Archivo de la categoría: Fraudes

Denuncias de intentos de fraude por Internet en el Servicio de Reclamaciones del Banco de España

150 respuestas

En la Memoria del Servicio de Reclamaciones del Banco de España del año 2005, se da un indicio estadístico del impacto que las diferentes técnicas de fraude (phishing, pharming, keyloggers, troyanos,…) han tenido en la banca española en el citado año.

Aparte de las escasas actuaciones al alcance del organismo que tiene que ver con sus atribuciones y medios, merece la pena hacerse eco de los comentarios al respecto que figuran en la Memoria:

Se han recibido numerosas denuncias de intentos de fraude por Internet, que no han podido ser objeto de tratamiento por parte del Servicio de Reclamaciones del Banco de España, por exceder su ámbito de competencia.

Dada la multitud de ataques informáticos de los que se ha tenido conocimiento, se alerta a las entidades y usuarios a extremar las medidas de cautela a la hora de enviar las claves de acceso para operar con banca telefónica o electrónica.

El uso de los servicios de banca electrónica implica la utilización y adopción por parte de los usuarios de las medidas de seguridad informática adecuadas de sus equipos (antivirus, firewall, etc.).

Las denuncias de spam, correos falsos procedentes de supuestas entidades financieras para la obtención de las claves de seguridad de los usuarios financieros (phishing), no pueden ser objeto de reclamación contra la entidad financiera suplantada.

Sistemas de ataques más comunes:

Phishing
Conduce a los clientes de una entidad de crédito a una página web falsa, que aparentemente pertenece a dicha entidad. Una vez en dicha página, se solicitan los datos personales, que posteriormente son utilizados para la realización de operaciones fraudulentas.

Pharming
Mediante la explotación de la vulnerabilidad de los sistemas de servidores DNS, el atacante adquiere el nombre de dominio de un sitio web y redirige el tráfico de esa página a otro sitio distinto del verdadero, a través del cual se obtiene la información personal.

Keylogging
Registro de pulsaciones. En ocasiones es utilizado como una técnica de espionaje para obtener contraseñas o claves encriptadas y así traspasar las medidas de seguridad de las entidades de crédito.

Los sistemas que deben utilizarse para evitar en lo posible estos fraudes son:

  • Utilizar el protocolo SSL (Secure Sockets Layer). Permite cifrar la conexión y garantiza la autenticación.
  • Comprobar el propietario del dominio al que se está accediendo.
  • No atender las peticiones de información personal, ni de claves de acceso, mediante correo electrónico o llamadas telefónicas que aparentemente proceden de entidades de crédito.

Técnicas de fraude en cajeros automáticos

3 respuestas

Tengo previsto incluir algunos posts en este blog para avisar sobre algunas técnicas de fraude en entornos físicos y virtuales.

Pero en esta ocasión quisiera hacerme eco de un sitio web que he conocido a través de meneame, y que explica de manera muy gráfica y sencilla algunos tipos de fraude.

El sitio web se denomina «que no te roben» y escenifica algunas técnicas que utilizan ciertos delincuentes para obtener el PIN (Personal Identification Number, número secreto) de la tarjeta de crédito y el contenido de la banda magnética de la tarjeta, con lo que pueden utilizar estos datos en «tarjetas blancas» y extraer dinero en otros cajeros automáticos.

recomendaciones.gif

WikiSTC compendio de información de seguridad

2 respuestas

A través de Harlok me he enterado de que se ha publicado la versión española del Wiki sobre seguridad WikiSTC. Habrá que ir dándose de alta para colaborar.

Entrevista a Kevin Mitnick

2 respuestas

Mercè Molist es uno de los mejores periodistas tecnológicos del mundo (en masculino neutro). Posiblemente la mejor periodista tecnológica sobre temas de seguridad en español y catalán. Yo siempre disfruto de sus artículos. De todos. Y estoy pendiente de los medios en los que publica para ver cuando sale un artículo suyo.

Recientemente ha publicado su entrevista a Kevin Mitnick, el famoso hacker (básicamente experto en ingeniería social) al que ayudó a detener Tsutomu Shimomura. Mitnick fué detenido en 1995 y salió en libertad en enero del 2000 a través de un acuerdo con el gobierno estadounidense, en el que se contemplaba que durante tres años no podía acercarse a ningún equipo electrónico (ordenadores, teléfonos, etc.). La historia se ha recogido de forma novelada en el libro «Takedown» de John Markoff con Shimomura, y ha sido llevada a la pantalla grande en una película sin excesivo éxito. La versión de Mitnick se recogió en The Fugitive Game: Online with Kevin Mitnick de Jonathan Littman. Takedown se ha publicado en español, pero el traductor no tenía excesivos conocimientos técnicos y mucha jerga está mal traducida, por lo que los más frikis deberían leerlos en inglés.

