Desenmascara.me

How to verify whether a website is legitimate or not?: desenmascara.me

sábado, 17 de abril de 2010

Un correo legítimo de twitter maquillado como phishing


Actualización(13-5-2010): Luis Corrons (Director técnico de PandaLabs) escribe sobre esto en el blog de pandalabs y en el de inglés, y la prensa inglesa se hace eco.

En mi correo llegan regularmente phishings de los cuales el 99.999999% de ellos o más se ve que son falsos sin ni siquiera abrirlos. Fallan en un concepto importante; no son de un banco o servicio del cual sea cliente.

Aunque lo anterior tampoco es fiable 100% a día de hoy.  Ya que cada vez más, la banca online ofrece servicios de notificaciones incluso aunque no seas cliente. Recientemente recibí un mail de un banco del cual no era cliente, pero se trataba de una notificación real de ingreso en otro banco del que si soy cliente. Pero a lo que iba.

Hace 2 días me encuentro un correo de twitter informándome que han resetado mi contraseña, y me proporcionan un enlace para que la cambie. Me informan que mi cuenta puede haber sido víctima de phishing, uno de los 10 usos fraudulentos de twitter.




Parecía real, -por todo lo que veo en mi trabajo, hace que desconfíe más de lo normal-, pero el enlace era correcto: dominio twitter.com,  cabeceras del correo correctas, y al pasar el puntero sobre el enlace adjunto, la dirección reflejada en la parte inferior del navegador no variaba. Aún así decido comprobar que, efectivamente, me han reseteado la cuenta. Por lo que intento hacer login en la página de twitter.com. Así es, mi contraseña actual no funciona. Así que utilizo ese enlace y me la cambio, pero. ¿por qué utiliza twitter este procedimiento?

La banca online y todos los servicios en Internet, nos han enseñado como usuarios, que nunca nos van a solicitar la contraseña o un cambio de la misma sin haberlo solicitado previamente. 

Consejo de uno de los principales bancos de España:
"- Nunca atienda solicitudes de claves que le lleguen a través de correo electrónico."

De ser así, estarían dando soporte oficial al phishing, proporcionando más apoyo para las campañas de phishing actuales.   

Pero ahora twitter, actúa de esta manera. Enviando un correo a miles de usuarios solicitándoles un cambio de contraseña. ¿Cómo va a poder un usuario normal diferenciar entre un correo legítimo de twitter contra un phishing medianamente montado?. Independientemente de que los usuarios ignoran todas las recomendaciones de seguridad, Twitter no está actuando en los términos correctos. Los esfuerzos de la industria de Seguridad en concienciar a los usuarios son en vano, mientras twitter siga utilizando esta práctica contraveniendo todas las normas de seguridad aprendidas, los usuarios cada vez estarán más confundidos.

Es la primera vez que me encuentro con un servicio en Internet que actúa de esta manera. Sabía que lo hacían así, ya que de esto hablé en la presentación "Seguridad en Twitter". Pero ahora lo he comprobado en primera persona.


¿Por qué creeis que Twitter actúa de esta manera?
¿Qué otras alternativas tendrían en vuestra opinión?


Disclaimer: Desconozco porque me llego ese correo, la única AAPP que uso es "hootsuite" un cliente de confianza.

2 comentarios:

  1. muy bueno, Emilio!! Lo mejor es que sea el usuario quien pida el cambio de contraseña, así se evitan esos problemas!

    Por cierto, uso hotsuite y no me ha llegado nada al correo...

    ResponderEliminar
  2. @Anónimo, gracias por confirmar lo del hootsuite!

    ResponderEliminar

Trata a los demás como te gustaría ser tratado.