¿Qué es el phishing? El caso del ataque al INE
El phishing, o password harvesting fishing, es un tipo de fraude que consiste en diseñar webs y emails falsos que tengan el mismo aspecto que webs de nuestra confianza. De esta manera se pretende obtener datos de claves de acceso a cuentas bancarias, números de tarjetas de crédito u otra información sensible. Normalmente estos ataques van dirigidos a entidades bancarias, pero ayer mismo recibí un email falso del Instituto Nacional de Estadística (INE) que puede ser considerado como una primera fase de un ataque de phishing.
En este email con el remite ine@ine.es, se invita en nombre del INE a completar una encuesta sobre "Equipamiento y Uso de Tecnologías de Información y Comunicación en las Viviendas". Al hacer click llegas a un formulario donde se pregunta si eres usuario de la banca a distancia, de qué entidad bancaria y cuál es tu email. En la nota legal aparece "Velázquez nº 34 (C.P. 28001)" una dirección del Banco Popular. Al darle al botón enviar eres redirigido a la home del INE.
Evidentemente el INE no está realizando ningún estudio:
Hemos tenido conocimiento de que, en nombre del INE, se está recibiendo en multitud de direcciones de correo electrónico la invitación a colaborar en una "encuesta sobre equipamiento y uso de tecnologías de información y comunicación en las viviendas".
Ante esta noticia el INE quiere comunicar que:
1. El INE no está realizando ni ha realizado nunca ninguna encuesta bajo ese nombre.
2. El INE aconseja que no se responda a dicho correo electrónico ni que se envíe ningún tipo de información personal al remitente, dado que se trata de un correo electrónico fraudulento
Perdonen las molestias.
Maria José Redondo, INE.
EL objetivo de este ataque, pues, era obtener emails de usuarios de banca a distancia y saber con qué entidad trabajaban. Así es posible diseñar un nuevo ataque a estos emails simulando las webs de los bancos con los que trabajan.
En este caso, -como bien me apunta Francisco García Peñalver de Grupo Usolab-, no puede puede hablarse de pishing en sentido propio, dado que no se obtienen passwords, pero este ataque al INE si parece formar parte de un ataque de phishing que está por llegar. Para este caso podríamos acuñar una nueva expresión y hablar de emishing (email fishing) o mishing (mail fishing).
Quizás este fraude, al margen del perjuicio económico para el afectado, sea un ataque directo a la confianza del consumidor en las empresas y entidades a las que ceden información por Internet. ¿Un obstáculo para el marketing relacional?.
Publicado por: Nakazanius | diciembre 06, 2004 a las 01:37 a.m.
Es un obstáculo para el marketing relacional y para toda la red en general. Cuando una noticia así sale en el telediario de las 9 conseguimos que mucha gente no se conecte. Debemos incluir en las campañas de difusión un apartado que explique criterios básicos de seguridad. Hay que darle la vuelta.
Publicado por: Enric Cid | diciembre 26, 2004 a las 12:06 a.m.