
Los que trabajamos en seguridad de la información dijimos
durante muchos años que los sitios HTTPS, webs, correos electrónicos, etc. son
seguros, actualmente esto es una afirmación no solo temeraria sino que sólo
ayuda a confundir a los usuarios.
Este es el caso de un correo falso de Mastercard con el asunto "Comunicado Importante" que se propagó durante la última semana de abril y tenía un enlace a un sitio HTTPS.
Este es el caso de un correo falso de Mastercard con el asunto "Comunicado Importante" que se propagó durante la última semana de abril y tenía un enlace a un sitio HTTPS.
Como puede verse en la imagen, el correo dice provenir
de MasterConsultas mcalertas[at]mcalertas[dot]com[dot]ar, pero se trata de
una falsificación de correo electrónico que para los delincuentes es sumamente
fácil de lograr y es el motivo por el cual, en primera instancia, no debe
confiarse en el asunto ni en el remitente de un correo electrónico.
En este correo se hace referencia a un supuesto premio que funciona como anzuelo para que usuarios desprevenidos (o demasiado ilusionados) hagan clic.
Finalmente, se observa el enlace al sitio HTTPS propiamente dicho, el cual también es un sitio falso "1masterconsull[dot]com" que nada tiene que ver con la entidad real.
En este correo se hace referencia a un supuesto premio que funciona como anzuelo para que usuarios desprevenidos (o demasiado ilusionados) hagan clic.
Finalmente, se observa el enlace al sitio HTTPS propiamente dicho, el cual también es un sitio falso "1masterconsull[dot]com" que nada tiene que ver con la entidad real.
¿Por qué un sitio HTTPS también puede ser inseguro?
Un sitio HTTPS simplemente "garantiza" que la
comunicación entre el cliente y el servidor se trasmite en forma cifrada (o
encriptada si se prefiere esa palabra) pero nada dice sobre la autenticidad del
sitio. En resumidas cuentas, que un sitio
sea "https://banco-seguro.com" no significa que la
entidad "banco-seguro"sea una organización de confianza o que
siquiera exista. Puede ser el sitio de un delincuente y nosotros ingresaríamos
nuestros datos personales en él, simplemente porque su nombre
"sugiere" que es seguro.
Resumiendo, el delincuente, con dos simples pasos, puede montar (seguramente gratis) un sitio HTTPS falso de cualquier entidad y enviar decenas de miles de correos a potenciales víctimas. Cuando un usuario desprevenido recibe el correo, solo verifica que el dominio comienza con HTTPS (que no significa nada), cree que ganó un premio (nada es gratis en Internet) y hace clic en el enlace. Es decir que, por error, el HTTPS se convirtió en un sinónimo de confianza.
En ese momento, la víctima va al sitio falso y rellena sus datos personales y/o financieros, los cuales finalmente son enviados al delincuente, quien dispondrá de los datos robados para realizar una suplantación de identidad y utilizará la tarjeta de crédito para efectuar compras en tiendas en línea y/o en el exterior.
Resumiendo, el delincuente, con dos simples pasos, puede montar (seguramente gratis) un sitio HTTPS falso de cualquier entidad y enviar decenas de miles de correos a potenciales víctimas. Cuando un usuario desprevenido recibe el correo, solo verifica que el dominio comienza con HTTPS (que no significa nada), cree que ganó un premio (nada es gratis en Internet) y hace clic en el enlace. Es decir que, por error, el HTTPS se convirtió en un sinónimo de confianza.
En ese momento, la víctima va al sitio falso y rellena sus datos personales y/o financieros, los cuales finalmente son enviados al delincuente, quien dispondrá de los datos robados para realizar una suplantación de identidad y utilizará la tarjeta de crédito para efectuar compras en tiendas en línea y/o en el exterior.
Para estar seguros que un sitio web es verdadero este: debe
comenzar con HTTPS (eso no cambia) y también debe verificarse que el nombre del
dominio realmente pertenece a la entidad a la que se desea ingresar.
La mejor recomendación es escribir en la barra de direcciones del navegador el nombre del sitio al que se desee acceder y nunca, hacer clic en un enlace que se haya recibido por correo electrónico. ¿Se tarda más tiempo en escribir el dominio? Sí, se tarda dos segundos más, pero eso garantiza que su dinero seguirá siendo suyo.
La mejor recomendación es escribir en la barra de direcciones del navegador el nombre del sitio al que se desee acceder y nunca, hacer clic en un enlace que se haya recibido por correo electrónico. ¿Se tarda más tiempo en escribir el dominio? Sí, se tarda dos segundos más, pero eso garantiza que su dinero seguirá siendo suyo.
Fuente: Segu.Info
No hay comentarios:
Publicar un comentario