Ayer Lunes, cuando encendí el ordenador en la oficina, aluciné porque en la bandeja de entrada del correo se había colado un mensaje de phising. Lo sé, por desgracia el spam no es algo tan raro y desde luego que no es la primera vez que ocurre; pero lo que me llamó la atención es que era la primera vez que veía un mensaje de phising con mis propios ojos, y he decir que me pareció una de las cosas más cutres que he visto en la red de redes en los últimos tiempos.
Para uso particular siempre empleo mi cuenta de correo de gmail, que tiene filtros muy buenos y es realmente raro que se cuele algún mensaje indeseable en la bandeja de entrada, pero en el trabajo el servidor de correo es propio y a veces nos entra algún elemento no deseado como el que os voy a contar hoy.
Antes de nada, me gustaría comentaros que un correo phising consiste en un engaño mediante en el que alguien intenta hacerse pasar por tu banco tratando mediante «ingeniería social» que les des tu clave de banca por Internet para a continuación meterle mano a tus ahorros y hacer una transferencia con destino a la cuenta de los ladrones.
Pues bien, esto es lo que me encontré hoy al abrir el Outlook (en casa uso el más que recomendable Thunderbird, pero en la oficina usamos todo de Microsoft; aunque he conseguido que el administrador instale GIMP en los ordenadores de todos mis compañeros):
El correo en cuestión. Pinchad en la imagen para verlo a su tamaño original.
¿Por qué me llamó la atención este engaño? Muy simple: por lo burdo que es y por el poco cuidado en los pequeños detalles que, por suerte, ponen sus creadores a la hora de crear el correo engaño. Vamos a verlo punto por punto:
– Lo primero de todo: no tengo cuenta en Cajamar; empezamos mal.
– Redacción muy pobre y con multitud de faltas ortográficas. De la estructura del mensaje mejor ni hablamos, porque en preescolar ya escribía cosas mejor expresadas que estos párrafos.
– Alarmismo general a lo largo y ancho de todo el texto, recordando al final que si no damos los datos se suspenderá nuestra cuenta. Me recuerda a los típicos correos del palo «¡Van a cerrar Hotmail si no envías esto a 500 personas!».
– ¿Para qué necesita el banco que les demos nuestros datos de acceso? Se supone que el administrador del sistema puede entrar en los datos de los clientes sin necesidad de andar dando la lata a nadie.
– Logo de Cajamar cutre-salchichero y pixelado en la esquina superior izquierda. Lo mejor para cuidar y reforzar la imagen del marca del banco, por supuesto.
– Claro, lo más lógico es que use mi cuenta de correo del trabajo para registrarme en el banco, de tal modo que si pasado mañana me despiden puedo ir diciendo adiós a cualquier notificación que me envíen en el futuro.
– El aviso me llega ayer, 18 de Mayo de 2009 y lleva fecha de 2008; ¿por qué tengo entonces nada más que 24 horas para responder?.
– Ni me molesté en pinchar en el enlace, pero vamos, ya me imagino que no debe ser muy complicado contratar un domino llamado cajamar.net, cajamar.com o lo que sea para despistar al personal (el dominio original del banco es cajamar.es).
En fin, de verdad, patético. No sé si habrá gente que pique con estas cosas; pero de verdad que tengo serias dudas de que los capullos que hay detrás de estas cosas se vayan a llevar un duro. Es posible que haya otros engaños más trabajados que éste, pero vamos, que si todos están igual de cuidados que el que hoy os muestro está claro que el gremio de los chorizos informáticos está más en crisis que ninguno.
No sé ni cómo te atreves 
Por desgracia, discrepo totalmente contigo, Luis.
No tienes cuenta en Cajamar, bueno, da igual, muchos lo recibirán que sí tengan. Yo he recibido ese correo «desde» otros bancos, así que da igual, hazlo masivo y en algunos acertarás.
Redacción y alarmismo. Sí, pero han mejorado mucho ese tema (no veas como eran los phising hace tiempo). Tú lo has notado, otros no lo notarán.
Cuestiones informáticas varias. Tú eres un usuario avanzado en informática. No cometas el error de pensar que el usuario medio es como tú, porque no lo es… está a años luz -triste, pero es lo que hay-.
Total, que por desgracia cada día hay un montón de gente en el mundo que «pica». Tal vez gente mayor, tal vez gente con poca preparación, tal vez nuevos-llegados a la red… Los crápulas que hacen esto ya saben que su porcentaje de éxito será ínfimo. Pero éxito ínfimo x envío masivo = suficiente. Si quieres toma el ejemplo de la estafas de los callTV con números 905 u 80x. ¿No es evidente que son una estafa también? Pues cada noche mucha gente se deja ahí el dinero -internet está llena de reclamaciones al respecto-.
