Phising: Evitar el robo de contraseñas en banca electrónica

Normas de Seguridad para acceder a la banca por internet

http://www.seguridadenlared.org/62.html

1.- El primer consejo es más una obligación; Evitar en lo máximo posible acceder a tu Banca por internet o llevar a cabo transacciones financieras en lugares PÚBLICOS donde el acceso a Internet está disponible para muchas personas como por ejemplo Ciber-Cafés, Universidades, Colegios, Oficinas etc. Estos ordenadores podrían tener algún sistema para "capturar" tus datos personales o la información de tus cuentas. Si en caso de una posible "urgencia" se ven forzados a acceder al servicio de banca por internet, para llevar a cabo alguna transacción en un lugar público, evite que haya personas muy cerca y cierre el navegador al finalizar sus operaciones. A continuación, o lo antes posible, cambie las claves de acceso de seguridad desde su ordenador personal.

2.- Acceder a los consejos de seguridad que le ofrece su entidad bancaria. La mayoría de ellas cuentan con este servicio.

3.- Tener su navegador actualizado para tener los protocolos de seguridad en regla.

4.- Observar si la dirección comienza con https: en lugar de solo http:

Compruebe que la navegación es segura y el sitio web bancario transmite su información encriptada por medio del protocolo de seguridad SSL (Secure Sockets Layer) que garantiza la comunicación entre el servidor y el cliente evitando que otros capturen o vean los datos intercambiados y garantizando la autenticidad del servidor al que nos conectamos y evitando que éste sea suplantado por un tercero .

Una prueba rápida para comprobar la veracidad de la web de nuestro banco y no ser engañados por algunas web creadas para robar datos, es dar un "doble click" sobre el candado amarillo que aparece en la parte inferior/derecha de nuestro navegador, una vez realizado nos saldrá el certificado de autenticidad que asegura la identidad de nuestro Banco.


5.- El Banco NUNCA le solicitará que informe de sus claves o datos a través del correo electrónico.

6.- Guarde sus claves de acceso en secreto. Nunca las revele a nadie ni las anote en lugares visibles o de fácil acceso, como la pantalla, teclados, ni hacer un documento que ponga "claves-bancarias.txt".

7.- Use claves aleatorias (Manual para claves) y cambie sus claves periódicamente ( Descargar generador de contraseñas) y siempre que intuya que pueden ser conocidas por otras personas o fueron utilizadas en lugares públicos.

8.- Si realiza alguna operación monetaria guarde una copia o imprima la información, la mayoría de web bancarias tienen esta función.

9.- Apuntar y comprobar (si no usa mucho la Banca por Internet) la fecha de la ultima vez que accedió a sus cuentas por internet, esta opción no esta disponible en todos los bancos, deberíamos exigirla al Banco como medida de seguridad.

10.- Cuando esté accediendo a la Banca por Internet no desatienda sus operaciones distrayéndose con otras cosas, es mejor bloquear el ordenador o apagarlo.

11.- Cierre la sesión cuando termine de operar con su oficina virtual.


13.- Instale algún programa antivirus en su equipo y manténgalo actualizado.

14.- Siempre que tenga alguna duda pregunte en su sucursal bancaria, le informarán y aconsejarán detalladamente de cómo acceder a su "oficina virtual" y de posibles cambios que se realicen en seguridad.
 
Como decía un compañero antes, si sóis unos auténticos maniaticos de la seguridad (y con el dinero propio no estaría mal serlo un poco...) yo lo único que os recomiendo -con conocimiento de causa- es que os instaléis una distribución de Linux en una pequeña partición o en un ordenador viejo o que no uséis (para acceder al banco no hace falta un Core 2 Duo y 4GB de RAM...).

Es la seguridad que realmente os va a funcionar.

