó el phisher es muy similar a la que utilizan en la empresa. La firma y el (mt) característico de MediaTemple, son detalles que los estafadores no suelen cuidar.

Aún, sin haber leído el email completo, el primer vistazo, inconscientemente, da credibilidad si es el mismo formato.

Siempre se debe examinar cuidadosamente los detalles de mensajes como estos, y así asegurarnos de que no sean emails fraudulentos y/o falsos.

2. Credibilidad por terceros

Al igual que muchos mensajes en cadena y hoaxes (cadenas falsas que siguen reenviándose), estos mencionan una entidad conocida para reforzar la credibilidad del mensaje.

Nunca creas ese refuerzo, ya sea Verisign, Microsoft o Chuck Norris. El sentido común dictaría que se contrastase esa información con un enlace o se buscara en Internet.

3. Desviar el mensaje

En nuestro caso, el mensaje viene remitido por Media Temple Abuse (abuse-support@mediatemple.net) lo cuál podría ser perfectamente normal. Sin embargo, nos adjunta que las respuestas se envíen a un tal Patrick Rigney (patrickrigney@ymail.com) con cuenta en Yahoo.

Sospechoso. Sin embargo, algunas compañías realizan este paso para recibir los emails en la cuenta personal (que verifican más frecuentemente) o en un programa de mensajería (Yahoo Messenger), por ejemplo, y actuar lo más rápido posible, por lo que la víctima podría considerarlo algo normal.

No obstante, lo ideal sería que pidan responderlo a una cuenta oficial y enviar también una copia oculta a otro email.

4. Gramática y ortografía

Otro detalle, más sutil, se da en la ortografía o gramática del mensaje. Por lo general, los spammers y phishers suelen descuidar este apartado (o utilizar traductores malos malosos).

En este ejemplo, se ve claramente en la forma de redactar, en la capitalización del asunto (Mayúsculas donde realmente no van) o en el We en minúsculas de la firma.

No obstante, para personas no muy familiarizadas con otros idiomas o que han realizado una lectura rápida y tienen otros asuntos en la cabeza, puede resultar complicado darse cuenta. Intenta tener en cuenta siempre estos puntos.

· · ·

Tras varios minutos mirando logs, ficheros y procesos, y comprobando que todo estaba normal, volví a la ventana donde tenía el mensaje, pensando (desde hacía ya unos instantes) en responderles para pedirles más información sobre la queja. Ahora sí, hice una segunda lectura, leyendo también el segundo párrafo...

Por favor, facilíteme el nombre de usuario y password para que podamos eliminar esas páginas del servidor. Responda este email con la información que necesitamos para solucionarlo inmediatamente.

Ahí, en la segunda parte del email, es donde residía la clave para estar seguros de que se trataba de un engaño...

5. Petición de información sensible

¿Para qué necesita una empresa que tiene todos nuestros datos pedirnos el usuario y contraseña? Un usuario que no conozca la máxima «nunca dar información sensible» podría incluso pensar (aunque nunca se debe pensar así) que las cuentas del servicio son anónimas y privadas, y que los técnicos piden la cuenta de usuario para agilizar el proceso y no tener que buscarlo manualmente.

Error. Y muchos menos, la contraseña. Esa información nunca la pedirá un empleado al cliente, y menos por ese medio. El sentido común dice claramente que los usuarios nunca deben dar sus contraseñas.

En muchas otras ocasiones, el atacante trabaja más este aspecto, incluyendo enlaces que redireccionan a páginas falsas (donde imitaran formularios para recoger datos) o técnicas similares como hijacking o spoofing.

Aunque ya está claro que se trata de un caso de Phishing, sigamos analizando...

6. Presión y urgencia

En el mensaje se juega con la presión y la rapidez. Si la víctima se encuentra con un mensaje así, probablemente se agobie y responda rápidamente (sin pensar) para intentar solucionar urgentemente el problema.

Eso es lo que busca el atacante. Piensa bien las cosas antes de hacerlas.

7. Persona al cargo

El email lo firma un tal Patrick Rigney. Si nos fijamos en el Twitter de Mediatemple, no hay nadie que se dedique al soporte con ese nombre.

Es más, si indagamos un poco, podremos descubrir que Patrick Ridney es un humorista de Los Angeles.

8. Dirección de correo falsa

Este punto lo he dejado para el final, por ser el más técnico. Pero también es de los más importantes que siempre se debe tener presente.

Algunos usuarios creen que se trata de un usuario auténtico porque el remitente es el correcto. Nada más lejos de la realidad. En la actualidad se utiliza mucho el Mail Spoofing, que no es más que utilizar un servidor de correo que se hace pasar por esa dirección, cuándo en realidad no lo es.

