Los Mossos de Esquadra apuntan en su último informe el significativo aumento de los delitos derivados de ciberestafas en banca on-line.
Hay unos patrones comunes en este tipo de ciberestafas como son el alto componente de ingeniería social y los vectores de ataque en base campañas de Phishing / Smishing masivas e indiscriminadas...
Este post recoge consejos técnicos para reducir significativamente tu riesgo sistémico a ser víctima de una ciberestafa:
Utiliza firefox multi-account containers
Si utilizas el navegador Firefox, activa la extensión de navegador "Multi-account containers", crea un perfil "bancos" e incluye en él las URL de tus bancos y servicios financieros.
A partir de entonces, cada vez que entres la URL de tu banco, firefox abrirá una pestaña nueva, aislada del resto de pestañas y estanca (no comparte cookies, ni otra información con otras pestañas)... Es como si tuvieras un navegador "de uso exclusivo para el banco".
De esta forma garantizas varias protecciones:
La navegación en la web de tu banco será "Invisible" para las otras pestañas. Tus cookies no serán accesibles / visibles a otras webs que no sean las que están en el perfil "Bancos"
Identificarás más facilmente un ataque phishing puesto que la supuesta web del banco NO se abrirá en el perfil "Bancos" (ya que tiene una dirección web que puede parecerse pero es siempre diferente).
Borra cookies
Configura tu navegador para que cada vez que lo cierres se eliminen las cookies. Esto te protegerá ante ciberataques dirigidos a capturar las cookies de sesión de tu banco (que permitirían abrir la sesión desde el ordenador del atacante).
Tarjetas virtuales / temporales
Varias entidades permiten crear tarjetas temporales vinculadas a tu tarjeta de crédito. De esta manera puedes hacer un pago a través de una tienda on-line y una vez realizado la tarjeta vence y se elimina.
Si algún día la tienda on-line en la que has comprado es hackeada, los datos de tu tarjeta de crédito serán inservibles para el atacante. La tarjeta que utilizaste era de un sólo uso y venció tan pronto acabaste la compra.
Instala la extensión uBlock origin
uBlock origin es una extensión para el navegador Firefox que permite bloquear el acceso a dominios que estén notificados como potenciales fuentes de phishing / malware.
Si llegaras a caer en un ataque de Phishing clickando en un enlace malicioso, uBlock bloquearía el acceso a la página del atacante y protegería tus credenciales.
Si quieres complementar las listas de bloqueo por defecto, te recomiendo instalar OISD (www.oisd.nl), Log4j Attackers también en uBlock.
Firewall & block lists
Instala un firewall en casa y añade una blocklist de protección contra ataques de Phishing / Malware.
De esta forma el firewall bloqueará cualquier intento de acceso a webs maliciosas o conocidas como plataformas de Phishing.
Las listas pueden ser dinámicas, por lo que se van actualizando a medida que los hackers van creando nuevos ataques.
Para entornos domésticos / pymes recomiendo Firewalla ( increíblemente útil en entornos domésticos también para proteger a tus hijos de contenidos peligrosos) y la listas de bloqueo OISD (www.oisd.nl), Log4j Attackers o bloquear dominios de "reciente creación" (evidentemente los dominios de Phishing no son persistentes, bloquear dominios recién creados es una estrategia efectiva).
Monitoriza credenciales filtradas
Cada día hay nuevos ciberataques y bases de datos comprometidas que se comercian e intercambian en la dark-web.
Hay servicios que detectan si tus datos (nombre, dirección, email, teléfono) están siendo comercializados.
No te han atacado a ti, pero sí a un servidor que tiene tus datos y que contiene la materia prima para lanzar el ataque (tus datos personales).
Obtener una notificación a tiempo, te permite estar prevenido y saber que eres susceptible de ataques.
Have i been pwned? es uno de los servicios gratuito de referencia, con sólo poner tu email verás el grado de riesgo vinculado a tus datos.
