lunes, 15 de diciembre de 2008

Ojo! Consejos para los que compran por Internet

La temporada de dar regalos puede tener ciertos riesgos cuando los criminales cibernéticos aprovechan una de las épocas de ventas más altas del año y dependen de varios esquemas de ingeniería social y trucos para atraer a usuarios desprevenidos.

Los investigadores de Trend Micro (empresa de seguridad Norteamericana) dicen que los consumidores que realizan sus compras navideñas en línea ya sea en casa o en la oficina pueden exponer su red casera o corporativa a amenazas Web, virus y el robo de identidad.

El volumen y sofisticación de las amenazas Web resaltan la importancia de que se utilice protección de múltiples capas en tiempo real para asegurar la seguridad en línea.

La Trend Micro Smart Protection Network, correlaciona los datos de amenazas Web y de correo electrónico al utilizar tecnologías de reputación que comparan las amenazas con las bases de datos de amenazas en la nube. Este tipo único de infraestructura de seguridad de cliente en la nube le da a los clientes protección en tiempo real contra las amenazas Internet más recientes, al tiempo de disfrutar al máximo sus actividades en línea.

Para los compradores en línea durante la temporada navideña, Trend Micro Internet Security Pro comprueba la reputación de las páginas Web, bloqueando el acceso a sitios maliciosos antes de que los compradores tengan la oportunidad de acceder a ellos y dar de forma inocente su información personal o descargar código malicioso diseñado para robar información de su tarjeta de crédito u otra información valiosa.

Estas son las 10 Principales Amenazas Para Navidad 2008 según la red global de investigadores de amenazas avanzadas de Trend Micro:

10. Falsas Ofertas
Los descuentos y las ofertas especiales de artículos de temporada son utilizados por los autores de código malicioso para hacer que los usuarios den clic en enlaces maliciosos, y proporcionen información en sitios falsos especialmente hechos. Por ejemplo, el reciente TROJ_AYFONE.A se registró como un Browser Helper Object (BHO) en el navegador Internet del sistema infectado para asegurar su ejecución cada vez que usted abre el navegador. Despliega un anuncio falso de entonces recién lanzado iPhone, así como un sitio Web falso de una tienda en línea donde podía comprarse.

9. Sitios de Caridad Falsos
¡Done a la Cruz Roja! ¡Ayude a las víctimas del huracán Katrina! Los ciber criminales son expertos en explotar las calamidades y las tragedias. También saben que los usuarios en línea donarían a obras de caridad durante la temporada navideña. Normalmente, los spammers envían mensajes pidiendo donaciones a los receptores; a los usuarios generosos que abren el mensaje y dan clic en el vínculo para donar se les roba información confidencial.

8. Tarjetas de Felicitación que Traen Cosas Malas
Las tarjetas electrónicas a menudo son utilizadas por spammers y autores de código malicioso como carnada para que los usuarios den clic en enlaces maliciosos. Este tipo de ataque normalmente aprovecha los días festivos, cuando los usuarios envían tarjetas electrónicas que se distribuyen a través de enlaces colocados en mensajes spam o como archivos adjuntos. Al dar clic en el enlace o abrir el archivo adjunto se descarga código malicioso en el sistema infectado.

7. Anuncios maliciosos: Publicidad dañina
Todos quieren la mejor oferta y los criminales utilizan los anuncios y promociones en línea para distribuir código malicioso. Los anuncios que aparecen en sitios web con un alto volumen de visitas a menudo se utilizan para descargar código malicioso. Sitios populares como Google, Expedia.com, Rhapsody.com, Blick.com e incluso Myspace fueron inundados con banners maliciosos que contenían malware.

6. Resultados de Búsquedas de Compras Navideñas Contaminados
Los resultados de la búsqueda de ciertas palabras pueden contener código malicioso. Sus autores explotan diferentes razones para elegir qué palabras generarán los resultados malignos. Por ejemplo en 2007, los resultados de la búsqueda de la frase “Christmas gift shopping” (Compra de regalos de navidad) generaban resultados maliciosos que llevaban a una amplia variedad de código malicioso. A principios de este año, los resultados de “disfraces de Halloween” dirigían a un antivirus falso, un código maliciosos disfrazado de software antivirus.

5. Sitios Web con Alto Volumen de Tráfico Comprometidos
Los criminales siguen a las masas – apuntan a sitios Web que son populares y tienen mucho tráfico, especialmente durante la temporada navideña cuando los compradores inundan las tiendas en línea, los sitios de subastas y de comercio electrónico.

4. Extracción de Datos Personales – Tarjetas de Regalo Contaminadas
Los usuarios que llenaron encuestas en línea aparentemente inofensivas a cambio de tarjetas de regalo, efectivo, artículos de regalo o promociones especiales están en peligro por este tipo de ataque. La página de una encuesta comprometida es de hecho un sitio de phishing y es parte de un complot para robar información confidencial.

