FreeSoftWarrior
12-dic-2005, 12:23
Aviso: Dado que este tema es de interés general principalmente para los que son novatos en esto de Internet, he considerado publicar este articulo tanto en el foro Seguridad y Redes como en el de Noticias. Si algún moderador considera innecesaria la repetición que deje una copia en el foro que considere apropiado. No es mi intención el postear por postear.
Hoy por hoy es utópico pensar que el trabajo o la navegación a través de Internet sean seguros al 100%, sencillamente resulta imposible crear software que garantice eso. Siempre existirán vulnerabilidades de explotación mediante las cuales se pueda forzar al software para que realice tareas o funciones no previstas inicialmente.
Por un lado están los malware, virus, gusanos o troyanos, diseñados específicamente para realizar tareas maliciosas, incluso para hacer uso de las vulnerabilidades del software y propagarse, instalarse, falsear comportamientos y direcciones, etc.
En otro lado se encuentra la Ingeniería Social como la mejor herramienta, basada en el engaño, para llevar a cabo toda clase de estafas, fraudes y timos sobre los usuarios más confiados.
Por último el correo masivo (Spam), como el mejor y más barato mecanismo de difusión.
Si se unen estas 3 herramientas para aplicarlas en delitos de tipo económico, financiero, bancario, de pago, etc. acabaríamos concluyendo que existe un alto riesgo asociado a este tipo de operaciones a través de Internet cuando no se implantan las medidas básicas de autoprotección.
La legislación española establece a través del artículo 248 del Código Penal la definición de fraude informático en el que se indica
Se consideran reos de estafa los que, con ánimo de lucro, y valiéndose de alguna manipulación informática o artificio semejante consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero.
Por ello desde el CATA queremos informaros de los tipos de fraude mas conocidos que se cometen sobre operaciones financieras y de pago por Internet, y en especial aquellas que solicitan la introducción de datos personales relativos bien a la identificación y acceso a entidades financieras, como a datos de pago mediante tarjetas de crédito, con objeto de conocer y prevenir este tipo de amenazas
Técnicas
Existen múltiples técnicas para perpetrar fraudes económicos a través de Internet, pero sin duda, una de las técnicas que está obteniendo importantes índices de crecimiento en la red, es la suplantación de páginas y/o sitios de Internet, mas conocida como "phishing", que permite al estafador, mediante el engaño, conocer los datos privados y personales que usted utiliza para la realización de operaciones económicas.
Aunque no es el único método. De hecho cualquier malware que instale un “Keylogger” (captador de pulsaciones del teclado) también puede ser usado para recoger información suficiente para poder operar sobre la cuenta del usuario afectado.
“Phishing” e Ingeniería Social.
Uno de los principios básicos del “phishing” es la utilización de mensajes de correo electrónico especialmente escritos con una fuerte carga de "Ingeniería Social". (Técnicas que se aprovechan de las debilidades de las personas). En tales mensjes, los estafadores intentarán el engaño, haciéndo pensar al receptor que el mensaje realmente procede de la entidad u organización en la que confía, aprovechándose por un lado, de dicha confianza y por otro en su desconocimiento tanto técnico como de las vulnerabilidades de los programas para la navegación a través de Internet.
Los mensajes enviados utilizarán todo tipo de ingeniosos argumentos relacionados con la seguridad de la entidad, para justificar la necesidad de introducir sus datos de acceso. Un ejemplo de los más comunes pueden ser los siguientes:
1. Problemas de carácter técnico.
2. Recientes detecciones de fraude y urge un incremento del nivel de seguridad.
3. Nuevas recomendaciones de seguridad para prevención del fraude.
4. Cambios en la política de seguridad de la entidad.
También podrán intentarlo mediante mensajes relacionados con:
1. Promoción de nuevos productos de la entidad.
2. Premios o regalos de todo tipo
Además, intentarán forzar al usuario a tomar una decisión casi de forma inmediata con amenazas de que si no realiza los cambios solicitados, en pocas horas o días su acceso quedará deshabilitado.
Mecanismos de fraude
Por el momento los dos mecanismos más habituales para la obtención de los datos personales de acceso, son el correo electrónico y la infección con virus de tipo gusano o troyano con funciones para la captura de las claves.
Correo electrónico.
Sin duda el correo electrónico es actualmente la técnica más utilizada en este tipo de fraude, tal vez porque resulte el más efectivo a corto plazo para el atacante.
