Una oleada de correos electrónicos falsos está llegando. Por estos días, los correos se utilizan para robar nombres de usuario y contraseñas a través del popular programa Skype, que utiliza para sus comunicaciones la tecnología conocida como “voz sobre IP” (VOIP).
El ISC (Internet Storm Center) acaba de dar a conocer un informe en el cual se consigna este nuevo fenómeno, que podría asimilarse a algo así como “phishing vía Skype”.
Así como se busca robar nombres de usuario y contraseñas para acceder al sistema bancario mediante el phishing tradicional, -técnica utilizada para obtener información confidencial mediante la suplantación de una persona o institución legítima generalmente por medio de un "scam" o estafa, mensaje electrónico fraudulento, o falsificación de página Web-, en esta nueva modalidad de fraude se intenta conseguir credenciales de acceso al sistema de Skype.
El reporte describe ataques que se remontan a mediados de 2007, donde la mayoría adoptan un enfoque obvio con mensajes como el siguiente: "Es necesario que actualice sus credenciales, pulse aquí para acceder a [...]", y se muestra un enlace a un sitio falso que simula ser el de Skype, donde se incluyen los logos y la estética típica del sitio real.
¿Para qué robar las cuentas en un servicio de VOIP? La teoría del ISC, es que con el uso de la voz, podrían mejorarse otras técnicas utilizadas para delinquir, y llevar a cabo ataques de phishing más elaborados.
Y, ¿por qué robar cuentas y no crearlas con nombres falsos? Muy simple la respuesta: Skype es bueno bloqueando la creación de cuentas de forma automática. No acepta el uso de robots para su creación. Puede resultar mucho más fácil utilizar la clásica ingeniería social para que el propio usuario sea quien termine proporcionando sus datos al atacante.
Otro de los puntos importantes al conseguir el dato de usuario y contraseña en un servicio aparentemente inofensivo como Skype, es que muchos usuarios utilizan la misma contraseña en varios sistemas. Lo cual podría hacer que los hackers probaran esta combinación de usuario y contraseña en sistemas más redituables, como la banca online o de manejos financieros.
La recomendación de siempre: no caer en esta trampa, proporcionando contraseñas que se soliciten vía email o telefónicamente. No acceder a estos sistemas vía enlaces o link que vengan de un email, sino tipearlos directamente en su navegador. Y tampoco usar en todos los servicios que lo requieran la misma contraseña, dado que una vez que se consigue la misma, abre acceso a todos los demás sistemas que utilizan la misma.-
minutouno.com