Esto es fácil de detectar, mirando las cabeceras (headers) del email:

Return-Path: <seattled@esc155.midphase.com>
X-Originating-IP: [174.36.146.88]
Received: from 127.0.0.1 (EHLO esc155.midphase.com) (174.36.146.88)

Entre varios parámetros, se puede encontrar el de Return-Path o X-Originating-IP, que nos muestra el servidor y cuenta de correo desde donde se envió realmente.

Es más, si accedemos a esa IP desde el navegador, podremos ver que hay un servidor web activo, asumiblemente mal configurado, que la víctima lo está utilizando de «escudo» para ocultarse y enviar desde ahí la información. Así nacen las botnets o se efectuan los famosos DDoS.

Cuando dudes de la autenticidad de un mensaje, comprueba siempre que puedas estos parámetros.

9. Contrasta información vía Google

Otra buena idea es echar un vistazo en Google a ver si alguien ha recibido esa misma información o hay alguien (como yo) que ha hablado del asunto.

En el blog de WiseStartUp, se comenta un caso similar, pero en este caso, respecto a la empresa BlueHost.

10. Avisa a posibles víctimas

Finalmente, si has descubierto que se trata de Phishing, SCAM o algún tipo de fraude similar... ¡Denúncialo!

En la página Whois Domain Tools, puedes introducir la IP 174.36.146.88 y te saldrá información sobre la red donde funciona esa máquina. Entre los datos aparece un email de abuse: abuse@softlayer.com Ahí podrás informar de lo sucedido, para que al menos se tenga constancia de lo ocurrido. Normalmente piden que les adjuntes alguna evidencia (fecha y hora del email y el contenido, por ejemplo).

Es bueno que avises a posibles compañeros que estén en tu misma situación, o al servicio involucrado. ¡Mediatemple lo hizo!

Escrito por Manz, el , en seguridad. Comentarios recibidos: 11.

11 comentarios de lectores
Salvador
Salvador
1

Interesante articulo, muy buenos consejos.

ikki
ikki
2

buenos consejos, aca en mexico es muy concurrente ese tipo de fechorias

Ronald
Ronald
3

Muy buen artículo, especialmente para los que creen en todas esas cadenas de correos, que generalmente son los que ponen poca atención en estos detalles

almnth
almnth
4

Aunque nos parezca inverosímil en estos días, para los que manejamos continuamente la red, hay muchísima gente que cae en estas cosas.

Lectura Veloz
Lectura Veloz
5

para mí que la Lectura Veloz debería ser una de las razones más importantes para adquirir más conocimiento a medida que avanzamos en nuestra vida académica para lograr más importancia

SpamLoco
SpamLoco
7

Excelente el artículo, a mi el correo falso no me llegó pero si la alerta real de Media Temple y me pareció rara por las mayúsculas que incluyeron en el Asunto "**IMPORTAN SECURITY ALERT**". Por un momento pensé que era un mensaje falso, pero al incluir el enlace al blog y leerlo en el blog de MT, supe que era real. Seguramente muchos lo leyeron más de una vez al correo falso, aunque como comentas lo de pedir usuarios y contraseñas ya era demasiado sospechoso:)

Relojes de hombre
Relojes de hombre
8

Hay que andarse con mucho cuidado hoy en dia, yo personalmente en cuanto recibo un correo que no se de donde viene o que me parece sospechoso directamente lo borro de mi buzon de correo. Aunque estemos alerta sobre estos correos las estadisticas siempre dicen que hay alguien que picara y por eso se sigue produciendo intentos de phising.

Aprender Internet
Aprender Internet
9

Creo que la clave está en el desconocimiento existente y las pocas precauciones que tomamos. El "Conocimiento" es, sin lugar a dudas, nuestra mejor defensa.

que es ssl
que es ssl
10

Nuevas recomendaciones para extremar precauciones, frecuentemente me llegan correos de personas en Sudáfrica que no conozco, pero que tienen un gran corazón y quieren donarme medio millón de dolares... Igual me llego un correo para verificar mis datos por parte de un banco del cual no soy cliente. Como indica el título del post: sentido común.

sebastián
sebastián
11

Interesante. Hasta hace dos días (17 de agosto) me llegaban mensajes a mi móvil de goo.gl/ona3gh, busque en internet y fui desviado a http://wap.playtown.com.ar/tpl/club_juegos.html. Al retroceder desde la interfaz que muestra el mensaje, se veía que éste no quedaba almacenado así que procedí a bloquear el dominio. ¿Publicidad fraudulenta?

Publica tu opinión

Si lo deseas, puedes utilizar el siguiente formulario para publicar tu opinión o responder a alguna de las existentes:

Previsualización

Aquí se previsualizará su comentario. Revise que sea correcto antes de publicarlo.