Phishing en Opera y Firefox: Prueba NO superada
Cuando la última generación de navegadores – IE, Firefox y Opera – fue lanzada, una de las nuevas funciones que más celebré fue la incorporación de filtros anti-phishing. Era que no, si el robo de identidades es uno de los delitos con más auge en la red, afectando sólo en los Estados Unidos a más de 15 millones de personas durante 2006.
La ciencia tras estos sistemas es sencilla. Cada sitio al que ingresas se chequea contra una lista negra que posee cada navegador. Si el sitio está marcado, bingo: encenderá luces y sirenas para decirte que te marches de allí porque están tratando de timarte.
Desde luego, los equipos tras cada filtro no son clarividentes como para adivinar dónde aparecerán las nuevas amenazas, siendo crucial la colaboración de la comunidad para seguirle el rastro a estos sitios y agregarlos a sus listas… lo antes posible.
Por eso, cuando Francisco se pregunta qué podemos hacer para denunciar a los phishosos (revuélcate Cervantes), la respuesta es simple: ir al al signo de interrogación en la barra de direcciones de Opera o al menú Ayuda > Informar de sitio Fraudulento en Firefox, para darle un mordisco a la ciber-delincuencia.
Estupendo. Sin embargo, al parecer el sistema tiene un ligero problema…
Que no funciona.
Verán. Este sábado 5 de mayo, recibí un sospechoso correo desde CMR Falabella invitándome a confirmar mis datos como cliente debido a una supuesta actualización de servidores. En efecto, el vínculo proporcionado resultó ser más falso que un Reality y, dado que Firefox ni se molestó en prevenirme, pensé en hacer mi buena acción del día denunciando el sitio.
El proceso fue muy cómodo, con el navegador inscribiendo la dirección (URL) por mí y dándome la oportunidad de dejar un comentario en forma opcional, luego de lo cual sólo había que esperar.
Tras algunas horas volví a visitar el sitio, sin obtener novedades. Probé al día siguiente y – para mi sorpresa – el falso sitio de Falabella no sólo seguía en pie sino que Firefox aún no tomaba nota de él. Lo mismo sucedió el lunes, lo que me llevó a enviar nuevamente la denuncia en caso de que hubiera sucedido algún error de transmisión.
Llevamos 3 días.
Algo desilusionado, decidí comparar con el sistema de Opera, que desde un comienzo mostró una serie de ventajas gracias a su asociación con PhishTank, un grupo dedicado al combate de esta plaga.
Para comenzar, debes crear una cuenta que te permitirá no sólo ingresar denuncias vía Web o correo electrónico, sino también seguirles la pista y verificar cuando han sido aceptadas o rechazadas (lo que hace ver el sistema de Firefox como un limbo bastante poco transparente).
Incluso me divirtió comprobar que pueder ver tus colaboraciones en forma de gráfico, pero de poco sirve tanta parafernalia: hasta hoy, el sitio continúa en estado “Unvalidated/Online“, es decir, el sistema sabe que el sitio está en línea… pero nadie se ha molestado en verificarlo.
Eso significa que, desde mi primer envío a Firefox, han pasado casi 6 días sin que nadie atienda la denuncia. Seis días en que el sitio ha estado – y de hecho sigue – en línea, con todas las potenciales víctimas que pueden ser engañadas en ese lapso.
¿Significa que los filtros anti-phishing de Firefox y Opera no funcionan? Por desgracia, creo que el problema va un poco más allá y se trata nuevamente de nuestra mentada “rentabilidad social” geográfica.
Si buscan en el archivo de sitios verificados positivamente en PhishTank, se darán cuenta que en realidad hay cientos o miles de sitios aprobados, que incluso fueron enviados hoy… pero de ellos casi el 100% atañen a firmas estadounidenses. Según parece, para el resto del mundo no alcanza.
Sobre Firefox no sé qué pensar. Me imagino que las denuncias deben amontonarse en alguna casilla de correo polvorienta de la Fundación Mozilla.
Así, tomando en cuenta que el phishing es un problema grave que debe ser contrarrestado cuanto antes, me gustaría ver a nuestras autoridades o a las instituciones privadas formando un grupo de acción propio contra los delitos de fraude, y que se ofrezca como alternativa a las versiones locales de los navegadores.
No sacamos nada con esperar que otros nos resuelvan los problemas. Comprobado en carne propia.
