Ayuda me han vaciado la cuenta

Iniciado por jonpeter, 23 Marzo 2012, 09:12 AM

0 Miembros y 1 Visitante están viendo este tema.

jonpeter

Hola, escribo aqui porque necesito ayuda real, no simples y estupidos argumentos de Bancaja.

Pues vereis, hace como 5 meses a mi hermano le robaron mediante phishing imitando una pagina de paypal, escribio su numero de tarjeta en paypal porque era una de las primeras veces que lo usaba y resulta que no era realmente paypal. Con suerte en breve le devolveran el dinero.

Ahora viene algo mas grave y creo que tambien mas complejo. A mi otro hermano, ayer le vaciaron la cuenta bancaria, 1800€, tambien Bancaja.  Esto ya fue mas "profesional", a traves de bancaja online movieron 1800€ de su cuenta a una cuenta de una chica española de un pueblo de Madrid. Usaron su firma online (creo que una password alfanumerica y nombre de usuario), la alerta sms que recibe mi hermano en el movil si hay algun movimiento bancario, se retraso exactamente tres horas.

Me gustaria que me dijerais que contramedidas deberiamos usar para prevenir esto. El tema del phishing esta claro que uno pone atencion donde clickea o se repetira.

Se que quiza este no es el foro mas adecuado para este tema, pero seguro que aqui la gente me da unas recomendaciones muy superiores a las de otros foros.

Gracias, Pablo.

$Edu$

Lo primero fue phishing si y lo segundo fue un keylogger.

Con el phishing te digo que no es solo mirar donde clickeas tambien hay veces que estas entrando a www.pagina.com pero en realidad entras a www.webfalsa.com y no te das ni cuenta.

Lo del keylogger es un malware (programa malicioso) que se ha infectado a tu pc, tomando todos tus datos como contraseñas guardadas o va guardando las contraseñas que vas ingresando y asi enviarlas por email o por donde sea, para que le llegue al atacante.

Lo que te quiero decir es que es algo muy comun, asi como tu hermano, les pasa a muchisimos.
Como prevenir esto, bueno.. analizando con un anti-malware y antivirus tu pc cada tanto, y aprender algo sobre seguridad para poder encontrar los malwares manualmente ya que a veces un antivirus te dira que tu pc esta limpia pero puede que no. Y tambien aprender seguridad porque no te podriamos dejar todo lo que se puede hacer, eso ya te toca a vos aprenderlo por si mismo.

Yo no he usado nunca datos de cuentas de banco o cosas asi en mi pc ni en ninguna otra, una porque no tengo ninguna xD y otra porque se lo que le pasa a muchos, entonces no me fio.

Pero te digo.. cuando tenga que usar algo de eso, tendria una computadora a parte, recien formateada para entrar solo a esa web y nada mas. Algunos diran: No es para tanto! , pero es lo que haria yo.

ps3ps3ps3

Vaya movidon,pero tengo una pregunta,si dices que los 1.800 euros fueron a parar a una cuenta de una chica de madrid,no puedes comentarlo a la policia y que miren quien es la persona que ha sacado el dinero de esa cuenta?? Tan facil es hacer un phising y llevarse el dinero,joder? xD Saludos.

Spider-Net

Para eso están los certificados SSL, lo que pasa es que no los tenemos en cuenta. Cuando entras en una página de un banco, de Paypal o de cualquier otra entidad importante justo al lado de la URL verás el certificado SSL, que certifica que la empresa es quien dice ser y no una página de phishing. Es importante que cada vez que entramos y vamos a poner nuestra clave en una web importante comprobemos que el certificado SSL es correcto o al menos, cuando vemos algo sospechoso, algún lugar donde nos piden la clave o las coordenadas o cualquier información que consideremos sospechosa. Es  importante verificar el certificado SSL para evitar que pasen estas cosas.

Algunos ejemplos de certificados SSL:





También recomiendo tener una cuenta en alguna entidad como Cajasol o cualquier otra que permita realizar pagos mediante ViniPaga.

Citar¡Ahora, desde Cajasol Directo, ya puede crear tarjetas virtuales VINI PAGA!
De esta forma, ampliamos el catálogo de operaciones de la banca electrónica, y reforzamos las medidas de seguridad anti-phising que ofrecemos a nuestros clientes.

