lunes, 26 de enero de 2009

Mobile Phising - o como cazar incautos con el celular

Las estafas telefónicas tienen ya larga data y deben resultar muy lucrativas (considerando la cantidad de bandas dedicadas a hacerlas). Aunque tienen multitud de variaciones, siempre la idea es convencer al cliente que ganó algo especial para que entregue minutos de tarjeta telefónica o concurra físicamente a algún lugar a entregar especies o ser asaltado.

Hoy mismo recibí un mensaje intentando cazarme. Es más o menos así



+569

Ha ganado un notebook. Para activarlo
llame al XXXXXXX, y participe en el
sorte de una casa

www.entelpcs.cl



De inmediato sospeché, y revisé el número desde el cual fue enviado el mensaje. Obviamente no era el +569. Sin embargo, el mensaje no era de texto plano, sino que era multimedia, y dicho número venía en un encabezado azul. Para una persona incauta, es muy fácil caer y pensar que el mensaje fue en efecto enviado desde el número 569, suponer que es de una fuente "confiable" (pues no parece ser un número accesible para cualquier persona), y creer cualquier cosa que le diga el sujeto al otro lado de la línea.

Esta situación se parece mucho al phishing practicado en la web. La idea básica detrás de este engaño es capturar al usuario mediante un link que dice "Banco X", y llevarlo a una página que se vea igual a la del banco, pero que tiene otra URL, pues el texto de un link no tiene necesariamente que apuntar a la misma dirección que se muestra. Una vez en el sitio, el usuario ingresa sus claves de acceso y estas son utilizadas por el estafador para el fin que se haya propuesto. Si bien es cierto con las disposiciones respecto a usar tokens electrónicos para las transferencias es dificil que a alguien le roben dinero directamente por este medio, usando esta técnica se puede obtener información útil para estafas, tal como acceso a e-mails con datos privados, cuentas de facebook con datos personales, u otra información similar.
Para combatir esta estafa, los navegadores modernos han implementado un "phising filter", que consiste en aplicar una serie de técnicas de análisis sobre los datos enviados y el origen de los mismos, de manera de evitar este tipo de engaños (o, al menos, hacer que no resulten tan simples).

Creo que las empresas de telefonía móvil debiesen tomar medidas similares a este respecto. Resulta viable la implementación de un filtro que verifique la consistencia entre cualquier número telefónico que aparezca en el mensaje y el número enviante. Si estos no coinciden al menos debiese agregarse al título del mensaje una alerta de sospecha de mensaje falso (similar a lo que hacen los filtros spam en los clientes de correo).
Otras alternativas de verificació de autenticidad son:

- Que si el mensaje contiene alguna URL (ej: www.entelpcs.cl), el número enviante tenga alguna relación con quien es dueño de la misma. El cruce de datos entre nic y los registros no es dificil.
- Crear un listado de emisores de promociones validado por las empresas de telecomunicaciones, y que sean los únicos que puedan enviar palabras promocionales, tal como "gane", "compre", "ganaste", "premio", etc. Mal que mal, dudo mucho que un amigo use esas palabras en un mensaje.

Estas simples medidas ayudarían mucho a evitar estafas telefónicas, pues si una persona está sobre aviso será más cauta a la hora de entregar información o ponerse en manos de estafadores. Y creo que, tal como la industria de la web y el e-mail hacen esfuerzos por hacerse cada día más seguros, la telefonía móvil ha quedado significativamente atrás en este tema. Dado que es uno de los segmentos que más ha crecido y que va a seguir creciendo, las empresas del área tienen una responsabilidad sobre esta materia. Para hacer un simil con el mundo real, imaginen que yo arriendo un local y pongo toda la imagen corporativa de un banco real. ¿Alguien dudaría en hacer un depósito en dicho lugar? Por supuesto que no, puesto que confía en que alguien (Municipio, Banco, etc.) evita que eso pase. Los responsable en el mundo virtual están tomando cartas en el asunto. Es hora que los responsables de nuestras comunicaciones móviles sigan el ejemplo

No hay comentarios: