Category: Phishing

bookmark_borderPerú: crean página falsa de bono YANAPAY

Posted on by Juan Luis Herrera
Reading Time: 3 minutes

La Autoriad Nacional de Protección de Datos (ANPD) de Perú, confirmó el 16 de septiembre de 2021 sobre la existencia de un sitio web falso sobre el bono YANAPAY.

A través de la Dirección de Fiscalización e Instrucción (DFI) de la ANPD, se informó a la población sobre la página fraudulenta con dirección https://bonoyanapay.com, que contiene una apariencia y estructura similar a los sitios oficiales del gobierno de Perú. El sitio utiliza un formulario donde los usuarios ingresan su Documento Nacional de Identidad (DNI) y luego solicita información de una tarjeta de crédito o débito, tales como numeración, fecha de vencimiento y código verificador.

Usuarios que se han percadato de la falsedad del sitio detallan algunas características que regularmente identifican este tipo de delitos informáticos:

  • Los sitios oficiales del gobierno terminan con .GOB.PE no con .COM
  • Los sitios oficiales del gobierno cuentan con una sección de Políticas de Privacidad
  • El test para confirmar si quien accede es un humano, siempre muestra el mismo código
  • Los programa de gobierno no necesitan datos de una tarjeta de crédito o débito
  • El sitio oficial del programa YANAPAY únicamente solicita DNI y fecha de emisión

Cuando un usuario incauto, proporciona la información sobre su tarjeta de crédito o débito, esta permitiendo a los estafadores poder realizar compras en línea. El Ministerio de Desarrollo e Inclusión Social (Midis) advirtió a la ciudadania en las redes sociales

!Atención, no pongas en riesgo tu información personal!

Si desea obtener información oficial sobre el #YanapayPerú, ingresa a la web yanapay.gob.pe o comunicate a la línea gratuita 101.

El término YANAPAY corresponde al verbo que en culturas Quechua, Aymara y Puquina hace referencia a solidaridad humana, amor humano o amor fraterno. El gobierno de Perú, creo, con el nombre YANAPAY, un programa de ayuda económica de 350 soles peruanos, equivalentes a unos US$ 700, destinado a más de 13.5 millones de peruanos. Las condiciones para recibir la ayuda gubernamental son:

  • Estar en situación de pobreza o pobreza extrema
  • Pertenecer a alguno de los programas de gobierno Juntos, Pensión 65 o Contigo
  • No estar registrado en planilla pública o privada, excepto pensionistas o prácticantes
  • Tener un ingreso menor a 3 mil soles (US$ 725) al mes por hogar

El programa inició el 13 de septiembre y en 3 días ya existía un sitio falso. La dirección del sitio fraudulento es http://bonoyanapay.com, que ya no se encuentra activo, pero se desconoce cuántos usuarios pudieron haber ingresado y proporcionado su información financiera.

Uno de los efectos de la pandemia COVID-19 ha sido la creción de programas gubernamentales, los que aprovechan las ventajas que ofrece la tecnología para que los beneficiario puedan acceder de una forma sencilla, sin embargo, esta conveniencia tecnológica también es aprovechada por los ciber delincuentes.

En una entrada al blog sobre el Phishing, comenté como los usuarios utilizan los buscadores para acceder a servicios en línea, lo que puede llevarlos a sitios fraudulentos. No sería extraño que los peruanos interesados en el bono, ingresaran en Google el nombre del bono, haciendo click en el primero resultado, con el riesgo que los trasladara a una página falsa como la encontrada por DNI. ¿Será que es la única?

Lo que sucedió con el bono YANAPAY es un problema serio, ya que es relativamente fácil crear sitios web o aplicaciones móviles fraudalentas, que son utilizadas por usuarios que confían en lo que encuentran en Internet. Otro aspecto preocupante es que, al ser descubierto un sitio web falso, no es dificil generar otro, esperando a que otra buena cantidad de internautas caigan en la trampa.

Actualmente existen programas gubernamentales similares a YANAPAY en prácticamente todo el mundo, con una alta probabilidad que también esten siendo utilzados para acceder a información sensible de los beneficiarios, sin que las autoridades lo sepan o puedan hacer algo al respecto. El término YANAPAY en general significa ayuda, pero sin considerar aspectos de Seguridad Informática, parece que también ayuda a los ciber criminales.

Bibliografía

bookmark_borderPhishing: un peligro latente para los chapines

Posted on by Juan Luis Herrera
Reading Time: 4 minutes

Si eres usuario de Banca Electrónica y tu banco tiene ya cierta madurez respecto de la Ciberseguridad, seguramente has recibido en los últimos meses o años, correos de tu proveedor financiero informando y adviertiendo sobre el Phishing.

Revisando en mi historial de correos, encontré uno de Banco Industrial de noviembre de 2016, en el que me recomiendan actualizar mi contraseña mediante algunos consejos para su protección. El correo también incluye los siguientes consejos para evitar ser victima de Phishing:

  • Asegurar que la dirección de la plataforma sea la correcta y que inicie con https.
  • No utilizar la plataforma desde cualquier lugar
  • No ingresar desde conexiones de WiFi pública

¿Qué es y cómo funciona el phishing?