Publicado el 10.05.2007 @ 20:15 | 
Categorías: 
Angelo Bernardi
10.05.2007 @ 20:46
FT, acabo de entrar a la web desde IE7
la proteccion anti phishing no saltó ni por si acaso…
pensando que estaba desactivada lo mandé manualmente a verificar la web, y solo me dice que “este sitio web no ha sido notificado como un sitio web de suplantacion de identidad”
asi que voy a proceder a denunciarlo, y veremos que sucede dentro de estos días
mientras tanto la gente seguira cayendo :(
saludos!!
Patricio Villarroel
10.05.2007 @ 21:40
Oye… el sitio en verdad parece de Falabella… nunca había tenido un encuentro cercano con el phishing.
Estoy shockeado
Valericio
10.05.2007 @ 21:41
Tio Bill ni se inmuto con el sitio.. por tanto ya lo denun cie y esperare unas horas para ver que pasa….
Carlos
10.05.2007 @ 22:00
Ven por que no compro en internet :P
Kei Kun
10.05.2007 @ 22:09
Carlos: Excelente comentario xD
Que mal.. el sitio es demasiado creible (salvo que desde CMR jamás me han pedido mi nº de cuenta y que la promocion es del 2006)
MM.. y si le contamos a fallabela ?Pue ser que ellos, como son los involucrados, puedan hacer algo mas.
Saludos…
PS: Foro ??? quien dijo foro ??? (Se que soy odioso…)
Jaime
10.05.2007 @ 23:01
Hace unos días me llegó un mail del santander stgo para que visitara un nuevo sitio web en donde podría hacer no se qué nuevas transacciones.
El mail estaba explicitamente dirigido a los clientes de ese banco, cosa que no soy, así qué tratando simplificar mi buena acción del día, avise en firefox que el sitio podría ser algo turbio y además me comuniqué con el banco para informarles y para que me contaran qué había pasado.
Me respondieron del banco y…el sitio si era de ellos(!). ¿Por qué me llegó ese mail a mí? Ni idea.
La cosa es que seguuuuro, que ff, opera, ie, etc deben asegurarse mil veces antes de marcar un sitio como fraudulento. Seguro que en este caso que expones, van pocos haciendo su buena acción del día o, muchos engañados.
Saludos, Jaime
Francisco Carle
11.05.2007 @ 00:52
Jaime: El sitio del que hablas, probablemente Officebanking, efectivamente existe y es del banco SantanderSantiago, pero pero eso no impide que estos rateros te lleven a un sitio falso, similar a officebanking, para que los datos ingresados sean capturados por ellos.
Francamente me tiene chato esto del phishing. Hoy me llegó otro mail tratando de engañarme.
Y si los sistemas de defensa no funcionan, prefiero quedarme solo con la regla número 1 del antiphishing: “No hacer clic en enlaces de correos electrónicos”.
EduardoE
11.05.2007 @ 01:23
Francotirador, la razón principal de que porque sistemas como PhishTank no funcionan bien en países como Chile es que operan mediante votación del sitio sospecho, lo que requiere que muchas personas voten en forma negativa respecto de la misma pagina para que sea declarada como falsa.
Entonces, como somos tan flojos hasta para protegernos nosotros mismos del phishing, pocos se inscriben para hacer el trabajo de votar y de ahí a que queden sin detectar dichos sitios; a diferencia de EEUU/Europa, donde la gente es más proactiva y dedica el tiempo para hacerlo.
Para no actuar como el cura gatica, ahora abrí mi cuenta en PhishTank y vote por tus avisos (y algunos más), aunque el sistema advierte de que requiere más votos para confirmar su estado.
EduardoE
11.05.2007 @ 01:24
PD: Si alguien se interesa, la ficha respecto del sitio phising en PhishTank se encuentra en http://www.phishtank.com/phish_detail.php?phish_id=231742 .
EduardoE
11.05.2007 @ 01:24
PD 2: Del sitio mencionado acá, por si acaso.
EduardoE
11.05.2007 @ 01:33
Mirando en las estadistíscas de PhishTank ( http://www.phishtank.com/stats/2007/04/ ), aparecio algo increíble en la sección “Networks That Host Phishes”, sobre las diez redes que albergan mayor cantidad de sitios con phising:
“5 VTR BANDA ANCHA S.A. 7,217″ (El número de phisings validos).