Todos los consejos anteriores están bien pero si usáis vuestro ordenador como lo hace la mayor parte de la gente, váis a acabar cogiendo un bichito/troyano/malware antes o después. Incluso en entornos muy controlados de uso profesional (hospitales, empresas...) he podido comprobar como los ordenadores con windows acaban infectados con algún tipo de malware u otro...:eek: Y a quien no le gusta usar emule :D

PD. En su defecto, Mac OSX suele ser bastante seguro (de momento) tambien. :)
 
juanantz dijo:
Hola. Comentaros que he llamado hoy a Activobank y me han confirmado que si que piden la clave numerica de 4 dígitos.

También te piden una posición de tu tarjeta de coordenadas si haces algún movimiento telefonicamente y me han comentado que como medida de seguridad puedes pedirle al operador que te diga cuales son las 4 ultimas cifras del identificador de tu tarjeta de coordenadas (que el las tiene que saber) para asegurarte que estás hablando con un operador de activobank.

Me he quedado un poco más tranquilo, pero muy poco. :rolleyes:
Hacer clic para expandir...
A mi también me llamaron de Openbank, y en temas de contratación me pedían la contraseña de entrada (los 4 dígitos). A mí me parecía muy raro, le dije que por qué no los dos últimos simplemente, me dijeron que era así. Como no me fiaba pasé, aunque me decía que llamara a Openbank y que luego preguntara por XXX y que me pasarían con ella de nuevo. Aún así ya no me fiaba y pasé.
 
Sobre todo lo dicho, comento lo siguiente:

-¿Que opinais del programa KeyScrambler? Es un programa que sirve para encriptar claves de acceso y se puede utilizar tanto con el Internet Explorer como con el Mozilla y se activa cada vez que alguna pagina exige una clave.

-¿Por que se dice que utilizar el sistema Linux es seguro? ¿Como puede impedir que actue un bichito y robe los datos, o que actue un Keylogger?

-¿Creeis que el navegador Mozilla Firefox es una alternativa segura, puesto que impide la descarga o funcionamiento de los ActiveX, que es la via por donde entra o funciona mucha cosa?

-Sabemos que el Emule es peligroso porque al abrir los puertos del router les estas invitando a entrar a tu ordenador a toda clase de bichos, pero si pasas de tener una ID alta y mantienes cerrados los puertos, entonces ¿creeis que el emule es seguro (a menos que te bajes un troyano, claro)?

-¿creeis que el hecho de que una transferencia tarde dos dias en ejecutarse es un factor clave para la seguridad?
Lo digo porque si uno se compromete a entrar cada dia a revisar sus cuentas y sobretodo para revisar las posibles ordenes pendientes de transferencias, siempre sera posible cancelar a tiempo una orden dada por un ladron:o,....y si el hijomio en cuestion ha canviado alguna clave para que tu no entres, puedes sospechar y llamar al banco.

Pienso que lo definitivo seria que los del banco pudieran dar la opcion de bloquear la posibilidad de hacer transferencias a traves de la cuenta online, es decir, que las transferencias solo se pudieran validar en persona en la oficina......de esta manera, ¿que hacker se va a molestar en robarte las claves, si solo puede espiar el dinero que tienes?....supongo que no se va a poner a comprar o vender acciones por ti:cool:
 
Inocente 3 dijo:
Sobre todo lo dicho, comento lo siguiente:

-¿Por que se dice que utilizar el sistema Linux es seguro? ¿Como puede impedir que actue un bichito y robe los datos, o que actue un Keylogger?

-¿Creeis que el navegador Mozilla Firefox es una alternativa segura, puesto que impide la descarga o funcionamiento de los ActiveX, que es la via por donde entra o funciona mucha cosa?

-Sabemos que el Emule es peligroso porque al abrir los puertos del router les estas invitando a entrar a tu ordenador a toda clase de bichos, pero si pasas de tener una ID alta y mantienes cerrados los puertos, entonces ¿creeis que el emule es seguro (a menos que te bajes un troyano, claro)?
Hacer clic para expandir...

