Atención: emails diseñados para fraude bancario

16 Ene 2004 en Seguridad

Durante los útimos días, un gran número de usuarios están recibiendo correos electrónicos en los que se les indica que, debido a algún tipo de problema, deben acceder a una página web para verificar sus datos bancarios.
Uno de los más conocidos es el que hace alusión a cuentas bancarias de la conocida entidad CITIBANK, que suele llegar en un mensaje con el asunto: “Important Fraud Alert from Citibank”. En el cuerpo del mensaje se afirma que, debido a una serie de operaciones efectuadas para detectar la presencia de cuentas bancarias relacionadas con actividades ilegales, es necesario que el usuario compruebe si todos sus datos son correctos, para lo cual debe acceder a una dirección web.
Todos estos correos electrónicos son falsos y su objetivo es engañar a los usuarios de forma que introduzcan datos confidenciales, tales como números de cuentas, nombres de usuario, passwords o códigos secretos.
Para ello, en muchas ocasiones, los mensajes ha sido construidos cuidadosamente en formato HTML para simular el aspecto de conocidos servicios de banca online y conseguir que el usuario no sospeche que lo que ha recibido, en realidad, es un peligroso intento de fraude.
Además, estos e-mails han sido diseñados para aprovechar la vulnerabilidad URLSpoof -aún no corregida- del navegador Microsoft Internet Explorer. La misma permite hacer creer al usuario que la dirección de Internet a la que esta accediendo -desde el e-mail recibido- pertenece a un banco, aunque, en realidad, la página a la que el usuario ha entrado esta alojada en otro lugar, diseñado para que su aspecto y funcionalidades sean muy similares a las del original.
Así, en caso de que el usuario introduzca los datos solicitados, éstos irán directamente a manos del usuario sin escrupulos que ha diseñado tanto el e-mail como las páginas falsas. De esta manera, podrá cometer fraudes financieros de forma fácil y rapida.
Por ello, Panda Software recomienda extremar las precauciones ante cualquier comunicación que parezca venir de una entidad bancaria y que solicite datos confidenciales, ya que, con mucha probabilidad, podría tratarse de un fraude. En cualquier caso, antes de introducir ningún tipo de información es conveniente ponerse en contacto con la entidad bancaria que, supuestamente, ha enviado el mensaje.
Sin embargo, y dado el gran número de e-mails fraudulentos que se encuentran en circulación, Panda Software ha puesto a disposición de sus clientes las correspondientes actualizaciones de sus productos para detectar y neutralizar cualquier intento de aprovechamiento de la mencionada vulnerabilidad de Internet Explorer. Las mismas pueden ser descargadas desde la dirección http://www.panda-argentina.com.ar
Puede consultarse más información sobre la vulnerabilidad URLSpoof en la Enciclopedia de Virus de Panda Software.