3. Phishing de comercio electrónico
Normalmente, los criminales lanzan un ataque de phishing con un mensaje de correo electrónico que aparenta ser de una fuente confiable pero, de hecho, contiene un vínculo malicioso. Ese vínculo dirige entonces a los usuarios a un sitio Web “imitado” que parece real y legítimo pero que es falso. Por ejemplo, eBay se incluye entre las tiendas en línea más populares; es también el sitio en el que los criminales lanzan la mayoría de los ataques de phishing.

2. Mensajería que Entrega Troyanos
Los mensajes de populares compañías de mensajería que notifican la entrega de un paquete junto con una factura están infectados con troyanos. Los compradores en línea esperan la entrega de un paquete son objetivos seguros de este ataque.

1. Facturas de Compra para Transacciones Fantasma
Recibos falsos enviados por correo electrónico están infectados con código malicioso. Cuando los usuarios abren o dan clic en el vínculo malicioso, son inmediatamente vulnerables al robo de identidad. Incluso los usuarios que no esperan un recibo de compra en línea pueden abrir el archivo adjunto por curiosidad.

Con video: Un periodista iraquí le tira los zapatos a Bush y lo llama "perro"

Bagdad, 14 (EFE).- Un periodista iraquí lanzó hoy sus zapatos contra el presidente estadounidense, George W. Bush, durante una rueda de prensa que celebrada en Bagdad junto al primer ministro iraquí, Nuri al Maliki.

Cuando Bush se dirigía a los periodistas fue interrumpido desde la tercera fila por el corresponsal del canal de televisión Al Bagdadía, que se levantó con un zapato en la mano y se lo arrojó mientras a gritos llamaba "perro" al mandatario estadounidense, que logró esquivarlo.

Inmediatamente después, el periodista iraquí le lanzó su otro zapato y de nuevo erró su objetivo.

Tras el ataque, los miembros del equipo de seguridad redujeron al atacante, lo detuvieron y lo sacaron de la sala, según testigos presentes en la rueda de prensa.

"Este tipo de hechos no me preocupan, quien los hace quiere llamar la atención", dijo Bush tras el incidente.

En Irak, igual que en gran parte del mundo árabe, arrojar un zapato es una de las mayores ofensas que se pueden cometer contra una persona, al igual que llamarlo "perro"। EFE


http://www.youtube.com/watch?v=OM3Z_Kskl_U

El riesgo de fraude encarece las comisiones de las tarjetas de crédito


Cerca del 1.5% de los RD$2,143.9 millones que cobraron cuatro bancos en 2007, equivale a las pérdidas por los fraudes
SANTO DOMINGO, República Dominicana.- Desde hace unos meses circulan varias versiones de un correo que cae en las cuentas de los usuarios de Internet con títulos como “Información Importante” o “Alerta de Seguridad”.

Se trata de un correo con identidad falsa (phishing) cuyos autores pretenden pasarlo como si fuese de un banco local. Una de las versiones del mensaje “advierte” al usuario que “su cuenta presenta un historial de accesos que no han podido terminarse con éxito y posiblemente no se consiga cerrar por completo su sesión”. Le pide que termine la sesión para lo cual debe ingresar “los datos según su tipo de cuenta correspondiente”.



Archivo/Clave Digital.
Si el usuario es incauto y si por coincidencia tiene una cuenta con esa entidad bancaria, es muy probable que lo “pesquen”, y lo próximo que sabrá es que su tarjeta de crédito o de débito ha sido clonada, o su cuenta bancaria en línea ha sido drenada.

En ese momento se habrá convertido en otra víctima de un fraude que afecta a la banca internacional y las entidades emisoras de tarjetas, y que cada vez es más frecuente en República Dominica y en el mundo (ver reportaje publicado en la edición del 20 de noviembre de 2008 de CLAVE titulado “Nadie está a salvo de la clonación de tarjetas”).

Si se comprueba el fraude, por lo general los bancos reponen el dinero a sus usuarios, les cambian las tarjetas, o les eliminan los cargos fraudulentos. Sin embargo, este riesgo termina pagándolo el cliente a través de las altas tasas de interés que se aplican a ese medio de pago, cuando se opta por el financiamiento.

También los bancos se ven obligados a cubrir estos riesgos con los importantes montos que cobran por el uso del dinero plástico, por concepto de comisión.

El impacto en las tasas de interés lo reconoció la Asociación de Bancos Comerciales (ABA) en su boletín No. 3, de diciembre 2005, donde manifestó su oposición a un proyecto de ley que buscaba regular las tasas de las tarjetas de crédito, y que luego fue desestimado. En la publicación, la ABA afirmó que entre las partidas “altamente significativas” para la determinación de las tasas de interés se incluye “el porcentaje de pérdidas (fraudes y no-recuperación) con que cuentan las entidades emisoras”.

BAJO PERFIL
Los correos falsos con la identidad de los bancos locales tienen meses invadiendo las cuentas de los usuarios de Internet. Sin embargo, las entidades han reaccionado de forma tímida con la colocación en su página de Internet de guias donde explican la forma de “evitar los fraudes electrónicos”. Esta es la práctica común de todos los bancos del país, colocar en Internet una guía “educativa” que a veces se incluye en los estados de cuentas. Dan por sentado que esa medida es suficiente.
Al parecer, tampoco existen prácticas en la región de América Latina recomendadas para alertar a la población sobre este tipo de fraude, pese que son los usuarios de tarjetas los que pagan los riesgos.
En respuesta a CLAVE, la Federación Latinoamericana de Bancos respondió: “No es conveniente aparecer dando recomendaciones sobre medidas especiales o mejores prácticas para evitar la clonación de tarjetas. Principalmente, porque las medidas de seguridad no son estandarizadas y cada banco toma las propias de acuerdo a la realidad de cada país”.

