miércoles, 8 de septiembre de 2010

¿QUÈ ES EL SPAM?

Se define SPAM a los mensajes no solicitados, habitualmente de tipo publicitario, enviados en forma masiva. La vía más utilizada es la basada en el correo electrónico pero puede presentarse por programas de mensajería instantánea o por teléfono celular. El Spam, en palabras simples, es todo e-mail no deseado (o no solicitado) que recibimos en nuestras cuentas de correo.

PROBLEMAS CAUSADOS POR EL SPAM
Los usuarios del servicio de correo electrónico pueden ser afectados de diversas formas. Por ejemplo:

No recibir e-mails.
Gran parte de los proveedores de Internet limita el tamaño del buzón del usuario en su servidor. Si el número de spams recibidos es muy grande el usuario corre el riesgo de tener su buzón lleno de mensajes no solicitados.

Gasto innecesario de tiempo.
Por cada spam recibido, el usuario necesita gastar un determinado tiempo para leerlo, identificar el e-mail como spam y borrarlo del buzón .

Aumento de costos.

Independientemente del tipo de acceso internet utilizado, quien paga la cuenta por el envío del spam es quien lo recibe.

Contenido impropio u ofensivo.
Como la mayor parte de los spams son enviados hacia conjuntos aleatorios de direcciones de e-mail , es muy probable que el usuario reciba mensajes con contenido impropio u ofensivo.
 
Perjuicios financieros causados por fraude.
Este tipo de spam es conocido como phishing/scam. El usuario puede sufrir grandes perjuicios financieros, si suministra dicha informacion o ejecuta las instrucciones de este tipo de e-mail fraudulento.

NUEVAS FORMAS DE SPAM

El gran crecimiento de los buscadores de Internet han dado lugar al nacimiento de los llamado Spamdexing, que es la modificación deliberada y deshonesta de páginas HTML para incrementar la posibilidad de aparecer primeras como resultado de una búsqueda.

Spam a Celulares
El spam a teléfonos celulares se direcciona a través de los mensajes de texto. Esto puede ser especialmente irritante para los consumidores no solo por el tiempo y la molestia sino porque muchas veces tiene que pagar por los mensajes recibidos.


Spam en la telefonía a través de Internet
Se ha predecido que en las comunicaciones de voz a través de IP (VoIP) serán vulnerables de ser víctimas del spam con mensajes pre grabados. Si bien pocos incidentes han sido reportados, algunas compañías ya ofrecen servicios para su protección.



Spam a Blogs, Wiki y GuestBooks
Los blancos son los weblogs. En el 2003, este tipo de spam tomó ventaja de la posibilidad de hacer comentarios sin censura en los bloggers. Este mismo tipo de ataques se han dado en wikis y libros de visitas los cuales aceptan la contribución de sus usuarios.


Spam en el correo electrónico
El spam supone actualmente la mayor parte de los mensajes electrónicos intercambiados en Internet, siendo utilizado para anunciar productos y servicios de dudosa calidad. Rolex, eBay y viagra son los asuntos de los mensajes que compiten por el primer lugar en las clasificaciones de spam

Spam en foros
El spam en un foro de internet se produce cuando un usuario publica comentarios que contienen enlaces o algún tipo de referencia hacia alguna página web o foro similar, de igual contenido, o incluso ajeno al mismo, así como cualquier otro objetivo típico de publicidad, con el objetivo de atraer más usuarios y visitantes al mismo.



Spam en las redes sociales
Es una nueva forma de spam que consiste en enviar publicidad, ofertas de empleo, publicidad directamente a los usuarios de redes sociales profesionales sin que éstos lo hayan solicitado o en los foros de la red social.

FORMAS DE COMBATIR EL SPAM

Las recomendaciones para evitar el SPAM son las siguientes:

1. No enviar mensajes en cadena ya que los mismos generalmente son algún tipo de engaño (hoax).

2. Si aún así se deseara enviar mensajes a muchos destinatarios hacerlo siempre Con Copia Oculta (CCC), ya que esto evita que un destinatario vea (robe) el mail de los demás destinatarios.

3. No publicar una dirección privada en sitios webs, foros, conversaciones online, etc. ya que sólo facilita la obtención de las mismas a los spammers (personas que envían spam).

4. Si se desea navegar o registrarse en sitios de baja confianza hágalo con cuentas de mails destinada para ese fin. Algunos servicios de webmail disponen de esta funcionalidad: protegemos nuestra dirección de mail mientras podemos publicar otra cuenta y administrar ambas desde el mismo lugar.

5. Para el mismo fin también es recomendable utilizar cuentas de correo temporales y descartables como las mencionadas al pie del presente.

6. Nunca responder este tipo de mensajes ya que con esto sólo estamos confirmando nuestra dirección de mail y sólo lograremos recibir más correo basura.

