Nuevo intento de estafa a los usuarios de Banesto

Redacción Silicon,

Un nuevo fraude trata de obtener de los clientes de Banesto el número
del carné de identidad.

Prácticas inseguras de las webs de banca

Si hubieran utilizado la comentada vulnerabilidad del Internet Explorer,

que permite enlazar con la web de los estafadores mientras que se

muestra en la barra de direcciones la URL legítima del banco, el usuario

no tendría forma de detectar a simple vista que se encuentra en un

servidor ajeno.

En estos casos se suele recomendar que el usuario

compruebe el certificado de seguridad (pinchando en el candado que

aparece en el navegador), para ver si coincide con los datos de la

entidad.

El problema es que las webs de muchas entidades

bancarias, como es el caso de Banesto, incluyen el formulario de

autenticación del usuario y clave en la página principal, a la que

normalmente se accede sin conexión segura (como http://www.banesto.es,

sin anteponer el https://).

De forma que cuando el usuario

introduce su código y clave, lo está haciendo en una página donde no

puede comprobar el certificado de seguridad, aunque a posteriori, cuando

pulsa el botón de Aceptar, ese código y clave se envíen cifrados

mediante conexión segura.

En el caso de Banesto, al

posicionar el cursor encima del botón Aceptar aparece el mensaje El

usuario y clave que ha introducido se transmite por la red bajo servidor

seguro (cifrado 128 bits). Éste aviso no ofrece ningún tipo de

garantías, de hecho la web falsa de los estafadores a las que nos

estamos refiriendo visualiza también de forma exacta el mismo mensaje.

Además, si el usuario introduce sus datos, el servidor de los

estafadores, tras robar el código y clave, redirige al usuario de forma

automática y transparente al servidor seguro de Banesto, de forma que a

simple vista es difícil que pueda detectar alguna anormalidad.

Esta forma de proceder facilita la labor de los estafadores, ya que el usuario

de entrada, cuando introduce su código y clave, no tiene la posibilidad

de verificar mediante el certificado de seguridad que se encuentra

realmente en la web de la entidad.

Desde Hispasec recomendamos a

las entidades bancarias y servicios sensibles que modifiquen la

configuración de sus servidores webs, o el diseño de las páginas, para

que por defecto se fuerce a los navegadores a establecer una conexión

segura (https) cuando se accede a las páginas donde se encuentran los

formularios de autentificación de los usuarios.

En el caso

de Banesto, los usuarios pueden establecer la conexión segura desde el

primer momento anteponiendo el https en la dirección

(https://www.banesto.es).