Radiografía A Un Intento De Phishing
Ricardo Aroca | 12 de enero de 2007 | 
3 comentarios
Mientras realizaba mi lectura matinal de correos electrónicos, dentro de todo el spam había un mensaje que resaltaba sobre el resto, el cual pretendía ser enviado por el banco Santander Santiago.
Nunca he sido cliente del Banco Santander Santiago, así que sospeché inmediatamente que esto se trataba de un intento de robar mis datos personales y/o financieros a través de la técnica conocida como phishing (ver definición de phishing).
Decidí seguir el juego de los cazabobos e hice clic en el link provisto para personas, el cual lleva a la página http://www.banamex-mx.org/http/www.santandersantiago.cl/personas.htm. La página en cuestión es la siguiente:
Para el usuario incauto, realmente estamos en la página de Santander Santiago, pero al analizar la URL vemos que el dominio principal es banamex-mx.org, el cual no está asociado en forma alguna al banco. Hacer un whois (consultar los datos de registro) no entregó mucha información respecto al dominio.
Ingresé cualquier cosa como rut y clave en el formulario Banco en Línea (obviamente no iba a entregar mis datos) y sorpresivamente, sin validación de datos de por medio, fui dirigido directamente a la página donde se comete el delito.
La página nos pide que ingresemos información sensible como RUT, email y clave de transferencias, es decir, todo lo necesario para vaciar una cuenta bancaria a través de internet. En este formulario sí era necesario escribir un rut correcto, por lo que mi juego llegó solamente hasta ahí.
Solamente puedo pensar en la cantidad de personas que pueden en este tipo de jugadas y en la danza de millones que hay detrás de todo esto. Obviamente el llamado es a estar atentos frente a mensajes que soliciten información confidencial de nuestra parte, ya que el phishing se ha ido extendiendo ultimamante y es una realidad que ha llegado para quedarse.
Comentarios
Tal como dices, queda claro que el phishing es una realidad amargamente cotidiana. Tanto que mientras en 2005 publicábamos en Mouse como "novedad" sobre el primer phishing chileno (a Ripley, si mal no recuerdo) hoy son pan de cada día.
Para evitar estos fraudes, además de actualizar a las últimas versiones de los navegadores que poseen sistema anti-phishing (IE, Firefox, Opera), es importante recordar la regla de oro para todos estos casos:
NUNCA, pero NUNCA ingresar a sitios financieros o de comercio desde el enlace de un correo electrónico.
No importa cuán real parezca el correo. Lo mejor es siempre tipear la dirección del banco o tienda directamente en el navegador.
¡Saludos! :)
Que tal, este correo de forma muy similiar me llego a mi casilla, yo si soy cliente del bco. y apenas lo abri note algo extraño, la ortografia, el logo del santander,.. el texto en si, la despedida.."muchas gracias...blabla" y por supuesto el link, k una vez pinchado me llevaba a un foro en algun lugar del medio oriente(me di la pega de rastrear el origen), tambien me conecte por algunos Ftps al foro y comprobe varios archivos .php k hacian la magia de dejar sin un peso al incauto que pusiera sus datos, luego de esto di aviso a un amigo que trabaja en la empresa que le crea las web's a santander, y luego avise al bco. a los 3 dias la pagina ya no esta activa, pero desconozco cuantos confiados ingresaron sus datos, y ni siquiera se dieron cuenta que no validaba, que permitia cualquier rut, y que el codigo fuente tenia instrucciones llamadas "funcioncita... variable1..etc etc etc", quizas para la gente ligada a la informatica este truco del phising no funciona, sera por que conocemos como deben ser las cosas, y podemos indagar mucho mas de lo que el comun de la gente puede pensar.
Saludos camaradas!!
me pasolop mismo, en 2 agosto del 2009.
llame al banco y ellos saben que tienen la media caga con esto.
pero nadie responde ante los inacutos que han caido
