En mi trabajo llevamos la seguridad antifraude de un reconocido establecimiento bancario en España.

Un día me ha llegado este caso de sendmail masivo donde se pedia a los usuarios llamar a un número telefónico.

Fue un caso realmente especial pues no teniamos creado un procedimiento para actuar frente a este tipo de amenazas, afortunadamente pude realizar una llamada de prueba y grabarla con lo que posteriormente se judicializó a los responsables.

En realidad la imaginación de los atacantes no tiene limites, aúnque creo que en este caso concreto cayeron por la precariedad con que se usó el método ya que la locución era deficiente por no decir que casi inentendible, lo que generó muchas llamadas al callcenter notificando sobre el fraude ante la dudosa legitimidad tanto del correo como de la linea a la que se llamaba.

YouTube- Fraude [Vishing] Phishing Telefonico España

Desconozco el tipo de equipo que encontrarian al otro lado de la linea....

Me parece interesante el caso por el hecho de que seas tú quien llame al número en cuestión, ¿tienes constancia de cómo se ha resuelto judicialmente? penas, multas o similares, si es que ya hay sentencia firme.

Eso es parecido a lo que hace kevin mitnick en las presentaciones, tiene su propio sistema al cual los clientes (victimas) llaman, y el recibe la info y con eso accede al servidor real y realiza la transaccion solicitada, y devuelve los datos, manteniendo un registro de todos los datos del usuario y despertando menos sospechas

Hagen, en mi empresa solo recopilamos los datos para las pruebas (los correos de phishing como tal) y luego las pasamos al departamento de Seg Informatica del banco.

En este caso pudimos averiguar de que operador era la linea telefonica y saber el domicilio donde estaba instalada, con eso se procedio a hacer la respectiva denuncia en la Guardia Civil y se realizó un allanamiento al sitio, hasta ahi sé, no tengo idea si hubo detenciones.

De todos modos para otros casos si me he dado cuenta que ha habido detenciones en España y en Europa con ayuda de la Interpol.


Lotvx, lo que hace kevin es meterse al IVR, mientras que aqui se envia un telefono de suplantación, creo que el método de Kevin es mas eficiente.

En este tipo y los demas casos de phishing, sigue estando vigente la recomendacion mas importante.

Nunca atender a correos electrónicos que soliciten información (sin importar por que medio sea solicitada)

Artículosrecomendados:
¿Que es el Phishing? (http://www.dragonjar.org/que-es-el-phishing.xhtml)

Charla que di en un congreso de seguridad sobre phishing y clickjacking
Memorias Securinf v2.0 (http://www.dragonjar.org/memorias-securinf-v20.xhtml)

Herramientas anti phishing (aunque en este caso en particular no ayudarian mucho)
Anti Phishing (http://www.dragonjar.org/anti-phishing)

DragoN en este tipo de fraude es muy dificil que los usuarios no caigan, la ingenieria social que se usa en los correos hace que la gente "pique" bajo el esquema actual de crisis que hay por ejemplo en españa, se suelen recibir correos como:

Hacienda ha detectado un error en su declaración de renta y tiene 134,67 euros de devolución a su favor, intruzca los datos de su cuenta para proceder a la devolución.... y la gente cae....

Para la gente es bastante dificil no caer tambien por que usan cada vez urls mas complejas..

En vez de http://quierotudinero.com/soytubanco

Te aparece:
http:/somos.tu.banco.de.confianza.enponer.susclaves.en.n uestro.portal.del.banco.xxx.com

Con urls tan largas que no se pueden ver en la barra de direcciones la gente sin conocimientos no puede diferenciar cual es el dominio.

En fin, creo que pasarán años antes de frenar este tipo de ataques.

La verdad es que si, aun ai gente por ai haciendo esto. Ami sin mas me llego un correo el lunes de que si actibava mi cuenta de correo que me la elimanarian xD Aqui os dejo una captura para que os reias como yo xD

http://img696.imageshack.us/img696/7028/correon.jpg

Es un problema de concienciación realmente, a nadie se le ocurre dejar su coche aparacado con la puerta abierta y sin embargo no se percibe ningún riesgo por dar determindaos datos, pinchar en enlaces etc. en internet. Y lo repites en charlas y demás y ves que la gente por lo general no aprende, esa es mi experiencia al menos, estoy pensando en que sería más efectivo pegar un "post-it" en las pantallas con letras grandes para que lo recordaran.

De todos yo también pienso que pasarán bastantes años antes de que se solucione, además en entornos corporativos es muy difícil que no haya una persona que cometa un error y comprometa al resto y las amenazas varían muchísimo, más de lo que un usuario medio puede abarcar o conocer.
Me interesa por eso como se resuelven judicialmente estos casos porque es importante borrar esa imagen de impunidad en internet y que las propias leyes se adapten a estos cambios.