Junto a la Ingeniería Social, el Spam es el otro gran aliado para el “phishing” debido a lo sencillo y barato que resulta para llegar hasta millones de usuarios con mensajes similares al siguiente:
Estimado cliente;
El departamento de seguridad del banco ha detectado en las últimas fechas diversos tipos de técnicas fraudulentas en Internet por medio de las cuales es posible que las claves de acceso de algunos de nuestros clientes hayan sido capturadas para, haciendo un uso ilegal de las mismas, acceder a su cuenta y operar en ella como si fuese usted mismo quien realice las operaciones.
Debido a ello, el banco ha decidido renovar las claves de acceso de todos los clientes como medida de protección que garantice la seguridad y evite el fraude. El único lugar donde podrá realizar el cambio de claves se
encuentra tras el siguiente enlace: https://xxxxx.xx.xxxxx.. donde quedará disponible hasta el próximo día XX-XX-XXXX momento a partir del cual, se procederá a la cancelación de los accesos de todos aquellos usuarios que no hayan realizado el cambio de sus claves.
Agradecemos su colaboración y la confianza depositada en nuestra entidad.
Retsam Sevalcabor
Departamento de seguridad
BANCO DE INTERNET.
En estos mensajes, la dirección del remitente estará falsificada siendo muy parecida o incluso podrá coincidir con alguna cuenta legítima de la entidad en cuestión. No importa. El objetivo es, que alguno de los millones de receptores de ese correo sea cliente de esa entidad y pulse sobre el enlace propuesto para realizar el cambio o confirmación de sus claves, o introduzca cualquier otro dato personal.
Obviamente, la página enlazada también será falsa y estará controlada por los estafadores quienes habrán cuidado hasta el más mínimo detalle, en replicar con toda fidelidad la imagen, logotipos, colores y formatos de las páginas legítimas de la entidad. En la página, se pedirán todos los datos necesarios para poder realizar operaciones en las cuentas de la entidad: Nombre de usuario, Clave de acceso, Clave Personal, Firma, etc.
Una vez que sean confirmados los cambios, los estafadores tendrán a su disposición toda la información necesaria para acceder a las cuentas de aquellos usuarios que hayan caído en el engaño.
Virus y captadores de pulsaciones del teclado ( Keyloggers)
Otra técnica para conseguir capturar las claves de acceso, será por medio de la instalación de un virus de tipo gusano o troyano que permanecerá latente en la memoria del ordenador infectado activando sus rutinas de captura cuando se cumplan ciertas condiciones.
Unos virus comparan todas las direcciones (URL) que se muestran en la barra del navegación, para activar sus rutinas de captura cuando una de ellas coincida en parte o en la totalidad con alguna de las elegidas por los atacantes (ej: “bancointernet.com”, “interbank.com”, subastas...com, etc.). A partir de ese momento, el virus capturará todo lo que teclee en su ordenador, para transmitirlo a continuación al estafador
En todos los casos la información capturada acabará siendo enviada por distintos métodos a direcciones controladas por los estafadores.
Cómo protegerse.
Al igual que ocurre con el Spam y los virus, la prudencia, cierta desconfianza inicial y la actualización tanto de su PC como del software antivirus, son las medidas que mejor pueden protegerle contra cualquier tipo de fraude en Internet.
Detección/Reconocimiento de mensajes falsos.
Resulta de vital importancia reconocer a tiempo este tipo de mensajes. Por norma, las entidades financieras, de crédito, etc. nunca se dirigen al cliente solicitando sus datos de acceso o de pago por ningún medio.
Sin duda, la mejor de las protecciones, será la colaboración de clientes y usuarios de estos servicios para poder interceptar a tiempo los lugares desde donde se emiten estos mensajes o donde se reciben los datos capturados. Si en algún momento usted detecta alguno, o sospecha de la falsa identidad del remitente:
No responda nunca a este tipo de mensajes salvo que tenga las máximas garantías de que provienen de la fuente correcta.
Póngase lo antes posible en contacto con los servicios de atención al cliente de la entidad referida.
Realice un seguimiento diario de los movimientos de su cuenta durante los días posteriores.
Tenga en cuenta que por el simple hecho de recibir ese tipo de correos, sus datos personales no se encuentran en peligro.
Uso de herramientas de detección de sitios fraudulentos.
Existe una serie de aplicaciones cuya finalidad es ayudar en la detección de sitios fraudulentos.
