Archivo de la categoría: Phishing

Condenado por un caso de phishing, pharming, troyano

2 respuestas

Por Alvaro del Hoyo, me he enterado de esta noticia publicada en El Correo Digital y que documenta el caso de una sentencia a «una mula» que interviene en un caso de phishing y similares. La «mula» es la persona que interviene en el paso de enviar y recibir dinero, muchas veces sin enterarse, o sin querer enterarse, de la procedencia del dinero.

Condenado por estafar 30.000 euros a un colegio de Getxo a través de Internet.

La noticia está firmada por O. B. OTÁLORA y A. DE LAS HERAS y sus e-mails pueden verse en la noticia publicada en la página web del Correo Digital.

Transcribo la noticia por si dejara de estar disponible en el medio original.

La Audiencia provincial vizcaína ha ratificado la condena impuesta por el Juzgado de lo Penal número 5 de Bilbao a Oleksiy L., ciudadano ucraniano de 30 años, a dos años y medio de prisión por una estafa continuada de casi 30.000 euros vía Internet a un colegio de Getxo. Según ambas sentencias, a las que ha tenido acceso este periódico, el acusado abrió cuatro cuentas corrientes en distintas sucursales bancarias de Sevilla, que recibieron nueve transferencias no autorizadas oficialmente de importantes cantidades de dinero, de entre 3.000 y 6.000 euros, los días 1, 4 y 6 de diciembre de 2004.

Según la última resolución de la Sección Segunda de la Audiencia, el caso responde a una trama urdida por varias personas cuyas identidades se desconocen, entre ellas un ‘hacker’ que introdujo un virus ‘troyano‘ -programa que suele estar oculto bajo la apariencia de una fotografía o publicidad remitida por correo electrónico- en uno de los ordenadores del centro escolar. De esta forma, lograron violar las claves secretas de acceso y ordenar traspasos de dinero a los números de cuenta cuyo titular era Oleksiy L., anteriormente citadas.

Lo más sorprende de la estafa radica en que el ‘troyano‘ estaba alojado en la página de una empresa de Japón (sin que ellos lo supieran), de donde se descargó al sistema operativo del colegio vizcaíno. Las claves fueron enviadas a Estonia y las transferencias, realizadas desde Estados Unidos y Ucrania. Una perfecta red en la que el verdadero cerebro resulta difícil de desenmascarar.

La alarma saltó gracias al responsable de un banco que sospechó de la legalidad de una de las operaciones y realizó una llamada telefónica de confirmación. La directora del colegio negó haber ordenado ninguna traspaso de dinero en las fechas señaladas, y no le cabía ninguna duda ya que se trataba de días festivos. La responsable del centro educativo presentó una denuncia ante la Ertzaintza y expertos informáticos del cuerpo iniciaron entonces una investigación que concluyó con la detención en Sevilla de Oleksiy L.

Indemnización a la BBK

Durante el juicio, el único acusado, último escalón del entramado, alegó que abrió las cuentas como «favor» a varios compatriotas ilegales que trabajaban de temporeros en el campo y querían ingresar sus salarios. El inmigrante negó que conociera el origen ilícito del dinero, aunque admitió que días después escuchó que podía proceder de un robo. Esta versión no ofreció «credibilidad» al magistrado ni al tribunal que revisó la primera sentencia.

La sala ratifica la prisión provisional en que se encontraba el condenado por el riesgo de fuga y le condena a indemnizar con 20.868 euros a la BBK, entidad perjudicada que reclamaba como acusación particular más de 50.000 euros. La BBK devolvió en su día a la escuela parte del dinero transferido. Otro intento de estafa no llegó a materializarse y el dinero quedó retenido.

El Ministerio fiscal reclamaba la misma pena a la que finalmente ha sido condenado el inculpado; la acusación privada pedía tres años de cárcel, y la defensa solicitaba la libre absolución por considerar que no había delito.

Es muy importante que se produzcan noticias como esta para acabar con la sensación de impunidad y de bajo riesgo que se produce en caso de phishing, pharming, troyanos y similares.

Sorprende que teniendo estos tipos de fraude la incidencia que tienen y la alarma social que generan, no se hayan producido acciones más enérgicas de las entidades financieras que habitualmente siguen esquemas defensivos que aspiran únicamente a actuar de paliativo.