Francotirador
11.05.2007 @ 03:13
Angelo: Genial. Estaré atento a ver qué pasa :)
Patricio: Por desgracia, lo más probable es que no sea el último…
Valericio: A ver si tienes la misma (o mejor) suerte que Angelo.
Carlos: No es ese el punto. Además, aunque no compres cada vez hay más servicios financieros, estatales, civiles y de todo tipo que se realizan con datos personales a través de la red. Lo principal es protegerse con la regla de “no hacer clic en los vínculos de correo electrónico”.
Además, es increíblemente cierto eso de que hay más posibilidades de que te roben la billetera en la calle a que te timen en la red.
Kei: No sé si a Falabella le importe. Además no es el punto cerrar éste sitio (a la hora ya hay dos o tres más), sino establecer la necesidad de un sistema de protección general.
Lo del foro… mmm… tengo mis dudas. El Huaso armó uno la otra vez y no lo pescó nadie. No sé si ese sea el modo de interacción más apropiado, pero podemos investigar otros métodos :)
Jaime: Yo creo que en efecto era un correo de phishing (dirigiendo a una copia de OfficeBanking) y en el banco entendieron mal cuando consultaste. De lo contrario, creo que serías el primer caso en el mundo de “phishing inverso” XD
Francisco: Creo que vas a tener que irte acostumbrando, tenemos phishing para rato. Pero ya te sabes la regla… that’s the spirit ;)
Eduardo: Así capté cuando vi el FAQ, aunque eso no quita la ineficiencia del sistema y lo poco que nos pescan en comparación a los fraudes norteamericanos.
Lo de VTR sí que me sorprendió. Incluso pensé lanzarlo como noticia pero, examinándolo con más cuidado, me di cuenta que el sistema de estadísticas de PhishTank es un poco extraño, pues varían mucho los ISP de un mes a otro.
Habría que indagar mejor de qué depende este índice. Quizá Sebastián B. pueda iluminarnos al respecto…
Francotirador
11.05.2007 @ 03:21
¡Jo! Acabo de recibir el mentado correo del SantanderSantiago OfficeBanking y efectivamente es un phishing:
http://www.rixx.nl/pictures/admin/www.santandersantiago.cl/index.htm
(Cuidado con ponerle datos. Muerde).
JL
11.05.2007 @ 03:26
No se si sera por la “rentabilidad geografica”
Hoy mismo me llego un sospechoso email supuestamente del banco santandersantiago, del cual no soy cliente pero que diablos, invitandome a actualizar datos por un motivo que no me digne a leer.
Thunderbird inmediatamente me dijo que el mensaje era phishing.
El mail invitaba a entrar a officebanking.cl pero el link llevaba realmente a http://212.67.202.196/~casper/administrator/components/com_config/www.santandersantiago.cl/canales/empresas/www.officebanking.cl/index.htm
de puro sapo, me meti a ver que pasaba… saltaron todas las alertas, tal como debe ser.
Quizas en el caso del mail que te llego a ti, no se han juntado suficientes “denuncias” (me imagino que le daran mucha mas prioridad a un sitio que sea denunciado 1500 veces en un dia que a uno que fue notificado solo una vez, pero por un tema solamente de tiempo)
Carlos Leiva
11.05.2007 @ 08:15
Eduardo tiene razón. Imagínate cuántos sitios NO FRAUDULENTOS estarían marcados como phishing si para eso bastara sólo una denuncia.
Edward
11.05.2007 @ 08:23
Jejeje.. Notable en todo caso que el sitio de pishing de falabella al lado derecho tiene un banner explicando que es el pishing…
gonzalovalenzuela
11.05.2007 @ 09:09
A mi me llego el de Santander Santiago unas 7 veces ya, pero lo mas divertido fue la primera vez que llego, todo tenia estetica de ese banco, colores, links etc, salvo que en la cabecera decia BANAMEX , encima de fraudulento, chantas.
En fin, yo jamas entro por links y la mayoria de las veces es tan simple como ver hacia donde va el link.
