Prácticas inseguras de las webs de banca
Si hubieran utilizado la comentada vulnerabilidad del Internet Explorer,
que permite enlazar con la web de los estafadores mientras que se
muestra en la barra de direcciones la URL legítima del banco, el usuario
no tendría forma de detectar a simple vista que se encuentra en un
servidor ajeno.
En estos casos se suele recomendar que el usuario
compruebe el certificado de seguridad (pinchando en el candado que
aparece en el navegador), para ver si coincide con los datos de la
entidad.
El problema es que las webs de muchas entidades
bancarias, como es el caso de Banesto, incluyen el formulario de
autenticación del usuario y clave en la página principal, a la que
normalmente se accede sin conexión segura (como http://www.banesto.es,
sin anteponer el https://).
De forma que cuando el usuario
introduce su código y clave, lo está haciendo en una página donde no
puede comprobar el certificado de seguridad, aunque a posteriori, cuando
pulsa el botón de Aceptar, ese código y clave se envíen cifrados
mediante conexión segura.
En el caso de Banesto, al
posicionar el cursor encima del botón Aceptar aparece el mensaje El
usuario y clave que ha introducido se transmite por la red bajo servidor
seguro (cifrado 128 bits). Éste aviso no ofrece ningún tipo de
garantías, de hecho la web falsa de los estafadores a las que nos
estamos refiriendo visualiza también de forma exacta el mismo mensaje.
Además, si el usuario introduce sus datos, el servidor de los
estafadores, tras robar el código y clave, redirige al usuario de forma
automática y transparente al servidor seguro de Banesto, de forma que a
simple vista es difícil que pueda detectar alguna anormalidad.
Esta forma de proceder facilita la labor de los estafadores, ya que el usuario
de entrada, cuando introduce su código y clave, no tiene la posibilidad
de verificar mediante el certificado de seguridad que se encuentra
realmente en la web de la entidad.
Desde Hispasec recomendamos a
las entidades bancarias y servicios sensibles que modifiquen la
configuración de sus servidores webs, o el diseño de las páginas, para
que por defecto se fuerce a los navegadores a establecer una conexión
segura (https) cuando se accede a las páginas donde se encuentran los
formularios de autentificación de los usuarios.
En el caso
de Banesto, los usuarios pueden establecer la conexión segura desde el
primer momento anteponiendo el https en la dirección
(https://www.banesto.es).
Estos fallos pueden hacer que la imagen de tu proyecto o startup se vaya al…
Los fondos son una ayuda para que la compañía de chips ponga en marcha una…
Una de las hipótesis es que se ha creado una especie de religión en torno…
Ferret, creado junto a la Universidad de Columbia, está diseñado para usarse solo en fines…
De ahora en adelante las pequeñas y medianas empresas podrán aceptar pagos online de sus…
Gracias a estos fondos la compañía podrá su consolidar su presencia en el mercado español…