23 ago. 2015

Pescando en Mercadona

Retomamos el tema de la seguridad, del que hemos venido hablando en post anteriores. Y si el jueves hablábamos del ataque a una web comercial con el objetivo de extraer información sensible (nombres de usuario, datos financieros...) hoy vamos a hablar de un ataque de phishing, una técnica mucho más sencilla donde es el usuario el que "cede" sus datos. Para esto no es preciso amplios conocimientos informáticos: la ingenuidad o la avaricia de las potenciales víctimas  harán que el trabajo dé sus resultados. 

Un ataque de phishing es relativamente fácil de implementar con la información disponible, algo de infraestructura más allá de la de andar por casa y algo de conocimientos mínimos de informática avanzada. Es más difícil  amortizar el ataque que la realización en sí. Es decir, crear un cebo es relativamente sencillo, lanzar la caña también. Lo complicado es encontrar víctimas que piquen, pero las hay, a cientos. Y los medios sociales y la facilidad para crear soluciones virales en ellos son el caldo de cultivo idóneo para el éxito de estas operaciones. No es necesario seleccionar las víctimas y desarrollar la trama una y otra vez. Con un sólo cebo, de manera inmediata y una difusión logarítmica los incautos irán cayendo de manera imparable.

Está semana el twitter de la policia nacional y diversos medios nacionales se hacían cargo de una estafa que se extendía a gran velocidad por WhatsApp y por otros medios de mensajería. Sin embargo, a pesar de la difusión dada, no es una novedad. Esta técnica se viene utilizando desde hace año. En el mensaje se invita al lector a entrar en una web con url entrecortada (http://bbit.ly/mercadona-vale) en la que tras responder a cuatro preguntas y difundir el mensaje entre al menos diez contactos, el feliz encuestado recibe un cheque de 150 euros para gastar en cualquier tienda de la cadena. Sin embargo, tras finalizar la encuesta pide que metamos nuestro número de teléfono para recibir el regalo. Y ahí es donde radica el peligro, pues lo que estamos haciendo no es recibir un cheque promocional, sino que nos suscribimos  a servicios premium en lo que nuestra factura telefónica se engrosa a medida que recibimos mensajes.

Dicho sea de  paso, tan delincuente es el phisher como nuestra propia operadora, que no nos dota de herramientas para poder solucionar el problema una vez cumplimentado el fatídico cuestionario. Todo ello a pesar de que las misma policía está al tanto de la estafa y de la mala fe de los desarrolladores de la misma.

alfonsovazquez.com
ciberantropólogo

No hay comentarios:

Amigos en la red (Últimas actualizaciones)

Archivo del blog