Recomendaciones Genéricas para su seguridad y autoprotección en Internet.
En general, siga las siguientes recomendaciones para mantener su seguridad durante la navegación en Internet.
Relativas a sus claves, códigos de acceso y operación
1. Sus claves y códigos son personales e intransferibles, por lo que no debe revelarlas a nadie.
2. Cambie perióricamente sus claves de acceso y en especial cuando tenga la sospecha o duda sobre la confidencialidad de las mismas.
3. No utilice las claves proporcionadas por defecto, cambiándolas por otras tan pronto como le sea posible.
4. Procure, siempre que le sea posible, no utilizar las mismas claves y códigos en todas sus entidades financieras.
Relativas a la protección y cuidados de su PC
1. La protección de su PC es clave, por lo que es necesario que disponga de un Sistema Operativo correctamente actualizado con los últimos parches y actualizaciones de seguridad proporcionados por el fabricante.
2. Instale y mantenga permanentemente actualizado un software antivirus en su equipo.
3. Instale y mantenga actualizado un software de protección personal “firewall” y revise con cierta periodicidad los registros “logs” de actividad que genera en busca de anormalidades o eventos no comunes.
4. Desactive las funciones de almacenamiento de claves en la “cache” del sistema.
5. Evite la instalación de software de dudosa legitimidad. Relativas a su operativa bancaria
6. Procure no acceder a su entidad financiera a través de enlaces ubicados en email ni en webs de terceros, siempre que le sea posible introduzca manualmente la dirección o utilice las opción de favoritos.
7. Compruebe que la conexión a su entidad de realiza a través de una conexión segura (HTTPS) y mediante un certificado de seguridad válido que autentique y garantice que realmente se esta conectado con su entidad.
8. Si las entidades financieras, tras la conexión, le proporcionan información sobre la última conexión o el último cambio de contraseña, compruébelo siempre que le sea posible.
9. Manténgase regularmente informado del estado de sus cuentas y de las últimas operaciones realizadas por el medio que habitualmente utilice su entidad
10. Finalice todas sus conexiones con la entidad mediante la función “desconexión”, nunca cerrando directamente el navegador.
11. En general lea y siga las recomendaciones de seguridad que su entidad le proporciona y recomienda.
12. Evite conectarse desde lugares públicos que no le ofrezcan suficientes garantías de seguridad en el equipo.
En caso de que se pongan en contacto con usted telefónicamente, procure asegurarse de que el interlocutor pertenece de forma legítima a la entidad referida:
1. Inicialmente intente ser usted mismo quien realice la llamada al número habitual del servicio de atencion al cliente de la entidad.
2. Pida que se identifique de forma clara y correcta.
3. Como empleado de la entidad, solicite que le amplíe mayores detalles sobre sus propios datos:
D.N.I, domicilio, número de cuenta
Saldo disponible en la actualidad
Datos de la última operación o apunte en su cuenta.
En general, cualquier información que no pueda estar disponible fácilmente salvo para empleados de la entidad.
Recomendaciones básicas para detectar un sitio web falso.
Asegúrese de que su PC no tiene virus. Un virus podría modificar el aspecto de su navegador, además de capturar la información introducida en formularios.
Nunca siga enlaces de corrreos eletrónicos ni de ningún otro origen para acceder a sitios web sensibles. Es mejor teclear la URL (dirección del sitio web) manualmente o usar un "Favorito" o "Marcador" creado por uno mismo. Conviene verificarlo siempre (La mayoría de los navegadores muestran el destino en la barra de estado al mantener el ratón sobre el nombre del "Favorito")
Verifique la conexión cifrada y el certificado del sitio como se detalla a continuación. En una página con marcos (subdivisiones en las que se pueden cargar distintas páginas web) es conveniente verificar cada uno de los marcos.
Para saber si una página web utiliza marcos:
1. en Internet Explorer seleccione "Propiedades" en el menú "Archivo", y haga clic derecho en un lugar en blanco de la página y elija "Propiedades". Si el campo "Dirección (URL)" es el mismo en las dos fichas de propiedades, se trata de una página sin marcos. Para ver el certificado de la página cargada en cada marco puede utilzar el botón "Certificados" en la ficha de propiedades.
2. en otros navegadores puede hacerse de otras formas. Por ejemplo, en Mozilla Firefox, al hacer clic derecho en una página con marcos aparece el submenú "Este marco", que no aparece en páginas sin marcos.
