El caso de phishing al Banco Santander empez a sucederse desde el ao 2007, ao tras ao se registran varios casos de estafas al banco mediante

ste mtodo, en el cual muchos clientes son afectados, a continuacin presentamos un caso que sucedi en Chile en el ao 2010. A muchos clientes del banco les lleg un mensaje de correo como el siguiente:

Es muy importante a leer. Puede ser que Usted haya notado que la semana pasada nuestro sitio www.gruposantander.cl funcionaba inestable y se observaban frecuentes intermitencias. Hemos renovado nuestras instalaciones bancarias y ahora el problema est resuelto. Pero para una capacidad de trabajo correcta de sus cuentas bancarias, le pedimos a Usted introducir los detalles completos de la cuenta para que pudamos renovar nuestra base de los clientes y comprobar nuestro sistema nuevo de proteccin de los datos. Tome este enlace santander.cl para verificar sus datos bancarios. Esta carta es automaticamente mandada a cada cliente del Banco Santander Central Hispano, no hay necesidad a responder. Con respeto, El servicio del mantenimiento tcnico del Banco.
El enlace resaltado santander.cl, apuntaba a "http://vaisver.com/1000imagenes/", lo que obviamente no corresponde a un sitio del Santander. Si vamos al detalle tcnico del mensaje y revisamos los headers, podemos encontrar que el correo fue enviado desde la direccin IP 67.255.202.16 correspondiente al host host.eemporio.com, la direccin IP corresponde a Grecia. En esta direccin se encontraba una sitio que imitaba al login del Banco Santander, como se muestra a continuacin:

En esta direccin la vctima introduca sus credenciales de acceso al servicio online del banco. El usuario sin darse cuenta de que la pgina no es la que aparenta ser, ingresa sus credenciales que le ha proporcionado el Banco Santander. Estas credenciales se envan al estafador, el cual ya tiene posesin de las cuentas de la vctima. Para este caso, las prdidas de los clientes ascendieron a la suma de 1,5 millones de dlares. Luego de una larga indagacin por parte de la Brigada del Ciber Crimen de la Polica de Investigaciones de Santiago, se logr apresar a un joven de 23 aos, cabecilla de una red de fraudes informticos, responsables de estafar a clientes del banco por la suma de 1 milln de dlares. Pero cada ao, el Banco Santander es vctima de ataques de ste tipo. Segn Kaspersky Lab, el Banco Santander se ha convertido en el quinto objetivo ms atacado por los phishers, siendo el blanco del 6,09% de los ataques. Actores Identificamos tres participantes: - El usuario: Persona afectada por la estafa. - El estafador: La persona o personas que son responsables de crear el fraude. - La entidad en la cual el usuario confa.

Causas La principal causa es la desinfomacin por parte de los clientes del Banco, pues deben ser advertidos que el banco no enviar correos electrnicos ni enlaces a los clientes. Actualmente, el Banco aclara sto en su pgina oficial www.santander.cl :

Pero en general las personas caen en el fraude por el hecho que no saben distinguir una pgina fraudulenta de la original. Sera muy importante brindar al usuario facilidades para poder diferenciar este tipo de casos y evitar as la estafa, por ejemplo, al ganar un cliente o usuario sera ideal brindarle algn tipo de capacitacin para esos casos, sobre todo si el sitio es vctima de frecuentes ataques. Deteccin La deteccin se realiza por medio de denuncias de este tipo de fraudes a la entidad afectada, cuando alguna persona se da cuenta del fraude. Los usuarios pueden darse cuenta de la estafa, mediante la recepcin misma del correo y el enlace en el mismo. Adems, los navegadores pueden ayudar a la deteccin, advirtiendo con un mensaje al usuario.