Alias email:
La mayoría de ataques de Phishing empiezan una base de datos ya comprometida (p.e: la de tu supermercado donde tienes una tarjeta de fidelización con tu nombre, apellidos, email, teléfono,..) y un hacker con ganas de hacer el agosto...
El objetivo de este consejo es evitar que tus datos queden FUERA del alcance del hacker.
Si para acceder a tu cuenta de banca online utilizas un email como "usuario", vamos a crear un email que sólo tu y tu banco sabréis y que por tanto será inmune a que tus otros datos sean comprometidos.
Alias Email permite crear una cuenta de email (para un servicio único y específico) y redireccionar los correos entrantes a un email real. Puesto que sólo el banco sabe mi Alias Email difícilmente esta información será susceptible de ser filtrada o comprometida.
Su fuerza radica en NO compartir NUNCA el Alias Email para ningún otro servicio.
Nadie más que el banco y tú sabéis la existencia de ese Alias Email que utilizas para identificarte como "usuario", y puesto que lo has creado Ad-hoc nunca será susceptible de ser filtrado y/o comprometido desde otra base de datos (como la del supermercado que comentábamos antes).
Si eres usuario de Apple tienes en iCloud un servicio de Alias Email ilimitado y gratuito.
Número de teléfono único:
Siguiendo la estrategia de Alias Email, puedes crear números de teléfono virtuales y vincularlos de forma exclusiva a cada servicio crítico.
Plataformas como Twilio.com o Google voice te permiten crear números de teléfono virtuales y vincularlos a tu teléfono mediante una APP.
Crea un número nuevo y asocialo a tu perfil de banca on-line como número de contacto a tu banco.
A partir de este momento, sabes que tu banco nunca te llamará o te enviará mensajes a tu número habitual, sino que SÓLO lo hará por el canal exclusivo que has creado. Si recibes llamadas por tu número habitual, puedes sospechar.
Como el número creado es exclusivo para el banco y no lo has compartido con nadie más difícilmente tus datos de contacto bancarios serán susceptibles de ser filtrados y/o comprometidos.
Revisa permisos y vías de comunicación
Accede a tu banco on-line, revisa los permisos y vías de comunicación habilitadas. Actualiza tu perfil con el Alias email y el teléfono virtualizado que has creado.
Prioriza las notificaciones PUSH vinculadas a la APP del banco sobre la comunicación vía email y/o SMS.
Ten en cuenta que para el atacante es mucho más fácil falsear un SMS o un email que hacerlo con una notificación Push de la APP.
Cuidado con guardar credenciales en la agenda de contactos
Es habitual utilizar la agenda de contactos como "cajón de sastre" y más allá de guardar el teléfono, dirección y nombre de nuestro gestor... en "notas adjuntas" se guarden las credenciales de acceso (usuario y contraseña) a los servicios de banca on-line.
Craso error!!! piensa en la cantidad de veces que al instalar una APP has dado permisos de acceso a la agenda de contactos... y que muchas de esas APP monetizan su servicio vendiendo tu base de datos de contactos a "Data Brokers" que a su vez lo revenden al primero que pase por la puerta con dinerito en el bolsillo....
Te puedes imaginar que las credenciales guardadas en la agenda de contactos es de dominio muuuuucho más público de lo que crees.
Para guardar adecuadamente tus credenciales, te recomiendo utilizar un Gestor de contraseñas como BitWarden (freemium) o ProtonPass (vinculado con la licencia Proton). La opción de Proton incluye también un servicio de Alias Email, así que puedes tener un dos en uno (quien da más :-))
Bonus track:
Congela tu crédito / Credit Freeze
En EEUU los usuarios tienen la opción de solicitar a una entidad supra-bancaria el bloqueo voluntario de su crédito.
De esta manera te proteges ante ataques de suplantación de identidad para dar de alta créditos o tarjetas de crédito.
Sería interesante que la asociación bancaria en España implementara y divulgara herramientas como ésta.
Комментарии