Conexión cifrada (HTTPS) y certificado.
En general, casi todos los sitios Internet relacionados con bancos, entidades financieras o de crédito, le dirigirán hacia un servidor seguro durante el proceso de introducción de sus datos de identificación personal.
La dirección debe comenzar con httpS: en lugar de solo http: (note la "s" al final).
Un sitio con una URL “https:” es un sitio seguro, aunque:
https por sí solo no garantiza en ningún caso que el sitio al que se ha conectado pertenece realmente a quien dice pertenecer.
Certificados:
http://i30.photobucket.com/albums/c330/FreeSoftWarrior/seguridad1.jpghttp://i30.photobucket.com/albums/c330/FreeSoftWarrior/seguridad2.jpg
Una vez en un sitio seguro, otro indicador es la presencia de un pequeño candado amarillo en el rincón inferior a su derecha.
Un doble clic sobre el mismo debe mostrarle la información del certificado de Autoridad que debe coincidir con el nombre de la entidad a la que hemos solicitado su página, además de estar vigente y ser válido.
La conjunción de los dos elementos anteriores, https + certificado válido, aunque no llegue a ser al 100%, si se puede considerar como una garantía suficientemente aceptable de que el lugar en el que se encuentra es auténtico, es decir, pertenece a la entidad representada.
Recomendaciones de su entidad
Procure seguir las recomendaciones de seguridad establecidas por la entidad a la que está accediendo. Todas ellas disponen de páginas de seguridad donde explican con detalle las medidas a tener en cuenta para proteger su acceso. Al final de la página puede encontrar los enlaces a las páginas de seguridad de las entidades más representativas en nuestro país.
Qué dicen las entidades financieras.
Las entidades financieras de todo el mundo, están llevando a cabo la implantación de medidas que consigan detener el avance de este tipo de fraudes.
Al igual que otras organizaciones sensibilizadas con este problema, las entidades financieras de todo el mundo, están llevando a cabo la implantación de medidas que consigan detener el avance de este tipo de fraudes.
En España y a través del Centro de Cooperación Interbancaria (CCI), que aglutina a la mayoría de las entidades financieras, se están desarrollando medidas específicas entre las cuales cabe destacar las siguientes:
Fortalecimiento de los mecanismos de seguridad y accesos.
Mayor vigilancia en las operaciones de sus clientes
Refuerzo de sistemas de seguridad.
Formación/recomendaciones a usuarios clientes
Hoy por hoy es utópico pensar que el trabajo o la navegación a través de Internet sean seguros al 100%, sencillamente resulta imposible crear software que garantice eso. Siempre existirán vulnerabilidades de explotación mediante las cuales se pueda forzar al software para que realice tareas o funciones no previstas inicialmente.
Por un lado están los malware, virus, gusanos o troyanos, diseñados específicamente para realizar tareas maliciosas, incluso para hacer uso de las vulnerabilidades del software y propagarse, instalarse, falsear comportamientos y direcciones, etc.
En otro lado se encuentra la Ingeniería Social como la mejor herramienta, basada en el engaño, para llevar a cabo toda clase de estafas, fraudes y timos sobre los usuarios más confiados.
Por último el correo masivo (Spam), como el mejor y más barato mecanismo de difusión.
Si se unen estas 3 herramientas para aplicarlas en delitos de tipo económico, financiero, bancario, de pago, etc. acabaríamos concluyendo que existe un alto riesgo asociado a este tipo de operaciones a través de Internet cuando no se implantan las medidas básicas de autoprotección.
La legislación española establece a través del artículo 248 del Código Penal la definición de fraude informático en el que se indica
Se consideran reos de estafa los que, con ánimo de lucro, y valiéndose de alguna manipulación informática o artificio semejante consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero.
Por ello desde el CATA queremos informaros de los tipos de fraude mas conocidos que se cometen sobre operaciones financieras y de pago por Internet, y en especial aquellas que solicitan la introducción de datos personales relativos bien a la identificación y acceso a entidades financieras, como a datos de pago mediante tarjetas de crédito, con objeto de conocer y prevenir este tipo de amenazas
Técnicas
Existen múltiples técnicas para perpetrar fraudes económicos a través de Internet, pero sin duda, una de las técnicas que está obteniendo importantes índices de crecimiento en la red, es la suplantación de páginas y/o sitios de Internet, mas conocida como "phishing", que permite al estafador, mediante el engaño, conocer los datos privados y personales que usted utiliza para la realización de operaciones económicas.