Es preciso dar algunos pasos que permitan localizar, perseguir, detener, juzgar y encarcelar a todos los participantes en las tramas de engaño, estafa y fraude que sustraen fondos por internet a los usuarios de la Banca Electrónica, causande un grave perjuicio en la imagen e incluso en los resultados de las entidades financieras. Y estas acciones deben llevarse a cabo en el marco de la legalidad y considerando todos los condicionantes de las operaciones transfronterizas.

Espero poder contaros en breve qué acciones se van desarrollando para combatir la impunidad.

Google Checkout: la cartera de pago por Internet

1 respuesta

Me he enterado a través del blog de Jordi Miró.

¿Qué pasaría si Google tuviera los números de tu tarjeta de crédito?

Pues que sería un aliciente para los «robos de identidad», robos de contraseñas y otras modalidades de suplantación y phishing.

Aunque el hecho de que Google se meta en esto hace probable la adopción del sistema y su generalización, a mí me da un poco de miedo.

Por lo demás el tema no es nuevo: Google Checkout es una especie de Paypal o ePagado o una de las múltiples variantes de cartera virtual.

Desde luego, podría ser una aplicación «killer» si se combinara con el teléfono móvil a estilo de Mobipay. Ya sabes: seguridad de «doble factor»: algo que tienes y algo que sabes.

Fraude en las apuestas por Internet

28 respuestas

Aunque era de prever que sucediera, la noticia empieza a ser importante por la enorme expectativa que ha levantado el mundial de fútbol y las pasiones que desata.

Las casas de apuestas (empresas como Ladbrokes, William Hill, Coral, Paddy Power o Bet 365) pueden desarrollar actividades que son legales en un país e ilegales en otro. Y en ocasiones incumplen la normativa española de contratación a distancia, en particular en lo referido a sus cláusulas abusivas. La noticia la publica La Voz de Avilés-El Comercio y de ella entresaco la siguiente cita:

Entre otras situaciones de riesgo, la UCE explicó que al darse de alta en estas páginas, los usuarios se ven obligados a aceptar unas clausulas que permiten a su dirección modificar las reglas a su antojo, reglas que están sometidas a las leyes de Antigua y Barbuda, un paraíso fiscal al que es imposible realizar cualquier reclamación en caso de fraude o deficiencia en el servicio.

La UCE relató el caso de un usuario que, tras abrir una cuenta aportando una cantidad inicial, descubrió que su saldo estaba bloqueado y no podía recuperarlo sin que existiera una causa justificada. A pesar de que presentó numerosas reclamaciones a la dirección de correo electrónica facilitada, no obtuvo ningún tipo de respuesta.

Captación de mulas para phishing

1 respuesta

Los delincuentes del phishing están especializados y trabajan con una organización sistematizada.

  • Unos trabajan hackeando sitios web y poniéndolos a disposición de la organización.
  • Los siguientes utilizan sitios web hackeados para poner las páginas web que simulan ser las de una entidad financiera, y en la que se instalan los programas que recogen las passwords y los códigos de tarjetas de barcos.
  • Mientras, otros van obteniendo direcciones e-mail con técnicas de spammer, en ocasiones a través de virus especializados que husmean en los ordenadores de sus víctimas.
  • Los expertos en e-mail usan sus conocimientos para hacer llegar diferentes tipos de mensajes a diferentes tipos de víctimas-incautos, sin que los bloqueen los filtros antispam ni los filtros antiphishing.
  • Uno de los mensajes tipo es el destinado a engañar a los clientes de una entidad financiera en cuyo nombre se emiten los mensajes. El tono de la redacción de los mensajes no suele ser el que utilizaría una entidad financiera, y muchas veces las frases no están correctamente redactadas en la lengua en la que opera la entidad financiera y eso hace que frecuentemente sea relativamente fácil detectar el phishing a quien sabe de qué va eso. Sin embargo cada vez las técnicas de suplantación son más perfectas y los diseños de los email más profesionales.
  • Los responsables de los webs-zombie (los que van captando las passwords en webs hackeados) hacen llegar los datos de acceso a las cuentas bancarias a otros miembros de la organización.
  • Estos acceden a las cuentas con los datos obtenidos y envían transferencias a cuentas bancarias de las "mulas".
    Las mulas envían el dinero (menos la comisión que se quedan por su "trabajo") a otro destinatario a través de entidades remesadoras de envío de dinero en efectivo en las que se deja relativamente poco rastro.
  • La captación de mulas se hace por otra modalidad de mensajes tipo. En estos mensajes, el remitente dice trabajar para una multinacional "prestigiosa" y señala que has sido "seleccionado" para desempeñar un trabajo honrado y sencillo, recoger la recaudación de las facturas de los productos que exportan a tu país y enviársela a su organización. Algo, desde mi punto de vista, tan sospechoso, que sorprende que gente formada se lo haya creido y se haya prestado a ello. Y, por supuesto, haya sido detenida por la policía, al ser el primer elemento de la cadena de movimiento de dinero de la organización, con la identificación de la cuenta proporcianada por el defraudado.

