Todos sabemos lo que es el phishing, básicamente es la manera de inducir a un usuario a revelar información confidencial para luego aprovecharse de ella, habitualmente de forma financiera.Es decir, dicho en plata, te engañan con diversos sistemas (email, llamada teléfono, sms, carta, etc) para que les des tus claves de acceso al banco u otros (paypal, ebay, etc) y llevarse tu dinero.
Este "nuevo?" sistema plantea varias cuestiones, por una lado la responsabilidad del usuario, y por otro lado la responsabilidad de las entidades financieras. Tanto uno como otro han de poner de su parte para solucionar este problema.
El usuario no ha de ser tan confiado. Imaginemos que vamos por la calle y que alguien, diciendo ser policía, nos pide las llaves de casa porque piensan que allí se pueden esconder unos ladrones y que van a revisar la casa.
Si se las damos, yo creo que a nadie le sorprendería que nos hubiesen desvalijado la casa ¿no? Un caso similar pasa con el pishing. Las claves de acceso a tu banca electrónica son PRIVADAS y nunca nadie las va a solicitar, ni siquiera el banco.
Ahora bien, esto no es del todo cierto, ya que el banco sí que las pide. Las pide al entrar en la oficina electrónica, las pide (sólo algunos bancos,afortunadamente) al utilizar el TPV Virtual, y así un larguísimo etcétera.
El "Malo", trata de confundir al usuario para llevarlo a un entorno en el cual el usuario se siente seguro. Este entorno tiene la misma apariencia de la entidad financiera, tiene un candado (en ocasiones) igual que la entidad financiera, y es muy similar en muchas cosas a la entidad financiera.
Todo usuario tiene un momento de despiste, solo es cuestión de aprovecharse de él.
Todos, tanto entidades financieras como usuarios hemos de tomar ciertas medidas de seguridad, y es responsabilidad de todos el llevarlas a cabo.
No por elegir la forma más segura se esta más seguro, ni con la seguridad más "simple" se esta más desprotegido.
En este pequeño artículo, vamos a ver posibles soluciones y recomendaciones para estos casos, tanto desde el punto de vista del banco como desde el punto de vista del usuario.
También vamos a ver los fraudes del futuro, así como sus formas de hacerlos y posibles soluciones.
El Banco
El banco ha de proporcionar el mejor sistema de seguridad disponible para sus usuarios. Esto no significa que el sistema más eficaz sea el que haya que elegir (puede ser tan caro que no es viable), ni que sea el más barato, se trata de balancear costo/beneficio.La mayor parte de los bancos conocía el problema del phishing hace años, sin embargo se pensaba que este tipo de fraudes sólo afectaba al mercado USA. El tiempo ha traído estos fraudes al mercado español. Cualquiera lo podía saber, era sólo una cuestión de tiempo.
Simplemente no era rentable prevenir un problema antes de que pasase. Incluso aun ahora, cuando esta pasando, el banco no se plantea el acometer una solución buena, ya que o bien es demasiado cara y la eficacia es cuestionable o bien el fraude no supera el umbral de coste de la solución. La solución de momento para el banco, va en la dirección de devolver el dinero a todos los estafados.
En cualquier caso, el banco es responsable de implantar las medidas adecuadas de seguridad, y si no las realiza, el usuario ha de exigirle que las implante mediante los colectivos adecuados (defensa del consumidor, asociación de usuarios de Internet, etc).
Los responsables de seguridad de los diferentes bancos son culpables de "imprevisión" (ahora que tan de moda esta palabra) ante el phishing, ya que lo conocían, estaban advertidos pero no hicieron nada por prevenirlo.
El usuario
El usuario ha de evolucionar de su estado de "candidez" a un estado más desconfiado de la naturaleza humana. El usuario ha de entender que Internet es como la calle.
¿Vamos por la calle enseñando un fajo de billetes (si lo llevásemos en el bolsillo)? ¿Verdad que no? Porque seguramente alguien nos lo robaría, cierto?
Internet es exactamente igual que la calle. Hay que educar a nuestros hijos sobre los riesgos de Internet, al igual que los educamos sobre los riesgos de la calle. De paso, hemos de educarnos nosotros mismos.
