La publicidad, marketing no se llevan muy bien con la seguridad informática, esto es algo común en los últimos tiempos, es normal que un grupo de publicidad quieran aprovechar las nuevas tecnologías para captar nuevos clientes, pero el grupo de seguridad informática siempre frenamos a los devoradores de marketing porque esta publicidad puede ser un arma muy peligrosa en seguridad, esto es lo ocurrido con un correo electrónico publicitario de la Caixa de Galicia, que puede llegar a confundir a un futuro cliente con un phishing pero además esta campaña puede ser usada para realizar ataques phishing usando su propia web.
20-6-08: el problema esta solucionado, felicitamos a la entidad afectada por solucionar el problema lo antes posible.
17-06-2008 - Ayer mi hermano me manda el siguiente correo electrónico, que pertenece a una campaña de la Caixa Galicia para captar nuevos clientes con el asunto: Traiga su nomina y llevese uno de estos regalos
Mi sorpresa, fue luego mas tarde, cuando hable con mi hermano por teléfono y me comunica si había visto el phishing que me había enviado a mi buzón electrónico, asombrado le comente que solo recibí publicidad de una entidad bancaria, me comenta que se creía que era un ataque mas de esos “phishing” o timos, mi hermano es un usuario de informática avanzado, esta publicidad le llego a confundir con un fraude de los clásicos que sufrimos los usuarios de la red.
Esto me hizo pensar y analizar mas en profundidad la pequeña confusión de mi hermano, con la sorpresa que al final la confusión puede ser mía al comprobar que este simple correo se puede convertir en el perfecto phishing bancario.
Analicemos el correo electrónico y sus enlaces.
Lo primero que destacamos es el asunto, es llamativo para atraer a nuevos clientes y también a posibles victimas:
Si lo pensamos fríamente es un reclamo ideal para el ciber-delincuente para hacer uso de ingeniería social.
Al pulsar sobre los enlaces pueden ocurrir dos cosas, dependiendo nuestro navegador y versión:
Verlo bien
Verlo raro, tipo phishing?¿
En realidad no tiene mucha importancia, pero el siguiente pasó si tiene bastante importancia, llegando ser un futuro ataque phishing de forma fácil y usando la web de la entidad oficial, con solo modificar el enlace de la publicidad nos puede mostrar el mensaje escrito, con un resultado perfecto:
Enlace de la entidad modificado:
https://www.caixagalicia.es/zonasegura/online/
Efecto final, su herramienta anti-phishing ni se entero::
Este ejemplo lo puede realizar cualquier usuario, dejamos claro que un simple correo electrónico inofensivo se puede convertir en un arma peligrosa para futuros ataques fraudulentos.
Al final mi hermano tenia razón en parte, pero lo mas importante es que algunas campañas de marketing pueden ser muy peligrosas y un gran reclamo para un uso fraudulento, por ello el usuario, los grupos de publicidad, los compañeros de seguridad informática tenemos que estar “muy atentos” y trabajar mas en conjunto.
Comisión de Seguridad en la Red.
José María Luque Guerrero
http://seguridad.internautas.org -
www.seguridadenlared.org -
www.seguridadpymes.es
Asociación de Internautas.
www.internautas.org