Para que veais el ingenio de estos tipos, os adjunto un mensaje que envían en modo gráfico, de forma que puedan soslayar la técnica de análisis de palabras de los filtros antispam.

Captacion de mulas

Más sobre el nuevo tipo de fraude en comercio electrónico

2 respuestas

Como e introducido en el post anterior,  asistimos a una nueva modalidad de ataque a tiendas virtuales,que usa las mismas técnicas que el crimen organizado ha creado para el phishing: la contratación de "mulas".

Hasta hace poco tiempo los mails que ofrecían trabajo desde casa se concentraban en ofrecer compensaciones "laborales" por llevar a cabo unas cuantas transacciones económicas: transferencias a determinadas cuentas por empresas remesadoras, y recepción de pagos "de clientes" en cuentas bancarias propias.

Aunque parece increible que haya gente que se crea la historia (sobre todo en aquellos primeros e-mails tan cutres, últimamente el aspecto ha mejorado mucho), lo cierto es que personas de cierto nivel cultural (y usuarios frecuentes de internet) han sido detenidas por su participación "involuntaria " en las redes de fraude "phishing" y en el posterior "blanqueo" de dinero.

Esta técnica se extiende ahora, y las ofertas para "trabajar desde casa" incluyen la gestión de "paquetes enviados por los clientes" de la "empresa" que ofrece el trabajo (no olvidemos que lo normal es enviar paquetes a los clientes, no al revés).

Estos "paquetes" son los que contienen los productos que las empresas de comercio electrónico envían engañadas a destinatarios aparentemente fiables. A las tiendas debería hacerles sospechar la adquisición de pedidos tan grandes y el hecho de que en ellos pidan incluir teléfonos móviles y otros objetos de alto valor y fácil reventa.

En definitiva, el crimen organizado en guerra contra el comercio electrónico, que tiene menos medios para reaccionar que las entidades financieras.

Como muestra, mirad el tipo de e-mail que envían para captar "mulas":

You might have noticed how the recent changes of all kinds influence your life. Constant growth of prices, low wages, employment problems. If you aren't satisfied with your present income or it doesn't comply with your capabilities; If you constantly lack money; If you want to better your financial status or you are just looking for a part-time job, then this job is what you need. Consider the advantages of the work we offer: Extra incomeYou might have noticed how the recent changes of all kinds influence your life. Constant growth of prices, low wages, employment problems. If you aren't satisfied with your present income or it doesn't comply with your capabilities; If you constantly lack money; If you want to better your financial status or you are just looking for a part-time job, then this job is what you need. Consider the advantages of the work we offer: Extra income
Minimal expenses and no expenditures at all (only I-net and e-mail)
The easiness of work. – Possibility to combine this work with your occupations (you just need to check your e-mail several times a day) For this work you don't need a special education possessing some special skills or knowledge possessing storehouse, office, special equipment.
The job we offer is related to mail. It is an easy job which doesn't require leaving your main occupation. You will have to receive to your home address parcels from our clients and ship them out further following our manager's instructions ($30 for each shipped out box). Contact us by e-mail and you will be sent a list of vacancies available at the present time. You work will be paid for without any delays.
You may work with several orders at a time as well as work with each one separately

Nuevo tipo de fraude contra las tiendas virtuales

1 respuesta

Un nuevo tipo de fraude de las mafias del phishing se empieza a ver por España (y, con toda probabilidad, por todo el mundo), esta vez dirigido contra las tiendas virtuales.