Seguimos oyendo que siguen cayendo gente en el timo del toco-mocho, cierto? Pues en Internet seguiremos oyendo de fraudes. Miles de fraudes diferentes cada DIA.
Básicamente todo se reduce a 4 premisas:
Soluciones de "Negocio" para el pishing
¿Vamos por la calle enseñando un fajo de billetes (si lo llevásemos en el bolsillo)? ¿Verdad que no? Porque seguramente alguien nos lo robaría, cierto?Internet es exactamente igual que la calle. Hay que educar a nuestros hijos sobre los riesgos de Internet, al igual que los educamos sobre los riesgos de la calle. De paso, hemos de educarnos nosotros mismos.
Seguimos oyendo que siguen cayendo gente en el timo del toco-mocho, cierto? Pues en Internet seguiremos oyendo de fraudes. Miles de fraudes diferentes cada DIA.
Básicamente todo se reduce a 4 premisas:
1- Si te llega por correo algo que no has pedido o no esperas, no lo abras y bórralo.
2- Si alguna vez tu intuición te dice algo como...."mira que si fuese un virus...", bórralo!!!!.
3- Si un banco tiene problemas o quiere decir algo, enviara comunicación escrita, no por email. Luego no te creas nada que llegue por email de tu banco.
4- Un banco nunca pedirá a nadie sus claves por correo, teléfono o email. (salvo en la banca telefónica, pero a esa has llamado tu, ¿no?)
Soluciones de "Negocio" para el pishing
Muchas empresas han crecido al calor de estos fraudes, y muchas soluciones se han diseñado para tratar de paliar sus efectos. Vamos a ver las más conocidas:
Tarjeta Chip
Algunos bancos piensan que la solución de la tarjeta chip es la solución definitiva, ya que la clave no sale de la tarjeta cuando la página de login le pide un desafío. Este desafío habitualmente es la solicitud de cifrado de un número previamente emitido por el servidor, este número se emite cifrado con la cifrada de la CA que generó el certificado de la tarjeta.
De esta forma se garantiza la autenticidad de la persona que hace login, porque sólo el usuario tiene la tarjeta (eso no te lo pueden quitar con el phishing, ¿no?) y además tiene un pin que la protege. La tarjeta podrá leer el desafío ya que se emitió cifrado con la privada de la CA que grabó el certificado de la tarjeta. Una vez ha leído el desafío, se envía cifrado con la privada de la tarjeta. De esta forma el servidor, como tiene acceso a todos los certificados de las tarjetas y por tanto de sus públicas, tiene la seguridad de que quien se conecta es la tarjeta del usuario XXXX y que la persona que la tiene conoce su PIN. Es un funcionamiento similar al conocido intercambio de claves del SSL de los navegadores.
Este sistema tiene sus fallos, sobre todo con los nuevas sistemas de phishing (ya los veremos mas adelante).
Es un sistema tremendamente caro, y tremendamente ineficaz en relación costo/beneficio. Al menos hasta que el E-DNI llegue a implantarse, que al paso que va, no creo que lo haga en poco tiempo.
¿Tiene algún usuario de banca por Internet un lector de tarjetas chip en su casa? ¿Alguien lo ha intentado instalar con su sistema operativo? ¿Alguien ha visto la cantidad de problemas que da? ¿Nos damos cuenta de los problemas añadidos que un sistema de autenticación basado en tarjeta chip va a traer? Para empezar se acabó la movilidad, ya que una ínfima parte de los equipos informáticos tiene lector de tarjetas, y llevarlo en el bolsillo no es la solución, ya que precisas de permisos de Administrador para instalarlo.
Los problemas de implantación de este tipo de tecnología son enormes, por no hablar de su falta de compatibilidad. Es una solución que hasta que no llegue E-DNI no será viable. Eso no quita para que algunos bancos la implanten, aunque su repercusión en los usuarios de momento será escasa.
Por otro lado, si se populariza la misma, ¿que va a pasar? ¿Los usuarios hemos de tener una tarjeta diferente para cada banco? ¿también para la lechería?.
Este sistema (o similar) ya se intento con la Visa monedero y ya vimos su resultado.
