Al phising lo que es del phising

Estaba planchando y se me ha ocurrido eso que el gran Hugo llamaría una killer feature. En realidad es uno de esos inventos que podrían cambiar el curso de la Historia, etcétera, etcétera.
Todo aquel que tenga dos dedos de frente se ha enterado de cómo el spam y el phising (robo de datos bancarios por la red) han conseguido ese volumen de cuentas de email. Se apoderan de esos correos en cadena que la gente suele reenviar a todos los contactos y que van dejando una ristra interminable de listas de emails de usuarios de la informática no demasiado avezados. Esos son las mejores víctimas posibles para los intentos de estafa mediante el phising y el bombardeo de publicidad con el spam.
Y a todo esto, se me ha ocurrido una idea que bueno, tal vez no tenga nada de nueva. Y que paso a exponer:
Desafortunadamente, desde que tengo Gmail, no me llegan mensajes de phising a mi cuenta de correo. Siempre me han gustado, tienen su punto retro. Cuando antes me llegaban mensajes de phising, lo que hacía era lo que todo el mundo que controle un poco debe hacer, introducir mis datos en el formulario que ellos me piden, tal y como ellos solicitan. El problema está cuando te piden que rellenes tus datos para acceder al Santander Central Hispano y tú sólo tienes una cuenta de Caja Madrid. En ese caso, no te queda otra opción que inventártelos. Si tuvieras cuenta, la verdad es que también tendrías que inventarte los datos.
Tras tu introducción de datos, surge todo un proceso al otro lado de la línea. La empresa de phising se encarga de tomar esos datos, comprobarlos y tratar de sacar el máximo dinero posible. Tu acción servirá para tener entretenido durante unos segundos a un cabronazo que se dedica a estafar a la gente.
Pero el detalle que me se ha ocurrido mientras planchaba es el rizar el rizo: tomar a todos los contactos que tengas en tu lista de correo, aquellos que creas que tienen más o menos luces y saben por donde van los tiros, y reenviarles el email de phising. Con la consigna de que hagan lo mismo que tú: rellenar con datos inventados y reenviar a más gente.
Usando usuarios dispersos por todo el mundo, cada uno con una dirección IP, a distintas horas del día, los cabronazos del phising no podrán percibir qué mensajes son ciertos y cuales no. Pueden recibir un reguero de salvas falsas, de supuestas cuentas de banco que no se correspondan con la realidad. Si el mensaje corre lo suficiente, digamos que le llega a mil personas informadas que han seguido esta cadena de reenvíos, tener que comprobar mil veces si una cuenta es real o no, puede llevar la verdad mucho tiempo. No es el tipo de comprobaciones que se puedan automatizar con un robot (salvo que los sistemas de los bancos sean totalmente inseguros, algo tampoco descartable). Tiene que haber un tipo metiendo a mano usuarios y contraseñas inventados, totalmente machacado ante el continuo engaño.
Así, esa es la idea: la próxima vez que te llegue un mensaje de phising, rellena y reenvía explicando lo que hay que hacer. He dicho.

4 comentarios en «Al phising lo que es del phising»

  1. mejor sigue planchado…
    Me temo que el Señor Pedro Phising, no introduce los datos a manubrio.
    [Comentario zrubavel: No estoy de acuerdo porque:
    a) Un sistema “seguro”, como el que tienen que tener los bancos en su página de acceso, debe ser capaz de detectar que desde una misma dirección IP se han producido varios intentos casi simultáneos de acceso a cuentas de diferentes usuarios (ciertos o no). Tiene que poner una medida para evitar que un robot haga esto. Si Hotmail o Gmail tienen sistemas que impiden todo esto, lo menos que se puede esperar de un banco es que haga lo mismo.
    b) Se tiene una idea un tanto exagerada del phising, como una enorme corporación, en Rusia, con grandes servidores y hackers que son los nº 1 de su promoción en la Ingeniería Informática. La realidad es que en muchos casos son usuarios avanzados desde cutres cibercafés de Timisoara o un listillo de un barrio pobre de Buenos Aires, con una conexión lenta y una red que consta de tres o cuatro personas. Para intentar engañar a alguien con el phising no hace falta mucha tecnología, más bien casi ninguna.]

  2. ¿Por qué todo el mundo escribe ‘phising’ cuando quiere decir ‘phishing’? ;)
    [Comentario zrubavel: Ni siquiera me había dado cuenta de que se escribían distinto. Según parece lo más correcto es lo segundo (lo que no he puesto) pero la otra forma también se acepta (lo cual no es muy lógico, todo sea dicho) por lo menos en castellano.]

  3. Un par de comentarios a lo que decís:
    1) se escribe phishing, que viene de to phish, pescar in english, ya que el timo funciona de forma muy parecida a la pesca: se tira el anzuelo (correo) en la inmensidad del agua (internet) y se espera a que alguien pique. Evidentemente, la probabilidad de que alguien pique es muy pequeña, pero como hay muchos peces en el agua…
    Se pierde el sentido y la idea del método si se escribe mal.
    Cuando se dice que “se acepta phising”, me pregunto quién lo acepta. Evidentemente, no la Real Academia a la que este tema, de momento, se la pela. Otra cosa es que se haya popularizado una forma incorrecta de escribirlo, pero…
    2) El envío de correos-cadena, o hoax, no es el método habitual para pillar las direcciones de mail del personal. De hecho, el hoax no tiene más explicación que la mala fe de algunos pobres imbéciles, el afán de notoriedad de cretinos aburridos o alguna morbosa explicación de tipo psicológico (y esta parte que se la curre algún discípulo de Freud, que yo paso).
    De igual modo que cuando se enviaban hace años las famosas cartas-cadena (“si no envías esta carta a 10 personas te pasarán cosas horribles…”) no había ningún afán de recolectar direcciones. Ha cambiado la tecnología usada, eso sí.
    De hecho, si yo recibo un hoax por correo de un tonto y se lo envío a 10 personas, ¿cómo/quién/cuándo va a pillar las direcciones a las que lo envío?
    El método habitual para recolectar direcciones de correo es a través de formularios en los que metemos nuestros datos para, teóricamente, bajarte tal o cual crack o programilla de gorra o bien, el uso de “robots” llamados knowbots que no son sino programas que rastrean la web en busca de páginas en las que aparezcan direcciones de correo. Por eso, en algunas páginas aparece una imagen con la dirección de correo (aunque, si se pone un enlace del tipo “mailto” en la imagen, se sigue pudiendo rastrear).
    Una de las normas básicas contra el correo no deseado es no contestar nunca, porque si se hace esto se sabe ya que esa dirección está activa y hay alguien detrás que la usa con asiduidad, aún así, si alguien se quiere dedicar a contestar a estos correos y meterse en las URL’s que incluyan que tenga cuidadín porque es una forma habitual de infección con troyanos y, en general, todo tipo de malware. Pero allá cada uno.
    Un consejo al padre de la idea: como planches igual que discurres, tienes que tener la ropa con más quemaduras que el Windsor ¡concéntrate en planchar, colega!

Los comentarios están cerrados.