Ya hace algún tiempo que quería dedicar una entrada a estafas en Internet. A continuación algunas de las más conocidas y que muchos de vosotros habréis experimentado, seguramente.

Antes de nada comentar que debemos DESCONFIAR siempre de aquellas cosas que parezcan fáciles de conseguir tanto en el mundo offline como online. Seguramente encierran algo turbio cuanto menos.

SCAM

Gracias a un error tecleando una URL hace unos días llegué a un sitio web bastante “curioso”. Estaba tecleando http://www.youtube.com y en realidad tecleé http://www.youyube.com.
La ventana que me apareció fué esta:

Lo primero que uno piensa es que se encuentra efectivamente en Youtube (fijaos en cómo usan el logo con el look and feel de YT ) y que por alguna razón se está lanzando una encuesta absolutamente relacionada con videos y que termina en la toma de datos (teléfono móvil y email) del usuario “confiado” para participar en un “sorteo” de tres importantes regalos.

Si os fijais no obstante en la URL, esta es http://videorewardcentral.com/?sov=12004 y evidentemente esto tiene muy poco que ver con Youtube. Por tanto NO es youtube el que realiza esta “encuesta”. si además intentáis averiguar quién está detrás de este sitio web os perderéis en una maraña de enlaces que apuntan de un sitio a otro.

Pero… ¿esto qué é lo que é? (como diría Carlos Herrera de Onda Cero)

Pues esto es SCAM (estafa en inglés). En este caso es un sitio web que se aprovecha de los errores al teclear la URL para intentar “cazar” a usuarios desprevenidos.

Buscando en la red referencias sobre este sitio encontraréis “Ganar dinero con Youyube”, videos explicativos de lo fácil que es ganar una pasta sin esfuerzo en la red y otras referencias más cercanas a la realidad si buscáis “Youyube estafa” en Taringa o Youtube scam Youyube.

ESTAFAS POR EMAIL – TIMO DE LA ESTAMPITA 🙂

Esta misma semana recibía dos de estos timos. Alguno de ellos bastante “currado” para hacer caer a más de un confiado.

El primero de ellos un email de este tipo:

Hi bulletproof@earthlink.net [bulletproof@earthlink.net] Enviado el: domingo, 07 de agosto de 2011 7:41 Para: Salvador Vilalta Blanco Hey  are you doing good? I just wanted to share this with you , I had a good week last week! Check it out http://x.co/YgWe“George Washington was first in war, first in peace — and the first to have his birthday juggled to make a long weekend.” — Ashley Cooper

En este caso el enlace nos lleva a una web dinámica que personaliza algunos contenidos en función de la ubicación del usuario receptor del email e incluso cita a personajes conocidos (Jessica Parker en este caso) para dar mayor potencia al mensaje:

Como podréis comprobar otro ejemplo que juega con la “codicia” (un potente detonante de acción) para cazar al incauto. Si os fijáis debajo del “presunto” reportaje veréis imágenes de personas muy felices con el talón ganado trabajando desde casa. De manual!

Otro ejemplo, este si muy conocido que también juega con la codicia del incauto, el de la herencia o ladonación también conocido como “Timo Nigeriano o timo 419”:

Poco hay que decir sobre esta estafa pero miles de personas y millones de euros han “caído” en ella en muchos países del mundo.

PHISING

Esta forma de fraude esta también muy usada y en ella caen múltiples incautos. Está

fundamentada en la suplantación de identidad de una compañía (habitualmente financiera) y en la solicitud de datos aconfidenciales al usuario para hacer un uso fraudulento de cuentas bancarias o tarjetas de crédito.

Suelen estar camuflados en emails que solicitan confirmación de determinados datos y posteriormente un enlace que suele abrir una página web idéntica a la de nuestro banco donde el usuario introduce sus credenciales. Incluso en algunos casos algún usuario ha introducido TODAS las coordenadas de su tarjeta de claves de banca electrónica (hay que ser un poco bestia para ello).

Otros tipos de fraude

Robos de identidad, las subastas o compra-ventas fraudulentas, keyloggers (capturan pulsaciones de teclado y con estas nuestras credenciales), troyanos bancarios (substituyen páginas web reales por otras maliciosas), pharming (funciona sobre la resolución de nombres redirigiendo URL reales a otras que no lo son), SMshing (similar al phising pero mediante SMS’s).

En este último caso introducir nuestro número de móvil puede acarrearnos la “suscripción” inmediata a un sistema de descarga de contenidos obligatorios diario o a que nuestra operadora nos envíe advertencias de suscripción a estos servicios y nos cargue un importe por cada mensaje que nos envíe.

¿Cómo nos protegemos ante todo esto?

Algunas recomendaciones podrían ser:

• Jamás recibir un correo electrónico no solicitado. Es mejor eliminarlo en el servidor antes de recibirlo en nuestra aplicación de correo electrónico. Estos correos infectados con virus pueden ejecutar código malicioso incluso sin abrir un fichero adjunto sospechoso.
• Siempre mantener el fichero de firmas y la suite de seguridad actualizados a la última versión disponible.
• Utilizar contraseñas robustas y evitar escribirlas en ficheros situados en el ordenador.
• Jamás facilitar datos personales fuera de entornos seguros y fuentes de total confianza.
• Los regalos y promociones fáciles de obtener pueden esconder grandes amenazas.
• Tener siempre activos los cortafuegos, bien del sistema operativo o de la propia suite de seguridad.
• La búsqueda de software y/o claves de activación no legales es la puerta de entrada favorita de muchos virus y/o malware.
• Desconfía cuando detectes actividad sospechosa en tu equipo.
• Hacer copias de seguridad periódicas que permitan recuperar datos en caso de infección.

Enlaces de interes:

Guardia Civil- Consejos de seguridad

INTECO – Centro de Respuesta a Incidentes de Seguridad