Tarjeta de Coordenadas
Algunos bancos optan por una solución basada en Tarjeta de coordenadas. Esta solución es barata, transportable y eficaz. Cierto es que los "malos" también te pueden pedir (de hecho lo han realizado en algún phishing hace relativamente poco tiempo) las claves de las tarjetas de coordenadas, pero es más difícil que a un usuario le parezca normal que un banco le pida TODAS las claves de una tarjeta de coordenadas.
Quizás sería necesario complementar esta solución con algún algoritmo numérico que usando los dos últimos octetos de la IP del cliente, más un numero aleatorio (que cambie cada día, o cada hora) y dos coordenadas, calcule una OTP (one time password). La pantalla de login le pediría las coordenadas y le calcularía su OTP, la cual sería recalculada en tiempo de login para ver si la IP coincide.
Este sistema se puede reproducir fácilmente incluso sin tarjeta de coordenadas, bastaría hacer algún tipo de cálculo numérico con la contraseña (o parte de ella) y un número aleatorio. Es importante que cada hora cambie el número aleatorio y el algoritmo, ya que eso evitará la duplicación del sistema para el phishing online (lo veremos más adelante)
Esta mejora del sistema de coordenadas no evita el phishing tradicional, pero sí dificulta el phishing online que viene.
Active X o similar. Tecnología/Software en casa del cliente
Algunos bancos apuestan por introducir software en los ordenadores de los usuarios, lamentablemente esta solución crea más problemas que beneficios. Cualquier tipo de software instalado en cualquier plataforma, plantea problemas de mantenimiento. Los equipos y las configuraciones de los usuarios son infinitas o casi, y siempre habrá un porcentaje de incidencias. Mantener esas incidencias (porque inevitablemente le van a cargar al banco con la responsabilidad de cualquier cosa que vaya mal en el equipo) sale muy caro.
Por otro lado, este tipo de soluciones hacen perder absolutamente la movilidad al usuario, por lo que un usuario de banca electrónica no podrá usarla en cualquier lado. No creo que las políticas de seguridad de nuestro lugar de trabajo nos dejen instalar software de este tipo.
Control de la IP origen, alertas basadas en patrones de comportamiento
Existen soluciones que se comercializan, que aseguran poder identificar a los usuarios por su patrón de comportamiento, el cual logran, en algunas versiones, a través de su geolocalización, es decir, identifican la IP (ellos lo denominan ubicación) y la asocian a un usuario. Esto lo consiguen mediante una base de datos que asocia ISP, proveedores y rangos de IPS y lo trasladan a los usuarios.Propuestas de Soluciones Técnicas
Este sistema es cuestionable, yo mismo lo he probado y la tasa de error es demasiado elevada. Por otro lado es un sistema que no se alimenta automáticamente de los registros (RIPE, ARIN, etc) internacionales reconocidos, si no que tiene un sistema de alimentación/actualización manual muy pesado (y caro). Un banco no se puede permitir trabajar con un margen de error tan grande, estaría todo el día cancelando usuarios.
Sin embargo, existen soluciones técnicas de la mano del banco que sí pueden ayudar a paliar el phishing. Son baratas (si no casi gratis) y no tienen excusas para no implantarlas. Vamos a verlas:
El phishing que viene
1. Observar el HTTP_REFERER. En las líneas de logs del servidor Web que alberga la aplicación de banca electrónica, se ven las direcciones desde las cuales se ha llamado a las imágenes/aplicaciones/páginas con anterioridad, o las direcciones de las que viene la petición. En los phishing actuales, el modelo se basa en una página Web que te induce a introducir tus claves y acto seguido las valida contra el sitio online. En otros modelos, los gráficos son tomados del sitio Web original. Como poco, se puede montar una alerta online que rastree estos accesos desde sitios no “corporativos” y alertando en consecuencia.
2. En el modelo del phishing que intenta hacer un login con la clave del usuario que acaba de introducir. El banco puede relacionar las IPS de los logines, el usuario que está logando y las referencias del HTTP_REFERER para localizar ONLINE a los clientes comprometidos. De esta forma puede cancelar las transferencias fraudulentas en el momento de hacerse (muchos de los phishing actuales intentan hacer login y por tanto son fácilmente rastreables).
