Seguridad en e-commerce: Tipos de fraude electrónico

1 Comment

El mundo virtual cada vez está más poblado, y sus similitudes con el real son evidentes. Tan evidentes como que podemos encontrar el mismo tipo de personas en la vida real como en Internet. En este post hablaremos de las personas «con malas intenciones«, aunque cada persona puede intepretar la palabra «maldad» como mejor le apetezca, yo me basaré en la definición de la RAE (segunda acepción):

«Acción mala e injusta.«

En la vida real tenemos desde el «timo de la estampita«, hasta un señor que viene con una garrafa pequeña de gasolina vacía y te pregunta «Hola, ¿puedes darme dinero para gasolina por favor? Es que tengo que llegar a Cuenca y se me ha acabado». Todas estas acciones «malvadas» tienen su réplica en el mundo virtual, veamos algunas de ellas:

Robo de identidad

Robo de identidadComo su nombre indica, hemos sido víctimas de un robo de identidad cuando otra persona se hace pasar por nosotros. Esta es la típica broma que se solía hacer de pequeño con los amigos, y hoy en día se está realizando a través de las redes sociales. La gente que lo hace de broma no sabe que es un acto delictivo.

No hace mucho vi que la contraseña de un amigo para una red social española, que empieza por T y termina pot i, era de 6 caracteres y todos ellos números. Le comenté que porqué no se preocupaba un poco más por cuidar la seguridad de acceso a las redes sociales, y me dijo que le daba igual que le robasen la contraseña, en esa red social no había nada importante para él. Y cuando me dijo eso, yo interpreté lo siguiente:

  • Que alguien entre con su perfil y vea-modifique sus fotos no es importante.
  • Que alguien pueda editar la información pública que se muestra de su perfil no le importa
  • Que algien le robe la cuenta y se haga pasar por él, enviando mensajes intimidatorios, amenazas sexuales e insultos a menores de edad, además de añadir fotos de pornografía infantil a su perfil, no le importa.

Después de escuchar el último punto cambió la contraseña delante mía, y esta vez utilizando el How secure is my password?.

Phising

phisingEste término proviene de la palabra inglesa «fishing» (pesca), y haciendo alusión al fraude conseguimos el significado «pescar al usuario«. La idea es engañarnos para poder obtener, en la mayoría de los casos, usuarios/contraseñas y datos bancarios, utilizando webs falsas. A muchos de nosotros nos habrá llegado el típico email de nuestro banco (u otro), comentando que han actualizado sistemas y requieren de un nuevo acceso por nuestra parte para terminar de activar la cuenta (por ejemplo), u ofertandonos algún servicio novedoso, el caul nos lleva a una web que parece ser del banco, pero que realmente no es.

Aseguraos siempre de la URL a la que váis, del certificado de seguridad que tiene, no pinchéis enlaces porque sí. Y en caso de duda contactad con el propio banco, o los cuerpos del estado para consultar autenticidad de esa página.

Pharming

Digamos que es un Phising más sofisticado. Para ser víctimas de pharming es necesario que el atacante manipule la máquina nuestra o el servidor de DNS intermedio. El objetivo es modificar las direcciones DNS para que el usuario acceda a una web que aparantemente es la misma de la entidad a la que iba (en el caso de un banco), e incluso con una URL creible (o incluso la original). Al acceder con nuestros datos, son automáticamentes enviados al delincuente, el cual no tendrá reparos en sacarle jugo a nuestro dinero.

Mis consejos son los mismos que en el phising, pero añadiendo que hagáis un control diaro de vuestras cuentas bancarias en aras a detectar movimientos extraños. Y otro es que tengáis un antivirus/antimalware instalado y actualizado, porque a lo mejor el «bichito manipulador» está en tu máquina.

Vishing

Es Phising utilizando el teléfono o voz sobre IP (VoIP). El objetivo es capturar información privada personal y financiera de la víctima. El vishing es muy peligroso. Nos puede llamar alguien haciéndose pasar por nuestro proveedor de servicios de acceso a Internet, o de compañía de telefonía móvil, comentándonos algún que requieren nuestros datos de acceso(o bancarios) para hacer algunas comprobaciones.

En caso de duda o de falta de identificación de la otra persona NUNCA déis datos bancarios, y menos las contraseñas. Esto último lo digo porque si de verdad te llaman de la empresa de la que dicen llamar, podrán aceder a tu perfil sin problemas, ya que ellos son administradores de esa información.

Scam

  • «¡Has ganado un crucero por el Mediterráneo!, pulsa en el siguiente enlace para canjearlo.»
  • «Has sido el ganador del tercer premio en nuestro concurso, y el premio es de 1000€/$, pulsa en el siguiente enlace y rellena tus datos para recibir el premio».
  • «Hola, soy Mirina, estoy buscando un hombre fornido en España para tener una familia, soy servicial y quiero tener niños» (te envía fotos también, donde la chica no está nada mal).

ScamEstos son casos de Scam. El objetivo es ganarse nuestra confianza para obetener información privada, mediante técnicas como las siguientes:

  • Realizar un ingreso en Western Union apra que la chica pueda viajar a España.
  • Un ingreso previo para poder recoger el premio.
  • Pedirnos el correo electrónico para que nos puedan meter en sus 300 servidores de envío de 300 SPAM. (sin que lo sepamos)

Engaño es la palabra que define al Scam. Marcad estos emails como SPAM, de manera que vuestros clientes de correo aprendan cada vez más y asi conseguiremos un mundo sin SPAM.

Smishing

smishingEl smishing busca engañar al usuario con SMS’s falsos enviados a su móvil. Típico mensaje de que has ganado 1000€ o un crucero, y que para canjearlo sólo tienes que meterte en tal Web con tu móvil, o llamar al número indicado en el mensaje. Lo primero que hago con estas cosas es buscar el número de teléfono en Google, y siempre encuentro a alguien al que le han enviado el mismo correo, o incluso que ha caido en el fraude y cómo ha procedido después.

Referencias

https://www.nocturnar.com/forum/actualidad/17459-lista-de-tipos-de-fraude-mas-comunes-internet.html
https://espanol.regions.com/enes/about_regions/fraud_types.rf
https://www.taringa.net/posts/info/2651315/Tipos-de-fraudes-y-amenazas-electronicas.html
https://seguridad.internautas.org/html/816.html
https://wikipedia.org

Suscríbete a nuestra newsletter