Mercè ha realizado una interesante entrevista a Kevin Mitnick que referencia en su blog y que recoge en su página personal.

Enhorabuena por la entrevista.

Ley de Benford – Newcomb

5 respuestas

La ley de Benford, también conocida como la ley del primer dígito, asegura que, en toda colección de números que se refiere de forma homogénea a alguna propiedad natural o hecho estadístico de la vida real, aquellos números que empiezan por el dígito 1 ocurren con mucha más frecuencia que el resto de números, los que empiezan por el 2, ocurren con más frecuencia que el resto, salvo el 1 y según crece el valor de primer dígito, más improbable es que este forme parte de un número. Este hecho, que se admite como Ley, se puede aplicar a datos relacionados con el mundo natural o con elementos sociales.

En la página de Manuel Perera Domínguez puede encontrarse un buen artículo sobre la Ley de Bendford, que Manuel elaboró junto con Juan David Ayllón Burguillo.

Esta introducción viene al caso porque esta Ley, no suficientemente ponderada, salió en una conversación que tuve el otro día con Jesús González Fuentes. Estábamos hablando de técnicas de investigación y auditoría, y Jesús, como buen auditor, recordó que en la investigación contable (y por extensión en la de todo tipo de fraudes) esta Ley se ha revelado como un excelente indicador de actividades irregulares.

De modo que la incluyo en la Caja de Herramientas del Investigador Forense Informático como un primer estimador (o disparador de alarma) respecto a los casos a revisar cuando tenemos una amplia colección de casos a estudiar y debemos elegir un procedimiento para priorizar y seleccionar a los más prometedores para profundizar en la investigación.

Para concluir la parte didáctica de esta ley, conviene comentar que el hayazgo se remonta a 1881, cuando el astrónomo y matemático Simon Newcomb observó que las primeras páginas de las tablas de logaritmos de su facultad estaban manifiestamente más usadas que las finales de lo que dedujo que aparentemente los dígitos iniciales de los números (al menos los utilizados en su trabajo por quienes habían consultado las tablas) no son equiprobables. Para cotejar su descubrimiento marchó a otras facultades: ingeniería, física, otras de matemáticas, etcétera. El resultado era el mismo.

Frank Benford, un físico de General Electric reformuló esta ley en 1938, sorprendido por el mismo efecto de páginas gastadas en los libros de logaritmos. El estudió colecciones de datos de todo tipo y generalizó el hallazgo que superaba el marco de las tablas de logaritmos.
Ambos llegaron a establecer la probabilidad de aparición de cada dígito como primer guarismo de un número, por lo que cualquier situación que se diferencia claramente de esta distribución de probabilidades es sospechosa. Esta es la frecuencia (probabilidad) de las diferentes cifras:

1 : 30,1 %; 2 : 17,6 %; 3 : 12,5 %; 4 : 9,7 %; 5 : 7,9 %,;6 : 6,7 %;  7 : 5,8 %; 8 : 5,1 %; 9 : 4,6 %

Documentos Extraviados y Robados (DER Servicio SADP en el CCI), alternativa a PERSUS

72 respuestas

Hace unos días mencionaba un iniciativa para reducir los problemas que se producen cuando perdemos o nos roban la documentación, y de forma destacada, el DNI. Se trata del fihero PerSus gestionado por ASNEF-Equifax.

Rafael Marín, del Centro de Cooperación Interbancaria (CCI), me comenta otra iniciativa que se ha acometido desde esta institución con el mismo objetivo, enmarcada en su política de Prevención del Fraude.

Se trata del Fichero de Documentos Extraviados y Robados (accesible a través del Servicio de Actualización de Datos Personales SADP) que permite que las entidades financieras puedan comprobar ciertos datos en el momento en el que una persona acude a abrir una cuenta en una oficina, aportando documentación que pudiera o no ser robada.

Es importante este tipo de inicativas para paliar los efectos adversos de perder el DNI o de que te lo roben, como se documenta en estos casos:

Sobre este asunto reproduje un artículo originalmente publicado por El Mundo.

Google Checkout: la cartera de pago por Internet

1 respuesta

Me he enterado a través del blog de Jordi Miró.

¿Qué pasaría si Google tuviera los números de tu tarjeta de crédito?