Las acciones a tomar luego de la deteccin del phishing son: Renombre todas las imgenes de su sitio que son utilizadas por los sitios falsos, para que estos ya no logren mostrarlas y el usuario vea como resultado al hacer click en los enlaces forjados un sitio falso sin imgenes o al menos sin algunas de ellas (el logotipo y las imgenes que identifican la pgina son las ms importantes). Denuncie las direcciones falsas usando las funciones de los navegadores Internet Explorer, Google Chrome y Opera . Si usa Firefox ser igual que usar Chrome ya que acceden ambos a la misma base de datos de sitios ofensivos. Cada sitio debe ser denunciado en los tres navegadores ya que cada uno de ellos usa bases de datos diferentes. Obtenga la informacin necesaria de los proveedores de hosting en los cuales se encuentran los sitios falsos mediante Reverse DNS Lookup de las direcciones asociadas al ataque, y ubique la cuenta de correo destinada a denuncias de abuso. Casi siempre tiene el formato "abuse @ proveeedor.com". Denuncie el abuso con pruebas y direcciones a cada una de estas cuentas. Si logra ubicar nmeros de telfono con los cuales contactar a los proveedores no dude en usarlos. Este tipo de detalles se podr obtener tambin mediante consultas WHOIS o nsLookup. Recuerde que este tipo de ataque es penado seriamente por la

ley en muchos paises y el hecho de que un proveedor de hosting o ISP se niegue a ayudarlo puede ser causa de una denuncia por complicidad. Normalmente sern muy receptivos con su solicitud. Tambin pueden ofrecerle direcciones en las que se encuentran formularios para denuncias. Llnelos a la brevedad posible. Llene el receptculo de datos del atacante con informacin falsa. Hgalo llenando los datos solicitados como si fuera un usuario incauto, manualmente desde varios equipos mientras prepara un script "bot" para hacerlo de forma automatizada. Trate que la informacin que introduce en los formularios sea creble. Esta tcnica podr ocultar a los usuarios incautos entre montones de datos falsos por un tiempo prudencial. Adems con ella usted est comprando tiempo para que sus usuarios puedan cambiar de password si sospechan que han sido engaados. Por otro lado si ejecuta el script gran cantidad de veces pudiera lograr que alguno de los servicios del sitio falso dejen de funcionar. Algo parecido a una negacin de servicio defensiva. Todas estas tcnicas deben ser implantadas por un tiempo prudencial de 24 horas sin parar, hasta que las denuncias en las listas de phishing se hagan efectivas y ya los navegadores protejan al usuario con la tpica pantalla roja de seguridad. Sin embargo si el ataque es distribuido, con un nmero muy alto de sitios falsos usted necesitar aplicar tcnicas de defensa mucho ms potentes y quizs no tan ticas. Generar un DoS mediante Loic o Hping puede ser una solucin rpida, pero deber estar muy seguro de a quien ataca y preferiblemente hacerlo desde una red externa a la entidad esperando un contraataque. Recuerde que la idea es proteger a sus usuarios antes que nada, el resto son asuntos que puede dejar para otros departamentos cuando sus usuarios estn seguros. Prevencin - Mantener informado al usuario sobre ste tipo de ataques. - Informar sobre las vas de comunicacin posibles con el cliente. - Asegurar el sitio mediante SSL/TLS con un certificado de una entidad certificadora. Por parte del usuario: - Desconfiar de este tipo de mensajes. - No proporcionar informacin a los sitios a los que dirige el correo sospechoso. - Preguntar a la entidad en caso de dudas. - Verificar que se est en un sitio seguro. - Optar por un navegador que tenga proteccin anti-phishing y mantenerlo actualizado. Referencias - http://blog.zerial.org/seguridad/phishing-a-banco-santander/ - http://sadymaureria.wordpress.com/2010/05/03/no-se-deje-enganar-con-el-phishing-delbanco-santander/ - http://www.santander.cl - http://www.vsantivirus.com/phis-gruposantander-220306.htm - http://www.pcactual.com/articulo/actualidad/noticias/9194/

banco_santander_entre_los_principales_objetivos_del_phishing.html - http://seguridad.internautas.org/html/451.html - http://www.zonavirus.com/articulos/por-que-funciona-el-phishing.asp - http://www.e-securing.com/novedad.aspx?id=67