Aunque no es el único método. De hecho cualquier malware que instale un “Keylogger” (captador de pulsaciones del teclado) también puede ser usado para recoger información suficiente para poder operar sobre la cuenta del usuario afectado.
“Phishing” e Ingeniería Social.
Uno de los principios básicos del “phishing” es la utilización de mensajes de correo electrónico especialmente escritos con una fuerte carga de "Ingeniería Social". (Técnicas que se aprovechan de las debilidades de las personas). En tales mensjes, los estafadores intentarán el engaño, haciéndo pensar al receptor que el mensaje realmente procede de la entidad u organización en la que confía, aprovechándose por un lado, de dicha confianza y por otro en su desconocimiento tanto técnico como de las vulnerabilidades de los programas para la navegación a través de Internet.
Los mensajes enviados utilizarán todo tipo de ingeniosos argumentos relacionados con la seguridad de la entidad, para justificar la necesidad de introducir sus datos de acceso. Un ejemplo de los más comunes pueden ser los siguientes:
1. Problemas de carácter técnico.
2. Recientes detecciones de fraude y urge un incremento del nivel de seguridad.
3. Nuevas recomendaciones de seguridad para prevención del fraude.
4. Cambios en la política de seguridad de la entidad.
También podrán intentarlo mediante mensajes relacionados con:
1. Promoción de nuevos productos de la entidad.
2. Premios o regalos de todo tipo
Además, intentarán forzar al usuario a tomar una decisión casi de forma inmediata con amenazas de que si no realiza los cambios solicitados, en pocas horas o días su acceso quedará deshabilitado.
Mecanismos de fraude
Por el momento los dos mecanismos más habituales para la obtención de los datos personales de acceso, son el correo electrónico y la infección con virus de tipo gusano o troyano con funciones para la captura de las claves.
Correo electrónico.
Sin duda el correo electrónico es actualmente la técnica más utilizada en este tipo de fraude, tal vez porque resulte el más efectivo a corto plazo para el atacante.
Junto a la Ingeniería Social, el Spam es el otro gran aliado para el “phishing” debido a lo sencillo y barato que resulta para llegar hasta millones de usuarios con mensajes similares al siguiente:
Estimado cliente;
El departamento de seguridad del banco ha detectado en las últimas fechas diversos tipos de técnicas fraudulentas en Internet por medio de las cuales es posible que las claves de acceso de algunos de nuestros clientes hayan sido capturadas para, haciendo un uso ilegal de las mismas, acceder a su cuenta y operar en ella como si fuese usted mismo quien realice las operaciones.
Debido a ello, el banco ha decidido renovar las claves de acceso de todos los clientes como medida de protección que garantice la seguridad y evite el fraude. El único lugar donde podrá realizar el cambio de claves se
encuentra tras el siguiente enlace: https://xxxxx.xx.xxxxx.. donde quedará disponible hasta el próximo día XX-XX-XXXX momento a partir del cual, se procederá a la cancelación de los accesos de todos aquellos usuarios que no hayan realizado el cambio de sus claves.
Agradecemos su colaboración y la confianza depositada en nuestra entidad.
Retsam Sevalcabor
Departamento de seguridad
BANCO DE INTERNET.
En estos mensajes, la dirección del remitente estará falsificada siendo muy parecida o incluso podrá coincidir con alguna cuenta legítima de la entidad en cuestión. No importa. El objetivo es, que alguno de los millones de receptores de ese correo sea cliente de esa entidad y pulse sobre el enlace propuesto para realizar el cambio o confirmación de sus claves, o introduzca cualquier otro dato personal.
Obviamente, la página enlazada también será falsa y estará controlada por los estafadores quienes habrán cuidado hasta el más mínimo detalle, en replicar con toda fidelidad la imagen, logotipos, colores y formatos de las páginas legítimas de la entidad. En la página, se pedirán todos los datos necesarios para poder realizar operaciones en las cuentas de la entidad: Nombre de usuario, Clave de acceso, Clave Personal, Firma, etc.
Una vez que sean confirmados los cambios, los estafadores tendrán a su disposición toda la información necesaria para acceder a las cuentas de aquellos usuarios que hayan caído en el engaño.
Virus y captadores de pulsaciones del teclado ( Keyloggers)
Otra técnica para conseguir capturar las claves de acceso, será por medio de la instalación de un virus de tipo gusano o troyano que permanecerá latente en la memoria del ordenador infectado activando sus rutinas de captura cuando se cumplan ciertas condiciones.