Pues que sería un aliciente para los «robos de identidad», robos de contraseñas y otras modalidades de suplantación y phishing.

Aunque el hecho de que Google se meta en esto hace probable la adopción del sistema y su generalización, a mí me da un poco de miedo.

Por lo demás el tema no es nuevo: Google Checkout es una especie de Paypal o ePagado o una de las múltiples variantes de cartera virtual.

Desde luego, podría ser una aplicación «killer» si se combinara con el teléfono móvil a estilo de Mobipay. Ya sabes: seguridad de «doble factor»: algo que tienes y algo que sabes.

Fraude en las apuestas por Internet

28 respuestas

Aunque era de prever que sucediera, la noticia empieza a ser importante por la enorme expectativa que ha levantado el mundial de fútbol y las pasiones que desata.

Las casas de apuestas (empresas como Ladbrokes, William Hill, Coral, Paddy Power o Bet 365) pueden desarrollar actividades que son legales en un país e ilegales en otro. Y en ocasiones incumplen la normativa española de contratación a distancia, en particular en lo referido a sus cláusulas abusivas. La noticia la publica La Voz de Avilés-El Comercio y de ella entresaco la siguiente cita:

Entre otras situaciones de riesgo, la UCE explicó que al darse de alta en estas páginas, los usuarios se ven obligados a aceptar unas clausulas que permiten a su dirección modificar las reglas a su antojo, reglas que están sometidas a las leyes de Antigua y Barbuda, un paraíso fiscal al que es imposible realizar cualquier reclamación en caso de fraude o deficiencia en el servicio.

La UCE relató el caso de un usuario que, tras abrir una cuenta aportando una cantidad inicial, descubrió que su saldo estaba bloqueado y no podía recuperarlo sin que existiera una causa justificada. A pesar de que presentó numerosas reclamaciones a la dirección de correo electrónica facilitada, no obtuvo ningún tipo de respuesta.

Captación de mulas para phishing

1 respuesta

Los delincuentes del phishing están especializados y trabajan con una organización sistematizada.

  • Unos trabajan hackeando sitios web y poniéndolos a disposición de la organización.
  • Los siguientes utilizan sitios web hackeados para poner las páginas web que simulan ser las de una entidad financiera, y en la que se instalan los programas que recogen las passwords y los códigos de tarjetas de barcos.
  • Mientras, otros van obteniendo direcciones e-mail con técnicas de spammer, en ocasiones a través de virus especializados que husmean en los ordenadores de sus víctimas.
  • Los expertos en e-mail usan sus conocimientos para hacer llegar diferentes tipos de mensajes a diferentes tipos de víctimas-incautos, sin que los bloqueen los filtros antispam ni los filtros antiphishing.
  • Uno de los mensajes tipo es el destinado a engañar a los clientes de una entidad financiera en cuyo nombre se emiten los mensajes. El tono de la redacción de los mensajes no suele ser el que utilizaría una entidad financiera, y muchas veces las frases no están correctamente redactadas en la lengua en la que opera la entidad financiera y eso hace que frecuentemente sea relativamente fácil detectar el phishing a quien sabe de qué va eso. Sin embargo cada vez las técnicas de suplantación son más perfectas y los diseños de los email más profesionales.
  • Los responsables de los webs-zombie (los que van captando las passwords en webs hackeados) hacen llegar los datos de acceso a las cuentas bancarias a otros miembros de la organización.
  • Estos acceden a las cuentas con los datos obtenidos y envían transferencias a cuentas bancarias de las "mulas".
    Las mulas envían el dinero (menos la comisión que se quedan por su "trabajo") a otro destinatario a través de entidades remesadoras de envío de dinero en efectivo en las que se deja relativamente poco rastro.
  • La captación de mulas se hace por otra modalidad de mensajes tipo. En estos mensajes, el remitente dice trabajar para una multinacional "prestigiosa" y señala que has sido "seleccionado" para desempeñar un trabajo honrado y sencillo, recoger la recaudación de las facturas de los productos que exportan a tu país y enviársela a su organización. Algo, desde mi punto de vista, tan sospechoso, que sorprende que gente formada se lo haya creido y se haya prestado a ello. Y, por supuesto, haya sido detenida por la policía, al ser el primer elemento de la cadena de movimiento de dinero de la organización, con la identificación de la cuenta proporcianada por el defraudado.

Para que veais el ingenio de estos tipos, os adjunto un mensaje que envían en modo gráfico, de forma que puedan soslayar la técnica de análisis de palabras de los filtros antispam.

Captacion de mulas