3. El banco puede implementar sistemas de alertas o informaciones a usuarios por transferencias. De esta forma el usuario recibiría por email o por SMS un mensaje informativo cuando realiza una transferencia. El usuario se daría de alta en su oficina habitual o por teléfono y el banco le enviaría a su email/buzón un mensaje con los datos de la transferencia (poniendo solamente los últimos dígitos de la cuenta, o el alias asociado a la misma). Evidentemente el banco ha de proporcionar un sistema adecuado de cambio de dichos datos (todos cambiamos de móvil rápidamente, no?). Lo ideal , aunque incómodo, es la oficina físicamente.
4. Todo banco debería dejar a sus usuarios seleccionar si se quieren conectar desde el extranjero o no. Un porcentaje muy alto decidirá que no se quiere conectar desde el extranjero. Esto es un filtro increíblemente bueno y el detectar si una persona se conecta desde el extranjero o no, es trivial.Evidentemente esto no evitara los phishings que esten albergados en equipos en España, pero estos son rápidamente atajados por las autoridades locales. Por otro lado, en este escenario, reducimos muchísimo los equipos susceptibles de ser vulnerados por los “malos”, ya que indudablemente son menos equipos que los que existen en el mundo entero. Los mayores problemas los tienen los bancos con las Web en el extranjero, tanto por el idioma, como por el horario y por la legislación (es dificilísimo cerrar una web de phishing en Japón o Filipinas, por poner un ejemplo).
5. Todo servidor Web, puede ser configurado para que a sus imágenes/aplicaciones o scripts no se acceda desde determinadas direcciones IP o en su defecto, para que solamente se accedan desde determinadas direcciones IP. Esto se consigue mediante el uso de ACLS (Access Control Lists). Evidentemente, si activamos esta medida, la numero 2 dejaría de ser viable, por lo que, aunque implenta un control de flujo de navegación en nuestro Web (y por tanto invalida los phishings actuales que tiran de imágenes y aplicativos en los webs de los bancos) la medida no tengo muy claro si a la larga ayuda a luchar contra el phishing.
El phishing que viene
El phishing de ahora no tiene punto de comparación con el phishing que viene. He estado viendo códigos que ya se están intercambiando por los foros "restringidos", y rompen ya todas las medidas de seguridad que los bancos todavía están discutiendo.
El phishing actual consiste generalmente en una página Web que te induce a meter las claves. Con estas claves, o bien te devuelven un error, o bien le pasan el control al login de la entidad, dejando al usuario como si hubiese hecho un login normal y corriente. Evidentemente el dialogo SSL se realiza a dos bandas, el cliente establece un dialogo SSL con el "bouncer" y el bouncer, otro enlace SSL con el banco.
También existe la variante del Keylogger o del pharming, que tiene soluciones diferentes y que veremos en otro artículo.
El phishing que viene es online. Esto significa que el servidor Web no va a pedir más la clave y la firma en la página de entrada, sino que será una pantalla de login exactamente igual a la de la entidad financiera.
Esto despertará menos sospechas en los usuarios, ya que es un login normal y corriente. Para forzarle a escribir la firma, se van a usar diferentes triquiñuelas. La más comentada es hacer uso de las promociones que hacen los bancos. Es decir, aprovechando que el banco X sortea un televisor entre sus clientes, les mandaran emails a los mismos instándoles a hacer login en su banca electrónica para verificar si les ha tocado.
El sitio del phishing (ya sea mediante un link en el email, o mediante troyano que le envenene el /windows/system32/drivers/etc/host ) hará login en tiempo real en la banca electrónica y le mostrará los datos al cliente tal cual los recibe (sus saldos, sus cuentas, etc), pero con una pestaña/opción nueva que le permite "recoger" o verificar el estado de su premio.
Una vez entre, le dirá que le ha tocado, y le pedirá la firma para verificar la identidad. Voila!!!! sin sospechas, y encima la entidad ha colaborado, ya que lleva X tiempo haciendo publicidad del sorteo/regalo/promoción/etc.
He visto variantes, tal como el troyano que online te cambia los datos de las transferencia (troyano brasileño, por cierto) pero sin embargo te muestra lo que tu deseas ver. De esta forma, tu haces una transferencia de 1 euro (por decir algo) a Fulanito y l por debajo te la hace a Menganito por 1000 euros. sin embargo, la confirmación que se ve por pantalla dice "Transferencia por 1 euro a Fulanito". Este troyano ya está en beta y funcionando.