Jose Luis
11.05.2007 @ 09:14
Yo el otro día recibi el phishing del Santander Santiago (de una dirección que está bajada ya), y como no soy cliente caché al tiro….eso si, Firefox 2.0 me avisó también al tiro que el sitio era phishing. De todos modos le mandé un mail a Santander (por si ellos podían hacer algo para bajarlo) y me agradecireon y contestaron con una plantilla de “Santander Santiago nunca le pedirá su clave…etc, etc”……
Al menos a mi, me funcionó el antiphishing de Firefox 2
Jose Luis
http://videojugo.blogspot.com
Kei Kun
11.05.2007 @ 09:55
Francotirador: Gracias por la respuesta.
Uta… pensandolo bien, salir a la pesca puede ser wen negocio… jejejejej.
Debo reconcer algo: cuando los mails me llegan a gmail, los manda al tiro a spam.
Lo otro: Esta gente se tiene que conseguir algo de la base de datos del banco, casa comercial, etc. Ya que los mails van dirigidos el 90% de los casos a clientes de la parte donde uno lo quiere casar y esto deja la otra duda. ¿Son los portales comerciales los que venden los datos (como el correo electronico y el nombre ) o son gente de la misma empresa que quiere cagarse a los clientes? Se los digo pq un amigo trabaja en el area informatica de un banco y me dice que para programar, por ejemplo, una transaccion de cajero automatico, no tiene acceso a la base de datos ppal, sino que a una dummy. Claro que el banco en que trabaja ese pastel es a toda cuea (y no puedo decir que banco es.. pq lo pueden webear.. incluso con pocos datos).
Saludos
Pancho
11.05.2007 @ 11:38
A mi los correos de phishing me los detecta el windows live mail
Y todos miran a webo el servicio.
víctor
11.05.2007 @ 12:00
Que ya no se pueda hacer CLICK tranquilamente
Ariel Solo Elgueta
11.05.2007 @ 12:48
Yo incluso una vez el año pasado hice una denuncia de pishing al correo cibercrimen@investigaciones.cl Y AUN NO RECIBO NI SIQUIERA UN “acusamos recibo de…”
hyoga
11.05.2007 @ 14:20
Reitero las 10 normas para evitar el phishing:
1. No abrir enlaces desde mensajes de correo electrónico.
2. No abrir enlaces desde mensajes de correo electrónico.
3. No abrir enlaces desde mensajes de correo electrónico.
4. No abrir enlaces desde mensajes de correo electrónico.
5. No abrir enlaces desde mensajes de correo electrónico.
6. No abrir enlaces desde mensajes de correo electrónico.
7. No abrir enlaces desde mensajes de correo electrónico.
8. No abrir enlaces desde mensajes de correo electrónico.
9. No abrir enlaces desde mensajes de correo electrónico.
10. No abrir enlaces desde mensajes de correo electrónico.
¿Es tan difícil de entender? ¿O está escrito en sánscrito?
Y Ariel: sobre la Brigada del Cibercrimen, mejor sientate a esperar, porque en el intertanto te puedes cansar.
Francisco Carle
11.05.2007 @ 14:36
Jaja, me acordé quel el primer intento de phishing en mi casilla de correo era de Bancolombia
Si hasta son de cumbia y aroma a café tenía ese mail :P
Pato
11.05.2007 @ 14:40
Bueno… como dije antes, aunque sabía de esto, no lo había tenido en cuenta tan cerca.
Pero… me asalta una duda…
¿Cómo es posible darse cuenta que un sitio es falso? O sea, cuando seguí el enlace que dio Chris sobre CMR… sólo me percaté que el dominio no tenía relación. Y en caso del banco, cada vez que ingreso a servicios como esto me aseguro de ver “https” en la barra de dirección.
Pero ¿qué pasa cuando el dominio es tan “sintácticamente parecido” al original?… imagínense si hubiera sido “www.cmrfallabela.cl”, lo cuál sólo lo hubiese notado si le hubiese puesto gran atención.
Ergo, ¿la única forma de saber si es phishing es mirando el dominio? De ser así ¿qué pasa con los usuarios web que no son expertos, o que nose fijan en estos detalles? ¿Hay otras formas de darse cuenta del falseo?
Francotirador
11.05.2007 @ 15:02
JL: El filtro de Thunderbird no es el mismo de Firefox. Thunderbird revela los mensajes de phishing basado – entre otras cosas – en incoherencias entre el vínculo de texto y la URL real (o sea, si te lleva a un lugar distinto del que anuncia), lo que es bastante efectivo en la mayoría de los casos.