ViniPaga es una herramienta muy útil que te permite crear una tarjeta VIRTUAL MasterCard que te permitirá hacer pagos por internet como si de una tarjeta real se tratase. La diferencia es que puedes limitar tanto el importe máximo que puede utilizar esa tarjeta, como el tiempo de caducidad, entre 1 y 6 meses.
Por lo tanto si compras un artículo de 50€ y le pones a la tarjeta un límite de 50€, aunque alguien capturase el número de esta tarjeta virtual, el número de seguridad, la entidad y todo lo demás no podría hacer nada con ella, puesto que una vez consumido el importe límite la tarjeta ya no permite gastar un euro más. Igualmente una vez pasa la fecha de caducidad (que repito, puede ser de solo un mes), la tarjeta deja de funcionar. Por lo tanto es una forma muy segura de hacer pagos por internet, y yo lo recomiendo encarecidamente.


A parte es importante tener un sistema de antivirus actualizado, evitar poner tus claves importantes en lugares públicos como cyber-cafés, universidades, institutos, etc y usar el teclado virtual que usan muchas entidades bancarias para introducir la contraseña, para evitar de esta forma la captura de nuestra clave mediante keyloggers.




Siguiendo todos estos consejos, al menos reducirás bastante las posibilidades de que vuelvan a robarte mediante banca electrónica.

ps3ps3ps3

Claro,para algo esta sslstrip,casi nada es seguro,y menos el dinero,las compras y cosas asi por internet como no sepas bien asegurarte las espaldas te pueden ventilar el dinero rapido... lo mejor es meter a mano el https antes del www.loquesea.xxx

Saludos.

Spider-Net

#5
Cita de: ps3ps3ps3 en 26 Marzo 2012, 03:29 AM
Claro,para algo esta sslstrip,casi nada es seguro,y menos el dinero,las compras y cosas asi por internet como no sepas bien asegurarte las espaldas te pueden ventilar el dinero rapido... lo mejor es meter a mano el https antes del www.loquesea.xxx

Saludos.

SSL no es la única medida de seguridad que he mencionado, creo que he mencionado varias más. De cualquier manera la mayoría de webs de phising son una chapuza, algunas muestran claramente la url falsa, y por supuesto muchos de estos delincuentes no se molestan en usar herramientas sofisticadas. Hay algunos de ellos que envían hasta e-mail con claras faltas de ortografía.

De cualquier manera SSLTrip lo único que hace es hacerte creer que estás usando HTTPS cuando en realidad estás usando HTTP, de modo que pueden capturar tu clave fácilmente, pero eso no es phishing, ya que además de desaparecer el certificado SSL (por lo que se evidencia que algo raro pasa) además los supuestos delincuentes deben tener acceso a tu red para esnifar el tráfico HTTP y obtener la clave. Por lo tanto, comprobando siempre que existe certificado SSL en la barra de navegación, evitando poner tus contraseñas en lugares públicos como cyber-cafés, universidades, institutos, etc y manteniendo tu equipo a salvo de malware no tendrías ningún problema y son consejos que ya añadí en mi post.

Aquí tienes un ejemplo de uso de SSLTrip. Como puedes ver la primera vez que entra a Gmail se ve claramente el candado que indica el cifrado HTTPS, cuando SSLTrip está activo, el candado y el certificado SSL desaparecen, por lo tanto siguiendo mi consejo de comprobar si existe el certificado antes de poner tu contraseña, estarías evitando este ataque también. Además recalco, que el delincuente debe tener acceso a tu red para usar SSLTrip y para capturar tu clave.

[youtube=425,350]http://www.youtube.com/watch?v=jEDgo6A_XUA[/youtube]


rassiel

el amigo spider lo ha dicho todo para eso existen los certificados, y la primera alarma que deberia saltar es cuando vallas a hacer un pago por internet o t vallas a autentificar en alguna pag es mirar la direccion de sitio, si no es https:// uffff alarma alarma, ya que es muy facil capturar los datos que se transmiten por http,  :o y lo del keylogger pues tener un antivirus, hasta la heurística mas cutre salta con un keylogger ya que es una amenaza muy visible, salu2