Básicamente un Token es un dispositivo con un reloj interno.. el cual se sincroniza con un servidor a la hora de ser activado por primera vez (en la fabrica usualmente) y sirve para generar una contraseña única en un período de tiempo (segundos es lo mas común) a través de un algoritmo secreto y privado. esta contraseña.. una vez generada.. es comparada con el servidor el cual tiene el mismo algoritmo para generar la contraseña.. basándose en el número de serie de tu token.. el cual está ligado a tu cuenta bancaria.. estos dispositivos generalmente duran de 3 a 5 años de uso normal y están fabricados de tal manera ke siempre estén sincronizados con el servidor (las compañías ke los fabrican invirtieron millones de dólares asegurándose de ke así sea).
Si mal no recuerdo Banamex fué de los primeros en entrar al internet en México.. le sigió Bancomer y después el resto... pero bueno .. resulta ke BANAMEX ha iniciado el despliegue de su "solución" de seguridad mediante el token o "netkey".. ke genera llaves con validez de 1 minuto (al parecer) y ke se usa a la par del número de usuario y contraseña.
La bronca es ke.. si para gente iniciada en el cómputo es difícil.. imagínense para una persona ke apenas sabe usar una computadora.. hoy me quedé pensando en eso.. mientras un señor en la ventanilla de al lado preguntaba ke era el "NIP"?.. y cuando le pidió la cajera ke tecleara 4 números.. el señor preguntó "tecleo del 1 al 4?"..
No basta con hacer un "carbon copy" de las soluciones ke "medio funcionan" en otros países.. porque aquí de plano funcionan al 1%.. estos weyes buscaron la salida fácil.. pues si.. al final citibank.. un banco con un obscuro pasado (y presente).
Por si fuera poco.. los intrusos ya encontraron la forma de darle la vuelta al netkey.. en un minuto puedes hacer un fraude teniendo numero de usuario.. contraseña y llave netkey.. con un simple script automatizado para hacer POSTs al servicio auténtico de banca electrónica hacia la cuenta del defraudador.. está claro ke esta posibilidad se dá cuando el intruso obtuvo del cliente legítimo usuario/password/clave dinámica de netkey.. pero como chingaos lo hizo?.. pos con phishing desde luego..
El phishing por correo electrónico consiste en correos ke fingen ser de alguna institución (principalmente bancaría) avisando a los usuarios de alguna supuesta actualización de sus bases de datos o tal vez del requerimiento de acción por parte del usuario para evitar la suspención de la cuenta bancaría.
Estos correos generalmente suguieren entrar a una página web ke parece ser de la entidad bancaría.. y ya en ésta escribir algunos datos (entre ellos usualmente el número de la tarjeta de credito).
Esta por ejemplo (http://banamex.com.mx.cgi-rbc.com) es una página de phishing.. notese ke aunque “banamex.com.mx” forma parte de la dirección.. “cgi-rbc.com” no es para nada oficial.
Aquí aprovecho para explicar esto.. los nombres de dominios van de los más particular a los más general ejemplo:
(http://persona.departamento.empresa.(com%7cnet%7corg%7cedu).pais/).
En el caso de la supuesta dirección de banamex el “cgi-rbc.com” quedan totalmente fuera de lugar y delata ke es un phishing.
Lo segundo ke pueden notar en el portal falso es que la dirección comienza con http:// y el real auténtico comienza con https:// ... una S de diferencia.. esto significa ke el portal de Banamex es un sitio seguro.. con encriptación de datos y lo pueden notar en su navegador.. en la barra de abajo.. aparece una figura de un candado ke está cerrado.. cosa ke indica ke estamos en un sitio con seguridad adicional.
Phishing (Copia de la web)
Esto viene a colación porque recibí un correo donde supuestamente Banamex está pidiendo a sus usuarios ke entren a su página de Bancanet con el objetivo de "Sincronizar" el Netkey (nombre comercial del Token de Banamex) con sus servidores.. esto obviamente es un intento de Phishing.. ya ke el factor principal de estos tokens es precisamente ke están desconectados de todo y no necesitan sincronización con el servidor.
Como regularmente sucede.. el wey ke trata de robar la información de los clientes de Banamex pos ha pensado muy bien como tratar de engañar a la gente.. ya ke el texto del correo tiene sentido si no conoces bien como funcionan estos aparatos.. por eso es ke hay ke estar siempre al pendiente de este tipo de fraudes y nunca seguir ligas de correos.. aun cuando creas ke el correo sea legítimo.
Si tienes duda sobre si realizar el proceso o no.. pos abre una ventana (o tab) nuevo y manualmente teclea la dirección de tu banco (banamex.com.. bancomer.com.. santander.com.mx.. etc.) de esa manera estás mas protegido.
Actualmente en la red podemos contar sistemas como Gmail.. ke ya implementa un sistema similar al de detección de Spam.. pero para el phishing.
De entrada si detecta algún phishing te muestra un texto en rojo y bloquea todos los urls ke pueda tener el correo.. y ya más avanzado.. tú mismo puedes reportar el phishing.. nomas dale click a “Más opciones” y aparecera la liga “Reportar phishing”.
Aunque el phishing más peligroso es el de cuentas bancarías tambien suele suceder con las cuentas de correo.. correos fingiendo ser de Hotmail son los más comunes.. por supuesto Hotmail nunca de los nuncas ha mandado un correo a sus usuarios sin embargo los usuarios siguen cayendo en la clásica cadena de “manda este correo a todos tus contactos para ke hotmail sepa ke tu cuenta está activa o si no la eliminarán”.
Otro punto importante es ke el servicio de Bancanet de Banamex sólo funciona en Internet Explorer o Netscape.. cuando intentas entrar a la página oficial con Mozilla pos esta te manda un error de Navegador.. avisa ke la página ke intentas ver (la imitadora) no es la oficial.. es un intento de phishing.. en cambio en Internet Explorer entra a la página falsa como si nada y a la oficial de la misma manera.
FUENTE: http://www.monclovacaliente.com/
Made in: monclova
0 Adictos al desmadre:
Publicar un comentario