Dichoso phishing

21 Jun

Enviado por juanluis en Comercio electrónico, General, Internet, Opinion, Seguridad

Si hay algo que esta poniéndose casi peor que el SPAM es el phishing.
De bancos no tanto, pero lo de Ebay empieza a ser cansino.
Raro es el día que no tengo 3-4 repartidos entre las diferentes cuentas.
La mayoría son fáciles de identificar viendo en la barra de estado a donde apunta el enlace del supuesto link para confirmar los datos de tu cuenta, que supuestamente ha sido “violada”.

Pero últimamente están llegando una serie de emails que si no fuese por que para la cuenta en la que los recibo no tengo cuenta de Ebay, y porque no compro/vendo nada en Ebay me harían dudar.
Enrique Dans hablaba de lo mismo hace unos días
Se trata de un mensaje interno de un usuario de Ebay, que me reclama el pago de algo, y que si no respondo en 3 días me “regalará” feedback negativo.

Pues vale, en mi caso no cuela, pero ¿y en los millones de usuarios que transaccionan a diario con Ebay, y para los que puede colar?

Ya vimos hace unos días, en la Jornada de Comercio Electrónico de la UPV como los bancos españoles admitieron tener todos problemas de phishing.Con la boca pequeña y pocos detalles, pero lo admitieron.

De paso, lanzaron la excusa fácil ” el cliente no esta formado, el cliente no toma las medidas de seguridad ” y se vanagloriaron de hacerse cargo ellos de esos incidentes, entiendo que porque de momento son pocos y porque a nivel de imagen lo contrario seria peligroso para ellos.

Ante mi pregunta de si el banco tiene alguna responsabilidad frente a una estafa de phishing a un cliente, la respuesta del responsable de seguridad de un banco fue a mi entender bastante patética, ya de entrada respondiendo con otra pregunta :

“Usted le daría las llaves de su casa a alguien vestido de Policía, si se las pidiese… ?”

Mi respuesta fue que posiblemente no (aun en frió estoy dándole vueltas…y creo que dependiendo de las circunstancias y la explicación veríamos…) , pero entiendo que MUCHA gente , si se les presenta un tipo vestido de policía, se acredita con su placa, y les pide que les den la llave de su casa, se la darían casi con los ojos cerrados.

La gente es bastante confiada por naturaleza, y si te llega un mail aparentemente de tu banco y te pide tus datos, o un señor perfectamente vestido de policía diciéndote que hay un ladrón en tu finca, o el inspector del gas por una supuesta fuga, pues las posibilidades de “picar” son altísimas.
El phishing juega con eso.

La pregunta que me queda es : Si sabes/piensas que tus usuarios son unos zoquetes, confiados y que les pueden estafar fácilmente, y encima tu no te consideras responsable de eso aunque estes cargando con ello, ¿ no es mas ético decirles que se dejen de banca online, y vayan al cajero de toda la vida???

La solución por parte del banco es fácil(en comparación con sitios como Ebay, que lo tienes mas complicado por su naturaleza), y es habilitar sistemas de seguridad que eviten el phishing, como son las tarjetas de claves, los “tokens” u otros sistemas dobles de identificación que eviten la fácil entrada en sistemas que, aunque parezca mentira, aun funcionan con simples usuario/pin.

7 Respuestas

josemaria

21st June 2006 a las 10:06 am
1

De acuerdo en casi todo José Luis, salvo que no creo que tampoco un sitio como eBay se libre de habilitar sistemas más seguros. Pasar del modelo de contraseña única que usan ahora a otro que añada el uso de tarjetas de claves sería tan fácil como generarlas y pedirle al usuario que la imprima y la conserve en el momento de su inscripción. De hecho Mobipay lo está haciendo así.
bdsv

21st June 2006 a las 10:09 am
2

Nada como saber qui�n eres realmente

Hablan por ah� de que �ltimamente est�n apareciendo algunos mensajes tipo phising, osea falsos, supuestamente de eBay pero que en realidad no lo son, que no son nada faciles de detectar. Bueno, pues aqu� os arrojo una peque�a pista que, aunque
juanluis

21st June 2006 a las 10:15 am
3

Jose Maria, ojo, que no digo que Ebay no tenga que habilitarlas.
Solo digo que por su naturaleza, es mas complicado para ellos y redunda en una complicación mas y por lo tanto un % de transacciones mas bajos, con toda seguridad.
Los de los bancos hablaban de el numero de transacciones no finalizadas cuando habilitaron doble sistema de seguridad, y en los primeros momentos parece que fue altísimo.

Seguramente a Ebay de momento les sea mas rentable luchar contra el fraude y hasta asumir ese % de perdidas, que implantar un sistema que pueda hacer bajar el numero de transacciones y que tambien supone un coste importante.

Un banco tiene oficinas físicas, esta circunscrito a un espacio físico mas o menos controlado, y lo tiene mas fácil porque hay mas sensacion de riesgo entrando en la web de un banco donde tienes tu dinero, que en ebay.

Por otra parte, en el momento que un usuario puede generar e imprimir una tarjeta de claves a diferencia de que se la den fisicamente o le den un “token”, ya hay una debilidad, aunque evidentemente es una traba mas.

La verdad es que es un tema que da para mucho.
josemaria

21st June 2006 a las 11:16 am
4

No se Juan Luis… yo creo que eBay lo tiene más fácil que un banco a la hora de implantar mejores medidas de seguridad porque posiblemente el cliente medio de eBay tenga una cultura tecnológica mayor que el de un banco y sabría aceptar mejor estas medidas ¿no te parece?