Los defraudadores se dirigen por e-mail a la tienda ofreciendo hacer un pedido grande, y, al mismo tiempo pidiendo lotes de otros productos que la tienda no vende, como teléfonos móviles.

La credibilidad que tiene para una tienda el hecho de que se dirijan a ella juega a favor del defraudador.

Lo que nos debe hacer pensar es la petición de objetos que no sean típicos de nuestro negocio.

Este tema lo ampliaré próximamente porque me están llegando detalles de algunos amigos sobre el "modus operandi" de los delincuentes y detalles para reaccionar de la forma correcta. 

Conclusiones del III Foro de las Evidencias Electrónicas

4 respuestas

El Foro de las Evidencias Electrónicas surgió hace más de dos años con el objetivo de generar seguridad jurídica en el ámbito de las transacciones electrónicas, el intercambio de documentos y la creación y comercialización de contenidos que se generan diariamente en la Sociedad de la Información. Desde entonces, sus miembros han mantenido una comunicación permanente y numerosos debates a través de un foro electrónico, así como reuniones presenciales que han contado con la participación de expertos de reconocido prestigio en nuevas tecnologías y seguridad jurídica.

Conclusiones1- Es necesario seguir trabajando en la implementación del DNI electrónico, ya que se ha revelado como una herramienta fundamental y eficaz para generar seguridad en la red.

“Actualmente no existe seguridad jurídica en Internet y esta situación afecta cada vez a más personas. El DNI electrónico es una herramienta muy eficaz para garantizarla. En nuestro país, está cobrando una mayor relevancia (actualmente existe 5.000 documentos electrónicos en circulación), pero todavía es necesario un fuerte impulso por parte de todos”.

2- Es importante que todos apoyemos la lucha contra la vulneración de los Derechos de Propiedad Intelectual. Mañana nos puede afectar a nosotros.

“La ciberdelincuencia es un fenómeno cada vez más inquietante. El grado de tolerancia que existe hoy en día en la sociedad sobre algunas formas de ciberdelincuencia, como la descarga de música y vídeo por Internet, es prácticamente absoluto. Es necesario que la sociedad asuma nuevas responsabilidades y ofrezca una respuesta moral y ética a este problema”

3- A pesar de lo mucho que hay que hacer es indiscutible el avance tecnológico, legal y cultural que ha experimentado nuestro país. 

“Es incuestionable que en los últimos años, España ha realizado importantes avances tecnológicos. Sin embargo, si nos comparamos con otros países de la Unión Europea y, sobre todo, con EE.UU. todavía queda mucho por hacer.  Existe un déficit tecnológico que necesita de un esfuerzo titánico por parte de todos. Si no, corremos el riesgo de que España se quede en un país de segunda y tercera fila”

4- Publicaciones como la ‘Guía para tu seguridad en Internet’, elaborada por el Foro de las Evidencias Electrónicas, contribuyen a paliar los riesgos presentes en la red. 

"Esta guía está editada en forma de díptico y tiene un carácter muy divulgativo, siendo una iniciativa novedosa su publicación en España. Incluye recomendaciones y consejos de fácil aplicación y gran utilidad para garantizar la seguridad de los usuarios en Internet que hoy en día superan en nuestro país casi los catorce millones de personas".

La percepción de seguridad

2 respuestas

En el fondo es un problema de confianza, no de seguridad.

El hecho de que los phishers puedan hacerse su propio certificado de servidor web y simular un entono seguro con SSL ya empieza a preocupar a los usuarios y a desmitificar la supuesta seguridad de este protocolo.

Entendedme, no estoy en contra del SSL: garantiza el cifrado de las comunicaciones entre el servidor y el navegador, pero poco más.

No garantiza que la URL a la que accedemos sea la del servidor. De hecho, hay bancos que usan el certificado de seguro.banco.com en http://www.banco.com o viceversa, y el usuario está acostumbrado a decir OK al aviso de alarma del navegador. 