Yo puedo responder a estas 3 preguntas :)

1. Por varias razones prácticas: Linux no tiene bichito en activo ("in the wild" que se dice). Hay conceptos de bichito (y malware) pero no se ha detectado ningun caso real de infección. Linux, por defecto, tiene un sistema de permisos mucho más estricto y más robusto que Windows, que tiende a dar al usuario nivel de administrador con mucha facilidad (lo que facilita las infecciones). Por último recuerda que si usas Linux para acceder al banco, estás usando software libre, legal y habitualmente con paquetes de repositorios que están firmados digitalmente, con lo cual la posibilidad de infección es virtualmente nula. En linux no te vas a bajar ejecutables, cracks ni software pirata que son la principal fuente de infección.
Es por tanto un entorno altamente seguro para interactuar con el banco y dormir tranquilo por las noches.

2. Mozilla es un navegador bastante seguro, que se actualiza muy rapidamente a la que se descubren fallos de seguridad. Es por tanto una opción recomendable pero siempre hay que tener en cuenta que la seguridad es una cosa global combinación del sistema operativo y del navegador.

3. Realmente cuando se habla de la inseguridad del emule, se refiere más a lo que te puede entrar por las cosas que te bajas (juegos pirata, ejecutables...) que por le programa en si. Normalmente para la ID en el router no abres todos los puertos, solamente los que necesita el emule y yo personalmente no conozco que se haya dado ningún caso de hacking a través de los puertos del emule ni bichos que hayan entrado por ahí. Piensa que esos puertos únicamente sirven para el intercambio de información p2p y yo creo q el programa en si (emule) es bastante robusto en ese aspecto.

Saludos !!!!
 
No acabo de entender como funciona el pharming (ya he leido de algun caso en otros foros, pero no explican los detalles).

Segun entiendo, esta basado en algun tipo de "malware" que se introduce en tu equipo y modifica los navegadores para que cuando escribas la dirección de tu banco, entres en una página falsa (aunque tu no te des cuenta, puesto que la url parece ser correcta) y allí informes de tus claves.

Lo que no entiendo es como puede pasar inadvertido el fraude, puesto que el usuario, al introducir sus claves y no abrirse la página con sus datos exactos y en tiempo real, queda advertido y puede llamar inmediatamente a su oficina y cambiar las claves.

Supongo (espero no suponer demasiado) que el defraudador puede crear una página de inicio idéntica a la del banco o caja, pero no puede saber tus datos exactos, es decir, tu posición monetaria en tiempo real, y es ahí donde no puede haber duda.

Un saludo.
 
Inocente 3 dijo:
No acabo de entender como funciona el pharming (ya he leido de algun caso en otros foros, pero no explican los detalles).

Segun entiendo, esta basado en algun tipo de "malware" que se introduce en tu equipo y modifica los navegadores para que cuando escribas la dirección de tu banco, entres en una página falsa (aunque tu no te des cuenta, puesto que la url parece ser correcta) y allí informes de tus claves.

Lo que no entiendo es como puede pasar inadvertido el fraude, puesto que el usuario, al introducir sus claves y no abrirse la página con sus datos exactos y en tiempo real, queda advertido y puede llamar inmediatamente a su oficina y cambiar las claves.

Supongo (espero no suponer demasiado) que el defraudador puede crear una página de inicio idéntica a la del banco o caja, pero no puede saber tus datos exactos, es decir, tu posición monetaria en tiempo real, y es ahí donde no puede haber duda.

Un saludo.
Hacer clic para expandir...

En efecto, hay varios diferentes tipos de ataque pharming, todos ellos teniendo el mismo propósito: producir un resultado DNS falso que redirige al navegante a una web falsa, donde introduce su identificación y es captada por el atacante.

Recodermos que cuando se introduce en el navegador una dirección web (http://www.mibancofavorito.es) el ordenador envia una petición al servidor DNS que tengamos configurado en las preferencias de la conexion, de tal forma que este nos devuelve la dirección IP y el navegador entonces procede a conectarse a tal dirección IP (seria lo mismo que teclear la dirección IP directamente http://x.x.x.x).