Este tipo de phishings está en camino, solo es cuestión de tiempo que los veamos en España.
Conclusión
El phishing actual consiste generalmente en una página Web que te induce a meter las claves. Con estas claves, o bien te devuelven un error, o bien le pasan el control al login de la entidad, dejando al usuario como si hubiese hecho un login normal y corriente. Evidentemente el dialogo SSL se realiza a dos bandas, el cliente establece un dialogo SSL con el "bouncer" y el bouncer, otro enlace SSL con el banco.
También existe la variante del Keylogger o del pharming, que tiene soluciones diferentes y que veremos en otro artículo.
El phishing que viene es online. Esto significa que el servidor Web no va a pedir más la clave y la firma en la página de entrada, sino que será una pantalla de login exactamente igual a la de la entidad financiera.
Esto despertará menos sospechas en los usuarios, ya que es un login normal y corriente. Para forzarle a escribir la firma, se van a usar diferentes triquiñuelas. La más comentada es hacer uso de las promociones que hacen los bancos. Es decir, aprovechando que el banco X sortea un televisor entre sus clientes, les mandaran emails a los mismos instándoles a hacer login en su banca electrónica para verificar si les ha tocado.
El sitio del phishing (ya sea mediante un link en el email, o mediante troyano que le envenene el /windows/system32/drivers/etc/host ) hará login en tiempo real en la banca electrónica y le mostrará los datos al cliente tal cual los recibe (sus saldos, sus cuentas, etc), pero con una pestaña/opción nueva que le permite "recoger" o verificar el estado de su premio.
Una vez entre, le dirá que le ha tocado, y le pedirá la firma para verificar la identidad. Voila!!!! sin sospechas, y encima la entidad ha colaborado, ya que lleva X tiempo haciendo publicidad del sorteo/regalo/promoción/etc.
He visto variantes, tal como el troyano que online te cambia los datos de las transferencia (troyano brasileño, por cierto) pero sin embargo te muestra lo que tu deseas ver. De esta forma, tu haces una transferencia de 1 euro (por decir algo) a Fulanito y l por debajo te la hace a Menganito por 1000 euros. sin embargo, la confirmación que se ve por pantalla dice "Transferencia por 1 euro a Fulanito". Este troyano ya está en beta y funcionando.
Este tipo de phishings está en camino, solo es cuestión de tiempo que los veamos en España.
Conclusión
Este tipo de fraudes no parece que se vayan a solucionar de inmediato, pero sí parece necesario que tanto los usuarios como las entidades financieras se lo tomen en serio.
Por parte de los usuarios, es necesario que pierdan la inocencia en relación a ese "nuevo?" medio llamado Internet y pasen a considerarlo un canal más de comunicación, comparable a la calle misma.
Por parte de las entidades financieras, es hora de que se dejen de historias y pongan los medios "técnicos" necesarios y viables para paliar de verdad los efectos de los phishing, ya que, si no lo hacen, revertirá en un incremento de costos brutal en infraestructura (más oficinas por pérdida de confianza en la seguridad por parte de los usuarios) y pérdida de competitividad ya que el banco que sea pionero en paliar estos temas, será el que los usuarios (jóvenes sobre todo) elegirán para gestionar sus fondos, que seguramente el día de mañana dejarán de ser fondos para convertirse en patrimonio.
Por parte de los usuarios, es necesario que pierdan la inocencia en relación a ese "nuevo?" medio llamado Internet y pasen a considerarlo un canal más de comunicación, comparable a la calle misma.
Por parte de las entidades financieras, es hora de que se dejen de historias y pongan los medios "técnicos" necesarios y viables para paliar de verdad los efectos de los phishing, ya que, si no lo hacen, revertirá en un incremento de costos brutal en infraestructura (más oficinas por pérdida de confianza en la seguridad por parte de los usuarios) y pérdida de competitividad ya que el banco que sea pionero en paliar estos temas, será el que los usuarios (jóvenes sobre todo) elegirán para gestionar sus fondos, que seguramente el día de mañana dejarán de ser fondos para convertirse en patrimonio.