Unos virus comparan todas las direcciones (URL) que se muestran en la barra del navegación, para activar sus rutinas de captura cuando una de ellas coincida en parte o en la totalidad con alguna de las elegidas por los atacantes (ej: “bancointernet.com”, “interbank.com”, subastas...com, etc.). A partir de ese momento, el virus capturará todo lo que teclee en su ordenador, para transmitirlo a continuación al estafador
En todos los casos la información capturada acabará siendo enviada por distintos métodos a direcciones controladas por los estafadores.
Cómo protegerse.
Al igual que ocurre con el Spam y los virus, la prudencia, cierta desconfianza inicial y la actualización tanto de su PC como del software antivirus, son las medidas que mejor pueden protegerle contra cualquier tipo de fraude en Internet.
Detección/Reconocimiento de mensajes falsos.
Resulta de vital importancia reconocer a tiempo este tipo de mensajes. Por norma, las entidades financieras, de crédito, etc. nunca se dirigen al cliente solicitando sus datos de acceso o de pago por ningún medio.
Sin duda, la mejor de las protecciones, será la colaboración de clientes y usuarios de estos servicios para poder interceptar a tiempo los lugares desde donde se emiten estos mensajes o donde se reciben los datos capturados. Si en algún momento usted detecta alguno, o sospecha de la falsa identidad del remitente:
No responda nunca a este tipo de mensajes salvo que tenga las máximas garantías de que provienen de la fuente correcta.
Póngase lo antes posible en contacto con los servicios de atención al cliente de la entidad referida.
Realice un seguimiento diario de los movimientos de su cuenta durante los días posteriores.
Tenga en cuenta que por el simple hecho de recibir ese tipo de correos, sus datos personales no se encuentran en peligro.
Uso de herramientas de detección de sitios fraudulentos.
Existe una serie de aplicaciones cuya finalidad es ayudar en la detección de sitios fraudulentos.
Recomendaciones Genéricas para su seguridad y autoprotección en Internet.
En general, siga las siguientes recomendaciones para mantener su seguridad durante la navegación en Internet.
Relativas a sus claves, códigos de acceso y operación
1. Sus claves y códigos son personales e intransferibles, por lo que no debe revelarlas a nadie.
2. Cambie perióricamente sus claves de acceso y en especial cuando tenga la sospecha o duda sobre la confidencialidad de las mismas.
3. No utilice las claves proporcionadas por defecto, cambiándolas por otras tan pronto como le sea posible.
4. Procure, siempre que le sea posible, no utilizar las mismas claves y códigos en todas sus entidades financieras.
Relativas a la protección y cuidados de su PC
1. La protección de su PC es clave, por lo que es necesario que disponga de un Sistema Operativo correctamente actualizado con los últimos parches y actualizaciones de seguridad proporcionados por el fabricante.
2. Instale y mantenga permanentemente actualizado un software antivirus en su equipo.
3. Instale y mantenga actualizado un software de protección personal “firewall” y revise con cierta periodicidad los registros “logs” de actividad que genera en busca de anormalidades o eventos no comunes.
4. Desactive las funciones de almacenamiento de claves en la “cache” del sistema.
5. Evite la instalación de software de dudosa legitimidad. Relativas a su operativa bancaria
6. Procure no acceder a su entidad financiera a través de enlaces ubicados en email ni en webs de terceros, siempre que le sea posible introduzca manualmente la dirección o utilice las opción de favoritos.
7. Compruebe que la conexión a su entidad de realiza a través de una conexión segura (HTTPS) y mediante un certificado de seguridad válido que autentique y garantice que realmente se esta conectado con su entidad.
8. Si las entidades financieras, tras la conexión, le proporcionan información sobre la última conexión o el último cambio de contraseña, compruébelo siempre que le sea posible.
9. Manténgase regularmente informado del estado de sus cuentas y de las últimas operaciones realizadas por el medio que habitualmente utilice su entidad
10. Finalice todas sus conexiones con la entidad mediante la función “desconexión”, nunca cerrando directamente el navegador.
11. En general lea y siga las recomendaciones de seguridad que su entidad le proporciona y recomienda.
12. Evite conectarse desde lugares públicos que no le ofrezcan suficientes garantías de seguridad en el equipo.
En caso de que se pongan en contacto con usted telefónicamente, procure asegurarse de que el interlocutor pertenece de forma legítima a la entidad referida:
1. Inicialmente intente ser usted mismo quien realice la llamada al número habitual del servicio de atencion al cliente de la entidad.
