Alerta! "de pesca" en Caja Madrid

Echad un vistazo al siguiente enlace, sobre todo si sois clientes de Caja Madrid:

Desde el medio día del sábado 4/12/2004 se han detectando envíos de un nuevo engaño en forma de correo electrónico con la intención de obtener las claves de acceso a las cuentas de clientes ("phising") de Caja Madrid de España. El sitio web que suplanta la entidad referida se encuentra ubicado en Polonia

http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4529

Hace un par de meses me sucedió algo parecido con el banco naranja, y creo recordar haber leído algún comentario al respecto en el foro, pero no me quedó clara la cosa. De todas formas luego cambiaron la forma de acceso, y pienso que ahora es más segura, pues ahora no hay que "teclear" ninguna parte de la contraseña...

Hace tiempo me puse en contacto con Uno-e para sugerirles que modificaran la forma de acceso: no me parece muy seguro que para acceder haya que introducir todos los dígitos de la tarjeta de débito. Aún estoy esperando su respuesta...

Supongo que estaremos todos de acuerdo que el tema de la seguridad es FUNDAMENTAL en la banca electrónica, no?

Echad un vistazo también a este otro enlace sobre seguridad en la red:

http://alerta-antivirus.red.es/utiles/ver.php?tema=U&articulo=12&pagina=0

Nuevo método de "phishing" aprovecha característica de los navegadores -
Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 13 de diciembre de 2004 - Secunia ha dado a conocer un método de ataque que es posible reproducir en la mayoría de los navegadores -como Internet Explorer, Mozilla, Firefox, Opera, Konqueror y Safari-, y posibilita la realización de fraudes, especialmente de "phishing".

El citado método se basa en la posibilidad de que un sitio web malicioso incluya código en la ventana de otro sitio web legítimo, si el nombre de dicha ventana es conocido. Esta característica podría, por ejemplo, ser aprovechada para modificar el contenido de una ventana pop-up abierta desde un sitio web legítimo. En la práctica, un usuario que tuviera dos sitios web abiertos en su sistema -uno del atacante y otro legítimo-, podría pinchar un enlace en la web legítima para visualizar contenidos en una nueva ventana, que podría ser falseada por la web maliciosa.

El referido ataque podría comenzar con un e-mail falso que el agresor mandaría al usuario con un enlace que abra dos páginas: la real de una entidad bancaria, y la del agresor. La víctima visualizaría la página auténtica de la entidad bancaria, y al pinchar en un enlace de ella se mostraría una ventana pop-up, con el logotipo de la entidad e imagen corporativa, solicitando el nombre de usuario y la clave de acceso. En realidad, esta ventana sería abierta por el sitio web del atacante que se encontraba en segundo plano, por lo que los datos que se introduzcan en ella irán a parar directamente a sus manos.
Existe cierta controversia sobre si es posible utilizar dicho método debido a una característica legítima de los navegadores, o a una vulnerabilidad. En cualquier caso, el método es totalmente funcional y podría ser aprovechado a corto plazo en nuevas estafas de tipo "phishing".

De momento no existen actualizaciones o parches para evitar ser víctimas del referido ataque. Por ello, se recomienda no mantener abierto más de un sitio web al mismo tiempo mientras navegamos con información confidencial tal y como sucede, por ejemplo, con los servicios de banca electrónica.
Información adicional en el aviso de Secunia, disponible en:

http://secunia.com/secunia_research/2004-13/advisory/

------------------------------------------------------------
5 virus más detectados por Panda ActiveScan, antivirus online gratuito de Panda Software: 1)Downloader.GK; 2)Mhtredir.gen; 3)StartPage.FH; 4)Mabutu.A; 5) Nestky.P.
------------------------------------------------------------