El origen del término es la palabra inglesa fishing -pescar-, que literalmente hace alusión a que los atacantes lanzan un ansuelo a sus víctimas, esperando que alguna de ellas lo muerda. El ansuelo consiste en la utilización de mensajes electrónicos (correo, texto, WhatApp, FaceBook, etc), haciendose pasar por una persona o entidad con la que la víctima tiene alguna relación. La identidad falsa de una persona puede ser de un amigo o familiar, en tanto las entidades pueden ser proveedores comerciales, centros educativos o instituciones gubernamentales. Si el mensaje falso es lo suficientemente convincente, el usuario tendrá confianza en la comunicación, que usualmente tiene por objetivo que inocentemente provea información delicada o confidencial.

La técnica detrás del Phishing requiere conocer cierta información del objetivo, ya que la confianza del proceso se basa en mostrar al usuario información que le hagan creer que la fuente de la comunicación es legítima. El complemento del Phishing es lo que se conoce como Ingenieria Social, que proveé al atacante de información básica sobre el uso frecuente de algún servicio o relación con alguna entidad, para así, suplantar su identidad.

¿Un fenómeno nuevo?

En 2021 se cumplen 25 años de la identificación de este tipo de ataques. En 1996 la plataforma de AOL identificó que sus usuarios estaban recibiendo mensajes falsos, con la intención de que proporcionaran información que le permitiera adueñarse de la cuenta de la víctima, que posteriormente se utiliza para cometer crímenes.

El Anti-Phishing Working Group publicó un informe al primer trimestre de 2021 con datos muy interesantes, entre ellos se mencionan:

  • 245,771 sitios web únicos de Phishing
  • La industria financiera es la más atacada (24.9%), seguido de las redes sociales (23.6) y luego proveedores de servicios (19.6%)
  • 172,793 textos únicos en ataques mediante correo electrónico

Desde su aparición los atacantes han mejorado la técnica y actualmente se utilizan diversas variantes y/o técnicas de Phishing. Hoy existen millones de plataformas elecrónicas que proveen servicios remotos a los usuarios, todo se realiza desde la comodidad del hogar o la oficina y desde cualquier dispositivo conectado a Internet. El problema radica en que, como usuarios, pocas veces confirmamos que la dirección del servicio al que se accede o del mensaje que se recibe sea legítima, lo que es en sí un problema dificil de resolver dejandolo en manos de los usuarios.

Para iniciar, no siempre es algo facil de comprender. Por ejemplo, en el caso de un sitio web de algun servicio, la forma de acceder es mediante la URLUniform Resource Locator-, que es el medio para encontrar recursos en internet, como pueden ser las páginas web, algunos ejemplos son:

  • Wikipedia: https://www.wikipedia.org
  • Naciones Unidas: https://www.un.org

Muchos, quizás más del 90 por ciento de los usuarios no escriben la URL de los servicios que utilizan en la barra del navegador… un momento ¿Sábes que existe y qué es verdad? Lo que hacen es escribir en el buscador, seguramente de Google la expresión Wikipedia o Naciones Unidas, que mostrará como resultado los links a páginas relacionadas con el término. Esto lo realizan a diario millones de personas para acceder a sus cuentas de banco, centros de estudio, tiendas en línea o redes sociales.

El riesgo es que uno de los links que muestra Google, apunte a un sitio de apariencia similar, pero que sólo es una imitación maliciosa, cuyo objetivo es que el víctima introduzca su usuario y contraseña, para luego mostrale un mensaje distractor que informe que de momento la plataforma esta en mantenimiento y que lo intente más tarde… !! Para el usuario, ya es demasiado tarde !!

Más dificil, quizás imposible, es pretender que los usuarios puedan identificar que un mensaje de correo electrónico, con toda la apariencia de ser confiable, proviene de un remitente legítimo. Si lográ llegar a la bandeja de entrada de la víctima, posiblemente llamará su atención y si esta bien diseñado el ataque, seguramente realizará acciones que son útiles para el atacante.

¿Cómo esta Guatemala respecto del Phishing?

Guatemala se encuentra muy rezagada en materia de Ciberseguridad. Recientemente la Unión Internacional de Telecomunicaciones publicó el Índice Global de Ciberseguridad 2020. El país se ubica a nivel mundial en el puesto 150 de 182 países y con una calificación de 13.3 puntos de 100, respecto del continente americano ocupa el puesto 26 de 35. Los resultados no son alentadores, lo que implica que existe poca institucionalidad que respalde a los guatemaltecos en materia de Ciberseguridad, lo que deber ser una razón de alerta para todo usuario.

El tema del Phishing, como muchos otros del mundo tecnológico no es sencillo, a pesar que aparenta serlo. La comodidad y conveniencia que ofrecen las diveras plataformas digitales que se utilizan a diario, afectan en gran medida la seguridad, lo que dificilmente es captado y comprendido por los usuarios. Es importante aclarar que no es un tema exclusivo de la banca, pero es un sector de mucho interés para quienes realizan este tipo de ataques.

Extraoficialmente se rumora de muchos casos de Phishing en instituciones bancarias, que han afectado a los usuarios, que han sufrido estáfas y pérdidas financieras que dificilmente logran resolver. Entre los atacantes, que puedan estar en el país o en cualquier lugar del mundo y las instituciones bancarias, que dificilmente aceptan tener algun grado de responsabildid, los usuarios quedan desprotegidos, llegando en muchas ocasiones a tener que aceptar las pérdidas.

Algo positivo que esta ocurriendo es la publicación en medios y páginas de diversas instituciones privadas y públicas sobre el tema de Phishing y Cibersguridad en General. Todo usuario debe conocer los aspectos generales del tema y tomar sus precauciones, de lo contrario, corre el riesgo de aprenderlo de una forma muy dolorosa y posiblemente costosa.

Bibliografía