Phishing, la manipulación sigilosa y entradora para obtener datos
La captura de información personal de los usuarios se suele hacer por telefóno y a través del e-mail.
Son varias las metodologías para cometer fraude bancario, pero el phishing es sin dudas el más notable: de distintas maneras, se monta una escena o instancia de comunicación premeditadamente engañosa donde algún elemento persuasivo lleva al cliente, enceguecido, a entregar sus datos personales al hacker.
En cuanto al término phishing, conviene aclarar que no es un error: se escribe así aunque provenga de fishing (“pescar”, en inglés), en relación a la captura de los datos de terceros, o más bien, a que “muerdan el anzuelo”. De esa rareza ortográfica algunos dicen que se remonta a los 90, cuando los primeros piratas informáticos llevaban adelante sus ataques de hacking telefónico, que ellos mismos llamaban phreaking, deformación de freaking, que en inglés significa molestar o asustar.
Como sea, lo importante es entender cómo se despliega el engaño y evitarlo. Debajo, algunas claves para no caer en la trampa.
¿Qué es el phishing bancario? Conocido como “suplantación” o robo de identidad, el phishing describe un método usado por los hackers para adquirir, de forma no autorizada, información confidencial del usuario: identificadores, contraseñas, datos de la tarjeta de crédito, datos de la tarjeta de coordenadas y más información relevante para el acceso al homebanking.
¿Cómo funciona la metodología del phishing?
Todo se basa en el convencimiento del usuario, a través de estrategias retóricas, para que exponga sin reparos sus datos bancarios. Estas tácticas se enmarcan en la llamada “ingeniería social”, un concepto muy usado en el ámbito de la seguridad informática, que se refiere a los intrincados modos de los piratas informáticos para obtener datos del cliente.
Todo puede comenzar por teléfono: llamados apócrifos de supuestos empleados del banco, por ejemplo, que establecen conversaciones llenas de preguntas retóricas y engañosas que van llevando al cliente a revelar información. Por ejemplo, su dirección de e-mail.
Recibí un mail extraño de mi banco, ¿por qué?
Esto es clave: como parte del ataque, el cliente luego recibirá correo spam donde se le solicitará información personal y datos de contacto. Se le pedirá que haga click en un enlace incluido en el propio mail, que lo redireccionará a una web ficticia, aunque tenga el aspecto de la del banco. Allí le tocará llenar los datos de ingreso al homebanking o incluso dar más datos personales. Hay casos en los que se piden los más de 80 números de la tarjeta de coordenadas. Muchos caen.
Estos ataques no son personales sino campañas masivas que llegan a miles de clientes de distintas entidades bancarias. Y por eso, un usuario del banco “x” puede recibir mailing fraudulento de una entidad “y”.
¿Cómo detectar esos mails falsos?
• Suele ser correo spam (no deseado).
• Casi siempre hace referencia a la necesidad de actualizar la base de datos “por cambios en políticas” o “revisiones de seguridad del banco”.
• Es común que el mensaje sea medianamente catastrófico: que haya alguna advertencia por el futuro cierre de la cuenta.
• Aunque tengan el logo del banco, estos mails suelen exhibir problemas de redacción (mala sintaxis y/o faltas de ortografía).
• El e-mail puede también ofrecer servicios bancarios extraños, de los cuales jamás se recibió publicidad.
• Muestran datos que no se corresponden con nuestra cuenta, como nombres o apellidos que no utilizamos. Y piden más datos.
• El remitente suele tener nombre extranjero.
• Al pasar el cursor por el link que se invita a cliquear (hipervínculo), abajo, en la pantalla, se podrá ver que el servidor no parece pertenecer al dominio del banco (URL). La diferencia puede ser grande o sutil, como una letra o palabra de menos o de más. ■