A la sazón, el gremio bancario estimó este costo en cerca de 1.5% de las tasas cobradas por las entidades financieras.

Un negocio jugoso

Pero las altas tasas de interés y los altos costos del fraude no impiden que la emisión de tarjetas de crédito continúe siendo un negocio rentable en el mercado local. Por ejemplo, 4 de los bancos más importantes del sistema financiero nacional, según consta en sus memorias, en 2007 obtuvieron ingresos por comisiones sobre las tarjetas de crédito por RD$2,143.9 millones. Pero su principal fuente de ingresos correspondiente al negocio de las tarjetas no está incluida en ese monto. Se trata de las utilidades provenientes del financiamiento a través del dinero plástico.

A septiembre de 2008, los activos netos y la cartera de crédito de estos 4 bancos sumaban el 80.9% y 83.4% del total del sistema bancario, revela la Superintendencia de Bancos. Mientras que el total de sus carteras de préstamo por tarjeta de crédito sumó RD$10,536 millones, un monto superior en 10.2% al alcanzado en 2006. A esta cartera los bancos le aplicaron tasas de interés que varían de 5% a 10% mensual. El monto de utilidades por este concepto se deja a la imaginación del lector.

En contraste, en el mismo año, las pérdidas “por robos, asaltos y fraudes” de los tres primeros banco, de los cuatro citados, (y que tienen este dato desglosado en las memorias) sumaron RD$127.5 millones, 16.1% menos que lo registrado en 2006.

Entonces, aunque importante, el costo directo por riesgo de fraude en las tarjetas de crédito no constituye una grave amenaza para las entidades financieras, sobre todo para las más grandes.

Así lo afirma Eduardo del Orbe, vicepresidente ejecutivo de CardNet, principal empresa proveedora de servicios de pagos electrónicos del país (con una participación cercana al 70% del mercado). Revela que su empresa ha estimado el costo del fraude en 0.19% del volumen de venta (lo que no incluye los fraudes realizados en los cajeros automáticos). Según el Banco Central, en enero-septiembre de 2008 este volumen de venta ascendió a RD$58,713.9 millones.

“Este porcentaje está dentro de los niveles mundiales de fraude y bajo el control de la industria”, afirma. Al partir de esta premisa, asegura que las denuncias y las tentativas de fraudes “son casos aislados”.

POCOS DATOS
CLAVE sostuvo una reunión con dos expertos en seguridad bancaria (pidieron reserva de sus nombres) en la que estuvo presente Cesarina Rosario, abogada y ex encargada de la Oficina de Protección al Usuario de la Superintendencia de Bancos.
“Cada vez se cargan menos datos en las bandas magnéticas de las tarjetas de créditos”, lo que implica una debilidad en las medidas de seguridad, explican.
Por esta razón, muchas veces, cuando se paga con las tarjetas en el “voucher” no aparece el nombre del usuario. En la reunión se destacó la “falta de entrenamiento de los clientes” y se hizo notar que “los bancos no están invirtiendo en capacitar a los comercios sobre los fraudes con las tarjetas de crédito”.
Según Cesarina Rosario, los “comerciantes tienen la obligación de verificar que la tarjeta con que se paga pertenece al cliente”. Sin embargo, es cada vez menos frecuente que en los establecimientos pidan la cédula para confirmar.

Pero existen otras estimaciones mucho más elevadas. Gustavo Ariza, vicepresidente ejecutivo de la Asociación Popular de Ahorros y Préstamos (APAP) asegura que la tasa de fraude con tarjetas de crédito emitida por esa entidad es 0.5% del consumo, “El (porcentaje) más bajo del fraude en todo el sistema” afirma. En contraste, estima que el promedio para el sistema financiero del país está entre un 5% y 7% del total de ventas.

De todos modos, las entidades bancarias públicamente actúan como si el problema no existiera o como si fuera marginal. Aunque discretamente es enfrentado con modernos sistemas informáticos de alerta temprana que permiten detectar e impedir gran parte de las tentativas fraudulentas antes de que se consumen.

Por eso se ha hecho frecuente que los bancos llamen a sus clientes, y sin ofrecer mayores detalles, les informen que su tarjeta ha sido bloqueada por razones de seguridad y que deben pasar a recoger un plástico nuevo.
“Esas son las medidas que la industria aplica para evitar los fraudes”, afirma Eduardo del Orbe. Agrega que “la industria está muy comprometida con mantener los más altos niveles de seguridad”. Cuando el cliente recibe esa llamada es muy probable que alguien haya intentado consumir con un “clon” de la tarjeta de crédito del infortunado usuario, tal vez desde Asia, Qatar, Suiza o Estados Unidos (según los casos investigados por CLAVE).