7. Es bueno tener más de una cuenta de correo (al menos 2 o 3): una cuenta laboral que sólo sea utilizada para este fin, una personal y la otra para contacto público o de distribución masiva.

                                

EL PHISHING Y LAS ESTAFAS POR INTERNET

           

QUE ES EL PHISING?

El Phishing consiste en el envío de correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello, suelen incluir un enlace que, al ser pulsado, lleva a páginas web falsificadas.
Hoy en día se realiza mediante una combinación de correo electrónico (para notificar la solicitud de la  información personal) y un sitio web falso, pero muy parecido al oficial (para registrar los datos que el usuario ingrese), sin embargo existen otros métodos a saber:

  1. Llamada telefónica: se recibe una llamada telefónica en la que el emisor emula ser de una entidad para que el usuario le otorgue información privada.

  2. SMS (mensaje de texto): la recepción de un mensaje donde le solicitan sus datos persona

  3. Ventana emergente: método muy utilizado en el que se suplanta la imagen de una entidad (bancaria, financiera, etc.) que, a simple vista, parece ser la oficial; con el fin de que el usuario facilite información propia.

  4. Correo electrónico: es el mecanismo más utilizado y también el más conocido. Los usuarios reciben un correo electrónico que emula ser de una entidad (pareciendo casi el real, con logotipos, el mismo diseño y presentación que el oficial).

  5. Aprovechan también las vulnerabilidades de los navegadores y/o software cliente de correo, para que el usuario ingrese los datos personales sin saber que los está enviando sin escalas al estafador, para después usarlos en forma fraudulenta (robando su dinero, realizando compras online, etc.)
                

EJEMPLOS DE CASOS DE PHISING EN LA BANCA ELECTRONICA


                                


                              



INTENTO DE PHISING BANCO POPULAR COLOMBIA

DE: aviso24@bancopopular.com
ASUNTO: Notificacion De Banco Popular Personas
ESTIMADO CLIENTE DE BANCO POPULAR

BANCO POPULAR le comunica que con la entrada del año 2007 nuestros servidores de procesos bancarios han sido actualizados y están ya operativos.
Sin embargo debido a la ingente cantidad de usuarios que usan Internet como medio de pago seguro, nos vemos en la obligación de pedirle su colaboración para una rápida restauración de los datos en las nuevas plataformas.
Si no ha entrado en su cuenta bancaria en las últimas horas se ruega lo haga de inmediato para evitar cualquier posible anomalía en su cuenta o futura pérdida de datos.
Puede entrar a su cuenta desde el siguiente enlace para mayor comodidad. Con esta acción su cuenta quedará actualizada de forma permanente.

TRANSACCIONES PERSONAL:
BANCO POPULAR pone a tu disposición, sin costo adicional nuevos servidores que cuentan con la última tecnología en protección y encriptación de datos.

BANCO POPULAR, C.A
-------------------------------------------------------------------------------
Le recordamos que últimamente se envían e-mails de falsa procedencia con fines fraudulentos y lucrativos. Por favor nunca ponga los datos de su tarjeta bancaria en un mail y siempre compruebe que la procedencia del mail es de @bancopopular.com.co

Copyright © BANCO POPULAR. Todos los derechos reservados. Nit: 0064014650

PHISING EN BANCOLOMBIA

En esta ocasión les traigo una denuncia realizada por hernandgr, un conocido miembro de nuestra comunidad, donde nos alerta de un caso de suplantación de identidad hacia Bancolombia.
El mensaje con el que el delincuente pretendía hacerse con los datos financieros nuestros es el siguiente:

Debido a la importancia por la seguridad e integridad de nuestros servicios hemos decidido enviarle el siguiente mensaje de alerta en el cual le comunicamos que debido a los reiterados intentos incorrectos para acceder a su cuenta desde nuestra sucursal virtual, su cuenta de Bancolombia ha sido temporalmente bloqueada.
Hemos implementado los procedimientos electronicos y administrativos para proteger y ayudar a prevenir el acceso no autorizado, evitar la perdida, mal uso, alteracion y hurto de los datos personales.
En Bancolombia nos preocupamos por su seguridad, por este motivo recibira esta notificacion de forma automatica cada vez que sea necesario.
Para evitar bloqueos y suspension de los servicios ofrecidos en nuestra sucursal virtual, acceda a su cuenta de manera rapida y segura haciendo click sobre el siguiente el enlace el cual lo redireccionara hacia nuestra Sucursal Virtual. Si el acceso es exitoso nuestro sistema eliminara el bloqueo de manera inmediata y usted podra seguir disfrutando de todos nuestros servicios.
<LINK FALSO>
Bancolombia pone a tu disposicion, sin costo adicional nuevos servidores que cuentan con la última tecnología en proteccion y encriptacion de datos.

GRUPOBANCOLOMBIA S.A.