Así que discrepo con «el gremio de los chorizos informáticos está más en crisis que ninguno»… ojalá fuera así, pero ese gremio conoce muy bien cuál es su nicho. Tú no formas parte de él y lo saben. Pero aunque conocen muy bien su nicho, no tienen técnicas buenas para dirigirse únicamente a él. No hay problema, se dirigen a todo quisqui y así llegarán también a él.
PD. Sorry por el tocho.
Me gustaMe gusta
Iba a decirte justo lo mismo que ha expresado perfectamente y con todo lujo de detalles Albert. Yo creo que en estos engaños pica más gente de la que creemos, por desgracia.
Me gustaMe gusta
EStoy de acuerdo contigo en la última parte, Albert (bueno, y en la demás también, pero sobre todo en la última), ya que a ellos les importa un pimiento que el cliente sea de cajamadrid o de caja duero o donde sea, los envían a millones y de esos pues un porcentaje habrá que sí sean; luego habrá otro porcentaje que sí se sienta alarmado; y otro porcentaje que picará.
Yo solía pinchar en los links de todos los pishing que me enviaban (algunos del BBVA muy cuidados, por cierto), para ver las redirecciones que armaban… aunque con el paso del tiempo ya me llevan enviando tantos (a gmail también, eh?) que directamente los borro.
Desafortunadamente -o no, quien sabe- Internet no es una balsa de aceite ni un país de rosas donde todo es bueno y no pasa nada. No obstante, coincido con Luis en que a día de hoy es más difícil estos tipos de engaños porque casi todo el mundo conoce a alguien que sí sabe del tema (ya hay informáticos hasta debajo de las piedras XD ) o sabe dónde buscar ayuda (hablo de salas de chat, msn con amigos que conocen a amigos…), porque hace unos años caían como moscas en estas cosas.
A propósito, también existe el pishing que simulan la página web de tu banco (sí, incluso el iconito de secure socket layer (SSL) y crees que estás entrando en tu banco cuando en lugar de eso accedes al del «caco»), hace unas semanas leí una implementación de ésto en una web hacker. Seguro que ahí tu sí picabas, Luis, poruqe no es que cometan faltas de ortografía, es que directamente lanzan un espejo del site del banco original 😉
Me gustaMe gusta
Contra! yo recibí uno de Caja Madrid (donde no tengo cuenta) el otro dia. Lo abrí y flipé, se lo habian mandado a un montón de direcciones de correo similares a la mia. El tema el mismo, danos tus datos que si no te cancelamos la cuenta… no sabía que esto era phising (como verás no estoy nada puesta, jiji). Vaya tela
Me gustaMe gusta
No me digas que aun no has recibido ninguno de «Me muero y quiero darte mi dinero para que se lo entregues a los pobres, dame tu número de cuenta y yo te hago la transferencia» o «Necesito un contacto para hacer llegar 30.000 euros a mi familia en España, pareces de fiar, dime dónde te los ingreso para que se los des»
Reconozco que son divertidos, yo soy de esa gente que contesta a todos esos correos, mareandoles la perdiz, dando datos falsos e incompletos… por que mientras estan entretenidos conmigo, no estan intentado estafar a otro 😀
Me gustaMe gusta
sí, o aquéllos de «somos una empresa de la república del Congo que necesita un alto ejecutivo, no tienes que hacer nada, anímate, el puesto te está esperando, sabemos que no hay nadie más capacitado que tú. Sólo necesitamos una pequeña inyección de capital -simbólica- para blablabla» XDDDDD
Me gustaMe gusta
En efecto, se me olvidó comentar que, evidentemente, si la treta es tan mala que sólo llega a picar un 0,001% de la gente pero se lo envían a 10 millones de personas, habrá cien que sí piquen el anzuelo. Y aunque parece una barbaridad mandar 10 millones de e-mails, supongo que esto funcionará mediante un algoritmo que empieza a mandárselo a aaaaaaa@hotmail.com y terminará con zzzzzzz@gmail.com tras varios millones de iteraciones realizadas en apenas unas horas.
Por cierto, me he metido en la bandeja de «correo no deseado» de gmail y me he encontrado con varios timos de este y parecido estilo. Por lo tanto, el SPAM se ve que está fuerte, pero al menos la barrera que impide que se nos cuele en la bandeja de entrada parece que también funciona (al menos en gmail).
¡Un saludo y muchas gracias por vuestros puntos de vista!
Me gustaMe gusta
En realidad ese algoritmo tardaría siglos (literalmente) cuanda generara direcciones de un cierto número de caracteres (no es lineal sino exponencial). Lo hacen a través de bases de datos de direcciones (gracias a nuestros amigos que hacen forwards de powerpoints, por ejemplo). Pero la idea es la misma, sí.
Me gustaMe gusta