No garantiza que el certificado que aparece emitido por una autoridad de certificación, esté de verdad emitido por ella. De hecho al certificado autofirmado que nos hacemos cuando creamos la root puede contener los datos que la inspiración nos haya dictado en ese momento, como Verisign, FNMT o Moncloa

Muchos PSC (Prestadores de Servicios de Certificación) de plena confianza no está incluidos en el repositorio de confianza del navegador, por lo que nos crean malos hábitos como el de dar por buena cualquier instalación de root en nuestro sistema que nos sale al paso.  

En definitiva: tenemos que hacer algo más para lograr la confianza que la ¿falsa? sensación de seguridad que da el candadito que señala el funcionamiento del SSL. 

PerSus (Fichero de DNI perdidos – sustraidos)

38 respuestas

El Robo de Identidad es un problema que está afectando a los ciudadanos internautas a través de ciertos métodos (como el phishing), pero que también afecta a ciudadanos de a pie, sin conexión con Internet (a al menos no en lo relativo al hecho del propio robo de identidad).

Un caso de robo de identidad se recoge en el foro de Firma Electrónica y Certificación dentro de Foros Internet (forosinternet.net) y otro en el foro de Fraude en Internet y medios de pago, en el mismo portal.

Ambos casos reflejan actos en los que los delincuentes, a partir de un DNI robado o perdido, abren cuentas bancarias y compran coches y otros bienes a crédito, de forma que al producirse el impago, el titular al que se clasifica como moroso es al que tuvo la mala suerte de perder el DNI o que se lo sustrajeran.

La Asociación Nacional de Establecimientos Financieros de Crédito (Asnef) y Equifax han creado una plataforma tecnológica denominada  ‘Veraz-SPF’, para ayudar a luchar contra este tipo de delitos.

La plataforma, compuesta por 3 ficheros trata con diferentes tipos de incidencias:

  • El fichero de operaciones formalizadas con documentación incongruente (Fodi), ofrece datos que se repiten en las estafas, -como números de teléfono, códigos postales, o direcciones, entre otros-, que permiten detectar otros fraudes. La entidad indica que este listado «está sometido a un riguroso régimen de protección de datos», y que hace falta el consentimiento del comprador para que se crucen sus datos con el sistema. «Lo habitual es que el ciudadano que no tiene nada que esconder no se oponga a que se haga el cruce, pero quien esté intentando cometer un fraude se marchará del establecimiento».
  • Los ciudadanos que pierden su documentación o sufren un robo pueden dar de alta sus datos de forma voluntaria en el fichero de perdidos-sustraídos (Persus), por un tiempo de 3 meses, 6 meses o un año. El inconveniente de incluir los datos en este formulario es que si se desea solicitar un crédito al consumo, «el establecimiento sacará la operación de los cauces ordinarios y comprobará si el solicitante es realmente esa persona», lo que ralentiza el proceso, según la entidad. La ventaja es que se logra evitar cualquier intento de fraude.
    Si conoces a alguien que ha perdido o al que le han robado el DNI, recomiéndales que, además de denunciarlo inmediatemante en comisaría (esto siempre en primer lugar y urgentemente) rellene este formulario y lo remita a Asnef-Equifax. Este servicio es gratuito.
  • Un tercer fichero es el de sociedades, que se alimenta del Registro Mercantil y permite detectar si una empresa no existe, si está en quiebra, no presenta cuentas, o si se dedica a una actividad totalmente distinta a la que parece en un primer momento.

Hay más información sobre estos servicios en www.verazspf.es .

Para las entidades financieras, y las financiadoras de automóviles o electrodomésticos, es importante la consulta del  fichero VERAZ PERSUS ya que contiene datos facilitados por el interesado o su tutor legal, con su previo consentimiento, con la finalidad de proteger de la identidad de las personas incluidas en el fichero para la prevención de actuaciones fraudulentas con sus datos personales, en detrimento de su solvencia y patrimonio económico.

Es de esperar que las entidades de financiación adopten la costumbre de consultar estos ficheros ya que la suplantación de identidad costó al sector de crédito al consumo 260 millones de euros en 2005.