El malware en nuestro ordenador puede modificar el servidor DNS que tenemos definido por otro del atacante, que devuelve una IP falsa y es donde nos desviamos hacia la web del atacante.

La mejor forma forma de protegerse contra un ataque de pharming es no usar los servidores DNS, esto es, en vez de teclear la dirección web de nuestro banco, teclear su dirección IP directamente (usar entradas en Favorito de nuestro navegador obviamente).

Ejemplo real: http://www.ingdirect.es
http://193.41.234.22

Luego asegurarse SIEMPRE antes de introducir el password y la ID, que estamos en una conexión segura HTTPS (https://...)

Finalmente NUNCA quitarle importancia a una alerta de nuestro navegador sobre un certificado digital inválido al entrar en la web del banco.

Saludos! :)
 
Muy buenas:

En este libro "El arte de la Estafa" de frank abegnale; es el de la pelicula el chaval q se hace pasar por piloto para viajar gratis, aprende a falsificar cheques.
Describe la forma en la q hacen las estafas, falsificaciones, de cajeros automaticos.
Esta informacion deberia darla la policia, ya q no lo hacen ellos, tenemos q buscarla por ahi.

Un saludo
 
Inocente 3 dijo:
No acabo de entender como funciona el pharming (ya he leido de algun caso en otros foros, pero no explican los detalles).

Segun entiendo, esta basado en algun tipo de "malware" que se introduce en tu equipo y modifica los navegadores para que cuando escribas la dirección de tu banco, entres en una página falsa (aunque tu no te des cuenta, puesto que la url parece ser correcta) y allí informes de tus claves.

Lo que no entiendo es como puede pasar inadvertido el fraude, puesto que el usuario, al introducir sus claves y no abrirse la página con sus datos exactos y en tiempo real, queda advertido y puede llamar inmediatamente a su oficina y cambiar las claves.

Supongo (espero no suponer demasiado) que el defraudador puede crear una página de inicio idéntica a la del banco o caja, pero no puede saber tus datos exactos, es decir, tu posición monetaria en tiempo real, y es ahí donde no puede haber duda.

Un saludo.
Hacer clic para expandir...

Hay una cosa que se llama "ataque man in the middle", supongo que usaran eso, me explico, si el usuario se conecta a la pagina fraudulenta, y da sus claves, los otros en vez de mostrarle algo inventado lo que hacen es conectarse a su vez al banco autentico y usan tus claves para conectar , ellos solo hacen de intermediario son el "man in the middle", ademas ten en cuenta de que normalmente las claves para entrar y las claves para operar suelen ser diferentes, y ademas a veces te piden una parte de la clave, por lo que ne este tipo de ataques encesitan que operes unas cuentas veces en la pagina faltsa para uqe puedan hacerse con toda la informacion..
 
Iniciar sesión o registrarte para responder aquí.

Similar threads

V
Tras la oleada de ciberataques a empresas, llega el 'turno' de los clientes: "Nos engañaron porque tenían datos que sólo sabía nuestro banco"
Respuestas
1
Visitas
193
Buscavidas cínico
Buscavidas cínico
D
BOOOOOM. Apple, Google y Microsoft se van a cargar las contraseñas.
2 3
Respuestas
33
Visitas
3K
Domm
Domm
E
Cómo proteger tu privacidad y seguridad al escanear códigos QR
Respuestas
0
Visitas
214
Eva Luna
E
A6M Zero
Dos senadores denuncian una trama de venta de datos gestionados por la Administración
Respuestas
0
Visitas
154
A6M Zero
A6M Zero
Cuenta cuento
Problemas graves para Coinbase: unos hackers consiguen robar criptomonedas a 6.000 usuarios tras saltarse todas las medidas de seguridad de la plataf
Respuestas
2
Visitas
154
Anka Motz
Anka Motz
Volver