2. Pida que se identifique de forma clara y correcta.
3. Como empleado de la entidad, solicite que le amplíe mayores detalles sobre sus propios datos:
D.N.I, domicilio, número de cuenta
Saldo disponible en la actualidad
Datos de la última operación o apunte en su cuenta.
En general, cualquier información que no pueda estar disponible fácilmente salvo para empleados de la entidad.
Recomendaciones básicas para detectar un sitio web falso.
Asegúrese de que su PC no tiene virus. Un virus podría modificar el aspecto de su navegador, además de capturar la información introducida en formularios.
Nunca siga enlaces de corrreos eletrónicos ni de ningún otro origen para acceder a sitios web sensibles. Es mejor teclear la URL (dirección del sitio web) manualmente o usar un "Favorito" o "Marcador" creado por uno mismo. Conviene verificarlo siempre (La mayoría de los navegadores muestran el destino en la barra de estado al mantener el ratón sobre el nombre del "Favorito")
Verifique la conexión cifrada y el certificado del sitio como se detalla a continuación. En una página con marcos (subdivisiones en las que se pueden cargar distintas páginas web) es conveniente verificar cada uno de los marcos.
Para saber si una página web utiliza marcos:
1. en Internet Explorer seleccione "Propiedades" en el menú "Archivo", y haga clic derecho en un lugar en blanco de la página y elija "Propiedades". Si el campo "Dirección (URL)" es el mismo en las dos fichas de propiedades, se trata de una página sin marcos. Para ver el certificado de la página cargada en cada marco puede utilzar el botón "Certificados" en la ficha de propiedades.
2. en otros navegadores puede hacerse de otras formas. Por ejemplo, en Mozilla Firefox, al hacer clic derecho en una página con marcos aparece el submenú "Este marco", que no aparece en páginas sin marcos.
Conexión cifrada (HTTPS) y certificado.
En general, casi todos los sitios Internet relacionados con bancos, entidades financieras o de crédito, le dirigirán hacia un servidor seguro durante el proceso de introducción de sus datos de identificación personal.
La dirección debe comenzar con httpS: en lugar de solo http: (note la "s" al final).
Un sitio con una URL “https:” es un sitio seguro, aunque:
https por sí solo no garantiza en ningún caso que el sitio al que se ha conectado pertenece realmente a quien dice pertenecer.
Certificados:
http://i30.photobucket.com/albums/c330/FreeSoftWarrior/seguridad1.jpghttp://i30.photobucket.com/albums/c330/FreeSoftWarrior/seguridad2.jpg
Una vez en un sitio seguro, otro indicador es la presencia de un pequeño candado amarillo en el rincón inferior a su derecha.
Un doble clic sobre el mismo debe mostrarle la información del certificado de Autoridad que debe coincidir con el nombre de la entidad a la que hemos solicitado su página, además de estar vigente y ser válido.
La conjunción de los dos elementos anteriores, https + certificado válido, aunque no llegue a ser al 100%, si se puede considerar como una garantía suficientemente aceptable de que el lugar en el que se encuentra es auténtico, es decir, pertenece a la entidad representada.
Recomendaciones de su entidad
Procure seguir las recomendaciones de seguridad establecidas por la entidad a la que está accediendo. Todas ellas disponen de páginas de seguridad donde explican con detalle las medidas a tener en cuenta para proteger su acceso. Al final de la página puede encontrar los enlaces a las páginas de seguridad de las entidades más representativas en nuestro país.
Qué dicen las entidades financieras.
Las entidades financieras de todo el mundo, están llevando a cabo la implantación de medidas que consigan detener el avance de este tipo de fraudes.
Al igual que otras organizaciones sensibilizadas con este problema, las entidades financieras de todo el mundo, están llevando a cabo la implantación de medidas que consigan detener el avance de este tipo de fraudes.
En España y a través del Centro de Cooperación Interbancaria (CCI), que aglutina a la mayoría de las entidades financieras, se están desarrollando medidas específicas entre las cuales cabe destacar las siguientes:
Fortalecimiento de los mecanismos de seguridad y accesos.
Mayor vigilancia en las operaciones de sus clientes
Refuerzo de sistemas de seguridad.
Formación/recomendaciones a usuarios clientes