Amenazas digitales también afectan la banca electrónica
Según expertos de la empresa ESET mediante técnicas de ingeniería social, los atacantes engañan a los usuarios y les roban información confidencial relacionada con sus cuentas bancarias personales o corporativas. De allí la importancia de contar con un buen software que detecte cualquier código malicioso
26 de Agosto de 2011 – La banca electrónica es una excelente opción para que los usuarios hagan sus transacciones bancarias en menos tiempo y desde la comodidad de su hogar u oficina. Además de manejarse como una estrategia ecológica, por disminuir la impresión en papel, este servicio permite obtener información de forma inmediata. Pero si no se utiliza con cuidado, esta herramienta puede servir de escudo para delincuentes que usan técnicas de ingeniería social para robar información confidencial.
Recientemente la empresa líder en desarrollo de soluciones para la detección de códigos maliciosos y amenazas tecnológicas, ESET, detectó el uso de campañas de phishing, mediante correos electrónicos falsos e ingeniería social, dirigidas a usuarios del servicio de banca electrónica. Con esta técnica el atacante consigue datos confidenciales de las cuentas bancarias, sin la necesidad de utilizar algún software malicioso.
El gerente de mercadeo y ventas de ESET en Venezuela, Renato De Gouveia, explicó que con este tipo de amenazas el usuario cae víctima del engaño a través de la recepción de un correo electrónico que supone provenir de una entidad bancaria, al hacer clic en los enlaces contenidos en el correo, es redirigido a un sitio falso, de aspecto similar al real. Para ser más convincente, el atacante informa sobre la supuesta finalización de una actualización en los servidores que invita a acceder a sus cuentas.
Usualmente el usuario hogareño es redirigido a un determinado sitio en donde, por más que intente acceder a su información, no lo va a lograr y finalmente estos atacantes se adueñarán de su información. Al finalizar el ataque, la víctima es redirigida a la página oficial del banco y así se pasa por alto qué fue lo que sucedió.
En los casos de usuarios corporativos, frecuentemente se les engaña para que entreguen información bancaria y el acceso a las cuentas de la empresa; además proveen una dirección de correo válida. Siguiendo unos pocos y simples pasos, las cuentas de una organización se pueden ver expuestas ante un ataque pura y exclusivamente de ingeniería social, sin emplear un software malicioso.
“Una cadena es tan fuerte como su eslabón más débil y es por ello que además de contar con una solución antivirus con capacidad de detección proactiva, los usuarios deben requieren buenas prácticas para navegar en Internet y así poder reconocer este tipo de correos falsos y engaños. En caso de recibir este tipo de amenazas, es muy importante reportar los correos de phishing”, dijo De Gouveia.
Para finalizar, recalcó que uno de los puntos más importantes acerca de este ataque es que es multi-plataforma: no importa cuál sea el sistema operativo utilizado por la víctima, si se trata de una computadora o de un dispositivo móvil, es el usuario quien cae en el engaño e ingresa a través de un enlace en un correo electrónico.
Estafa en cuatro pasos
Generalmente los usuarios que reciben correos electrónicos falsos, provenientes de supuestas entidades bancarias, encuentran un enlace en el cuerpo del correo que los dirige a una página web, y es entonces cuando comienza el engaño:
- Una vez que ingrese los datos para autenticarse, es notificado sobre el proceso de actualización
- Deberá especificar si cuenta o no con una tarjeta de coordenadas
- En caso que lo haga ingresar todos los datos correspondientes a la misma
Es así como en una serie de tres o cuatro pasos los atacantes obtienen toda la información personal para poder acceder a sus cuentas bancarias.