SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | |||
Técnica de phising perfeccionada que invalida consejos anteriores para combatirlo.
En la noticia que enviamos el pasado 5 de Enero de 2005 hacíamos mención al aumento importante de una nueva técnica de estafa, el phising.
Recordamos que el phising es un procedimiento de engaño por
el que el usuario recibe mensajes de correo electrónico, aparentemente de instituciones
financieras, o de websites, haciéndole creer que es preciso verificar sus datos
financieros personales, tales como números de tarjeta de crédito, nombre de usuario y
contraseña de cuentas bancarias, número de seguridad social, etc..
El formato de estos mensajes suele ser un plagio de los utilizados habitualmente por
bancos conocidos, websites de venta online, compañías de tarjetas de crédito, etc..
En nuestra noticia anterior proponíamos algunos consejos para evitar convertirse en
víctima de un ataque de phising. Entre ellos indícábamos que el usuario se
asegurara de utilizar un web seguro (en caso de decidir facilitar información de su
tarjeta de crédito a través del navegador), para lo cual deberia comprobar que el
comienzo de la dirección web en la barra de dirección es "https://" en lugar
de "http://". En este caso siempre se recomienda también leer el certificado
que aparece pulsando sobre el icono del candado en la parte inferior derecha del
navegador.
Lamentablemente se ha demostrado que una vulnerabilidad muy común en aplicaciones webs, como es el Cross-Site Scripting (XSS), podría saltarse estas dos últimas referencias, por lo que todo y visualizar el comienzo de la dirección como "https://" y el hecho de visualizar el certificado no garantizan al usuario estar exento a un engaño de phising.
Fuente: Hispasec
Nueva generación de phishing rompe
todos los esquemas
SATINFO, VIRUSCAN SPAIN SERVICE 27 de Mayo de 2005