El problema es para la gente que no usa Webmail o que usa otro cliente de correo, pero por sobre todo lo será cuando los criminales descubran cómo burlarlo.
Carlos: En efecto, por lo mismo no digo que la validación sea automática (sería una locura), pero que por lo menos haya alguien a cargo del cuento para aprobar denuncias en un plazo prudente.
Edward: Aporta al realismo, ¿no? XD
Gonzalo: No es tan simple porque a través de código javascript puedes hacerle creer al usuario que un vínculo apunta al sitio real mostrando incluso su URL en la barra de estado (es algo bastante sencillo de hecho).
La única recomendación válida es la más básica: JAMÁS hacer clic en los vínculos de correos electrónicos. Si tienes que ir al sitio, tipeas la dirección.
José Luis: ¡Qué bueno! Esa es una señal que me devuelve algo de confianza.
Kei: Tiendo a pensar que son personas dentro de la empresa que venden sus bases de datos en forma ilegal. Por ejemplo, he trabajado en algunas empresas grandes donde, a días de haberme creado una casilla y sin habérsela dado a nadie, ya comienzo a recibir espam.
Pancho: Curiosamente, los últimos dos correos de phishing que he mencionado los recibí en Windows Live Mail…
Víctor: Ya no se puede hacer clic. Punto ;)
Ariel: Como dice Hyoga, toma asiento.
Hyoga: That’s the spirit!
Francisco: Yo cada semana recibo correos pidiéndome confirmar mis acciones en el Dow Jones… ¡y ni sabía que las tenía!
Pato: Precisamente esos son algunos de los trucos que utilizan los criminales para engañar a la gente. Puedes fijarte en la barra de direcciones, pero también es manipulable.
La única, ÚNICA forma de estar seguro es NO hacer clic en vínculos de correo electrónico. Si te llega un correo que crees verdadero, sencillamente ve a tu navegador y tipea la dirección.
Daniel
11.05.2007 @ 16:56
Me acabo de dar cuenta que donde trabajo el Opera no se puede conectar al sitio donde lo verifica… 0_0
en fin…
a mi me han llegado unos cuentos de esos correos.. pero no los tomo en cuenta.
a todo esto si el original viene con fallos, la copia tb los trera
Xapron
11.05.2007 @ 19:47
ATENCION!
Parece que ahora funciono con Firefox!!!!!!!!
Pues me acabo de meter a uno de los sitios pishing:
http://www.rixx.nl/pictures/admin/www.santandersantiago.cl/index.htm
Y mi navegador favorito me acaba de avisar de que es un sitio pishing y que debo salir inmediatamente de ahi!!!!!!!!!!!!
Que genial, al parecer ahora si que funciona, despues de varios dias, o quizas, despues de que varios hemos avisado de que son sitios fraudulentos.
Prueba Superada!
O no ?
Vean y confirmen ;)
Saludos!
Javier
12.05.2007 @ 01:12
Jajaja, no me pude aguantar la tentación de meter una cuenta falsa un numero falso y un rut falso, jajaja. Al final te termina mandando a una página verdadera de cmr, pero los giles tienen casi todos los vinculos muertos jajajaja.
Igual está peligrosa la cosa, nosotros con cierta cultura informática sabemos no seguir los vinculos de mail, el problema es que la gente común y corriente no se atreve a utilizar la conexion a internet para cosas privadas por estas situaciones, no saben cuando confiar o no.
elreflejo Pishing: Frenando el Fraude at elreflejo
12.05.2007 @ 18:13
[...] casi una decena de estos mails, y mis compañeros del blog, junto a otros sitios chilenos, como “el francotirador”, han acusado recibo de estos mails [...]
Jesus
12.05.2007 @ 21:27
Al parecer bajaron la pagina los niños malos…
Y sí, mi Firefox me aviso de ser un fraude. [primera vez en todo caso]
Por lo que leo, se demoraron, pero cumplieron.
Saludos.
Angelo Bernardi
13.05.2007 @ 22:38
3 dias y el IE aun no dice nada…
firefox tampoco me avisa….
serap…
bueno
saludos!
El Diablo en los Detalles | Naturaleza Humana #1: No puedo evitar hacer "click"
28.05.2007 @ 09:10
[...] todo el esfuerzo que ponen los navegadores en evitar el “phishing”, las múltiples advertencias contra esas maravillosas ofertas [...]