Lo que está claro es que hoy por hoy es inaceptable que un servicio que implica una transacción económica a través de internet siga estando protegido por una mera contraseña sin restricciones de ningún tipo, sin necesidad de renovarla cada cierto tiempo,… y que pretendan que, además, la gente le coja confianza a estos medios. En fin…
juanluis

21st June 2006 a las 11:24 am
5

Sinceramente, no creo en esa diferencia de cultura tecnologica.
La gente que usa en España banca online, aunque habrá de todo, no es el jubilado que no sabe ni actualizar la libreta o el tipo que en el cajero no sabe lo que significa “Reintegro”….
Ebay tiene millones de usuarios, y tambien habrá de todo, hasta si me apuras, creo que hay mas caldo de cultivo en Ebay que en banca online, lo unico que seguramente en banca se puede sacar mas tajada.

Yo conocí en su dia algunos yankis que vendian por Ebay, que daban miedo… por lo palurdos que eran, asi que creo que en todos sitios cuecen habas.
bloggymorgan

22nd June 2006 a las 6:49 pm
6

Yo trabajo en banca y te aseguro que se toman en cuenta todas las posibilidades que se pueden implementar. Y su coste. Coste económico y educacional.
No es barato implementar medidas más seguras. En la entidad en la que trabajo acabamos de cambiar de contraseñas por teclado de posición variable a tarjeta de coordenadas. Hay sistemas mejores pero los costes en hardware (dispositivos tipo llave usb), software, logística, formación de los usuarios, promoción, envíos, adaptación, soporte, etc. hacen que en función del tamaño de la entidad se escoja un formato u otro.
No creo que haya muchas entidades financieras serias que tengan el tipo de login que tiene un blog, sinceramente. Tenemos otras carencias. algunas muy graves, pero un login no seguro, hoy en dia no tiene sentido tampoco para la entidad financiera, precisamente por lo que comentabas de que el banco hasta ahora está asumiendo estos costes del fraude.
En cuanto a la responsabilidad que tiene el usuario… ejem. Yo también soy usuario, y estoy esperando a que mi banco me de un token de esos tan bonitos para regalarselo a mi niño y que se lo quiten en el parque. Quiero decir, que aunque los sistemas deben ser cada vez más seguros, también debemos utilizarlos con respondabilidad y corrección.
En cuanto a si los usuarios son unos cafres o no, pues yo creo que no. Los usuarios son usuarios. Personas que usan tu sistema. Y como personas,unas piensan antes de actuar otras actuan antes de pensar y otras simplemente actuan. Pero hay dinero de por medio, y por ese motivo, el usuario está más atento que de costumbre a estas tareas.
El problema entonces radica en otro sitio. En la formación a nivel global.
Pongamos un ejemplo que todos tenemos a mano: La madre. Resulta que mi madre:
Es profesora de las de toda la vida (a mi me enseñó latín, genética y a tener paciencia)
Tiene 3 tarjetas de crédito, una hipoteca, seguros, etc. (contrata cosas y las firma sabiendo lo que hace)
Habla 2 idiomas (aparte del latín, pero no inglés).
Lleva todas las tareas de la casa sin inmutarse con una enfermedad crónica desde los 27 años que la obliga a pasar cada vez más tiempo en casa.
En su círculo de amistades la consideran una persona inteligente (yo más).
No sabe “usar internet”.

Digo que no sabe “usar internet” como podría decir que no sabe usar el video. Por que es verdad: No sabe. No sabe ni por donde empezar. Gracias a Dios, con la llegada del adsl, se acabó aquello de recibir llamadas del tipo de “ponme” internet hijo que quiero …
Para empezar, muchas cosas estaban o están en inglés, lo que la acobarda más aún.
Tiene la sensación de que va a romper algo.
Resultado: No lo usa. Y no aprende a hacer cosas que la suponen un paseo a la oficina por la dificultad que implica aprender algo que no te resulta natural.
Pongamos ahora otro ejemplo: Tu primo pequeño.
Mi primo pequeño (10) años:
Sabe jugar a mil cosas distintas y todas le parecen bien. Si le propones otra cosa, también jugará.
Sabe dos idiomas muy malamente los dos (Sistema educativo actual )
Ha crecido viendo a su padre trabajar con el ordenador (o jugar con el). Y cuando digo viendo, digo atendiendo. Mi madre también me veía a mi jugar, pero no se fijaba en qué hacia realmente.

Estos condicionantes son suficientes para que mi primo pequeño con mucha menos experiencia vital, se desenvuelva mejor que mi madre en un entorno que para ella es extraño. Y si me remonto una generación más allá, no es que sea extraño, es que es absurdo.
Resumiendo, lo que quiero decir es que no todos los perfiles de clientes o potenciales clientes tienen los mismos conocimientos ni las mismas ganas de adquirirlos, pero el sistema que van a utilizar es el mismo para todos. ¿El tuyo sirve para que lo use cualquiera?
Mi abuela con el parkinson no podría ni hacer login con el teclado numérico virtual. Como para encargar la compra de “como hacer ganchillo de doble vuelta” en eBay.
juanluis

22nd June 2006 a las 8:46 pm
7

Pedazo comentario, has batido el record
LLevas razon en muchas cosas, la verdad.

Tecnorantes

Dichoso phishing

7 Respuestas

Dejar una respuesta

Mis reseñas en Qype

Categorías

Archivos

Enlaces

Meta

Sindicación

Sitios Amigos