¡No te dejes engañar!

pirataMuchos miembros de la UPV recibimos la semana pasada un correo inquietante. Nos comunicaba algo sobre la seguridad y el correo electrónico y nos pedía que abriésemos una carta adjunta (que, al estar en formato HTML, se abría con el navegador):

scam sobre el correo electrónico

 Aunque el texto no se entiende muy bien (estos informáticos… nunca se preocupan por el lenguaje), parece ser que hay algún problema con el correo y, si no iniciamos sesión en el WebMail inmediatamente… ¡podemos perder el correo electrónico!

Por supuesto el mensaje es falso. No está enviado por la UPV, no es cierto lo que nos dice (si es que llegamos a entenderlo), no corre ningún peligro nuestro correo electrónico y no es necesario que iniciemos sesión en el WebMail.

Ante este tipo de ataques surgen varias preguntas a las que intentaremos dar respuesta:

¿Qué pretenden los que envían este tipo de mensajes?
Estos ataques van dirigidos a la obtención de credenciales (usuario + contraseña) para los sistemas de correo electrónico. Normalmente estas cuentas se utilizan para el envío de spam a través del servidor de correo de los usuarios atacados.
Mi correo no es importante, si me pillan la cuenta no pasa nada ¿verdad?
Bueno, quizás te importaría más si pensases que alguien puede suplantarte y enviar correos desde tu cuenta como si fueses tú. De todas formas, con tu cuenta se puede enviar spam y eso afecta a toda la Universidad (por la reputación de la misma y por el propio servicio de correo: podríamos aparecer en las listas negras de emisores de spam y los correos de miembros de la UPV serían rechazados en otros servidores).
La dirección web que aparece en el mensaje es la de nuestro WebMail ¿por qué van a capturar mis credenciales si entro en el WebMail?
Aunque, aparentemente, la dirección del WebMail es la verdadera, los enlaces del mensaje son una engañifa. Observa qué ocurre cuando se pasa el ratón sobre uno de estos enlaces:

enlaces fraudulentos

Antes de activar el enlace se puede comprobar: que el título del mismo (el texto que aparece en el recuadro amarillo) indica como destino la Universidad de Maryland (el ‘pirata’ no ha dedicado tiempo a perfeccionar su ataque) y que la barra de estado indica el enlace real al que accederíamos si completamos el clic. El enlace real no tiene nada que ver con la UPV, como era de esperar.

Y si he pulsado uno de los enlaces ¿cómo podría darme cuenta de que algo no va bien?
Antes de introducir nuestras credenciales en una página Web es muy importante comprobar que estamos conectados al servidor con el que queremos trabajar.

Veamos la página a la que nos lleva este falso mensaje:

Internet Explorer Firefox
IE8_phish FF_phish

Y ahora la página auténtica de nuestro servidor de correo vía WebMail:

Internet Explorer Firefox
IE8_real FF_real

¿Ves las diferencias? Este tipo de ataques (conocidos como phishing) funcionan porque no detectamos las diferencias entre las páginas reales y las páginas suplantadas. En realidad, el contenido es totalmente idéntico, así que hay que basarse en otros criterios:

  • La comunicación está cifrada mediante el protocolo HTTPS
  • El servidor utiliza un certificado válido en el que confiamos
  • El dominio DNS pertenece a la ’empresa’ con la que queremos contactar

Los navegadores nos ayudan a hacer estas comprobaciones, de manera que, con una mirada rápida, podemos saber si el sitio Web es auténtico o no:

  • En Firefox: comprueba que la zona de seguridad tiene un fondo azul (o verde) y que aparece el dominio al que te quieres conectar (en nuestro caso, upv.es):

    FF_ayudaSeguridad

    Las notificaciones de seguridad en Firefox aparecen, siempre, inmediatamente a la izquierda de la barra de direcciones.

  • En Internet Explorer: comprueba que aparece un candado en la zona de seguridad (pero sólo es válido si aparece en este lugar de la ventana) y que se resalta el dominio dentro de la dirección de la página web (en nuestro caso, upv.es):

    IE8_ayudaSeguridad

    Las notificaciones de seguridad en Internet Explorer aparecen, siempre, inmediatamente a la derecha de la barra de direcciones.

Y, por supuesto, desconfía de toda página para la que se muestre una advertencia de seguridad antes de entrar en la misma

¿Qué se hizo en la UPV para evitar que ‘picásemos el anzuelo’?
En cuanto se tuvo constancia del ataque, desde el ASIC se tomaron varias medidas para impedir que alguien pudiese caer en esta trampa por descuido:

  • impedir las conexiones al servidor ‘malvado’ desde todos los equipos de la UPV
  • notificar la página falsa como un sitio fraudulento

Esta última medida permite que sean los propios navegadores los que informen al usuario del problema (y paren el ataque antes de que se produzca):

FF_aviso

¿Y si me he puesto nervioso y he introducido mis credenciales en el sitio falso?
Habría que cambiar la contraseña de correo rápidamente. Para ello hay que utilizar la opción ‘Cambio de contraseñas’ en la Intranet.

También sería recomendable insertar un Gregal para que los técnicos pudiesen revisar los registros del servidor de correo y comprobar que no haya sucedido nada ‘extraño’.

¿No hay forma de que no lleguen estos mensajes a los buzones de los usuarios?
En la UPV se aplican distintas medidas anti-spam, pero no se puede evitar completamente la recepción de este tipo de correos.

La mejor opción, no obstante, es ser consciente de estos riesgos informáticos y pensar tranquilamente las acciones que vayamos a tomar (los mensajes de phishing intentan apremiar al usuario para que reaccione sin pensar).

Y este problema ¿desaparecerá en un futuro próximo?
Es difícil que no hayan ataques de seguridad en las redes informáticas, pero se intenta evitar o, al menos, mitigar los efectos de cada uno de ellos.

Desde el ASIC estamos extendiendo el uso de los correos firmados digitalmente para ayudar al usuario en la difícil tarea de convivir con el spam.

7 comentarios en “¡No te dejes engañar!

  1. Respecto a lo de que no se entienda bien el lenguaje del mensaje pirata, no se debe a que los informaticos no se preocupen por el lenguaje, sino a que son traducciones automaticas de mensajes piratas enviados a distintos paises y, por tanto, en distintos idiomas.

    Es otra de las caracteristicas por las que se puede detectar un mensaje pirata…

  2. Esta sesión la tenía que haber leído hace dos años, ya que yo caí en la trampa con la página de bancaja on line, y fué terrible pensar que cualquiera puede entrar en tu cuenta bancaria y manejar tus datos. Tuve suerte y no pasó nada, ya que como lo dicen tan mal no me quedo claro del todo los datos que estaban pidiendo y me acerqué a la sucursal , y fue allí donde me explicaron que ellos nunca nos mandan correos sino es a través de la página privada de correo on line de bancaja. En fin, tropezar para aprender.

Los comentarios están cerrados.