El enlace apuntaba a un sitio hospedado en holanda, con una versión vulnerable del famoso CMS Joomla, lo que nos hace pensar que el dueño de ese sitio, no tiene nada que ver con el delincuente y es una victima mas; La pagina fraudulenta ya fue reportada en Phistank como hemos venido haciendo cada que recibimos una denuncia de este tipo.

PHISING A BANCO DAVIVIENDA


Estimado Cliente:

Reciba un cordial saludo de Davivienda. Comprometidos con su seguridad, nos permitimos informarle que para fortalecer la confidencialidad en el manejo de la información de sus productos con el Banco, a partir de la fecha su clave de internet davivienda se encuentra vencida la cual usted podrá cambiar directamente a través de el siguente enlace:

De acuerdo con lo anterior, le informamos que solo debe seguir los pasos indicados en la pagina.
Le recomendamos que siempre trabajamos para prestarle mayor seguridad y mejor servicio.
En caso de necesitar información adicional comuníquese con nosotros sin costo a través de nuestro Call Center a través del 3838338 en Bogotá o al 01 8000 321388 desde el resto del país las 24 horas del día.
Si hacemos click en el enlace veremos algo como esto:


En la imagen podemos observar, una pagina bien estructurada, sin errores, y absolutamente normal, pero si nos enfocamos en la url, vemos que no tiene dominio.





PHISHING EN COLOMBIA: ASOCIACIÓN BANCARIA Y DE ENTIDADES FINANCIERAS DE COLOMBIA

Asobancaria informa,

Que en el día de ayer los servidores financieros fueron actualizados con nuestro nuevo certificado digital. el cual permite encriptar toda la información de los usuarios afiliados a ellos.
Debido a unos inconvenientes de este nuevo certificado todos los usuarios de banca en línea deberán iniciar el siguiente proceso de control y verificación de datos.
los servidores financieros que fueron actualizados y requieren verificación por parte del usuario serán nombrados a continuación:
Banco Av Villas (Banca empresarial), Banco Popular (Banca empresarial), Banco Grupo Santander (Banca empresarial y personal).
Banco Colmena BCSC (Banca empresarial), Banco Davivienda (Banca empresarial).
Este procedimiento puede llevarse acabo seleccionando la entidad(es) financiera(s) a la cual usted corresponda.
siguiendo los vínculos que se encuentran debajo:

Banco Av Villas
https://www.avvillas.com.co/servidor?verificador=proceso.htm <http://www.orchestremalyss.com/includes/avempre.php>
Banco Grupo Santander Empresas
Grupo Santander Personas
<http://www.bpturizm.ru/data/sanpersonas.php>
Banco Popular
https://www.bancopopular.com.co/asobancaria?digital=verisign.htm http://www.photo-trafic.com/Freegolf2007/popuempre.php
Banco Colmena BCSC
<http://photo.keep-turtle-out.com/colempre.php>
Banco Davivienda
https://www.davivienda.com/localadmin?verify=rf33mv.htm http://acon.mennofeenstra.nl/daviempre.php



RECOMENDACIONES DE SEGURIDAD PARA COMBATIR EL PHISING

A pesar del elevado número de víctimas de este fraude, para no caer en él bastaría con saber que ningún banco lleva a cabo tareas de verificación de las cuentas usuario o de cualquier otro tipo de datos personales mediante el correo electrónico. Además, los mensajes falsos suelen pecar de excesiva vehemencia, ‘amenazando’ a los usuarios con graves consecuencias si no responden cuanto antes —las páginas web falsas duran muy pocos días para no ser localizadas—, algo insólito en el trato a los clientes. Aun así, dada la creciente sofisticación de este fraude, no está de más tener en cuenta algunos consejos para reconocer y rechazar los mensajes fraudulentos:


1. Mirar con atención cualquier mensaje que solicite información financiera:

2. Si se sospecha del mensaje, no utilizar el enlace que incluye para acceder a una página web (al colocar el ratón sobre el enlace se puede comprobar si la dirección a la que apunta es en realidad la que pretende ser o es sólo parecida). En lugar de esto, llamar por teléfono a la compañía o acceder al sitio web tecleando la dirección en el navegador.

3. Evitar rellenar los formularios que incluyen los email: sólo se debe comunicar información sensible a través del teléfono o mediante un sitio web seguro. En los sitios seguros la dirección comienza por ‘https://’ y en la parte de abajo del navegador aparece un candado cerrado o una llave. Al pinchar sobre el candado se muestran los datos del certificado de autenticidad, que deben coincidir con los de la página visitada.

4. Considerar la instalación de una barra para el navegador que proteja de los sitios falsos.

5. Entrar regularmente en el banco online para comprobar el estado de las cuentas.

6. Instalar la última versión del navegador utilizado, así como las actualizaciones de seguridad.