Todo correcto, pero respecto al punto 5 (página legítima y HTTPS) se nota un aumento de páginas maliciosas con certificado válido (con herramientas como certbot es gratis y fácil) y, ya como intuición basada en noticias pasadas, el registro de dominios puede usar caracteres especiales muy parecidos a los de la web original, que se muestran igual o casi igual en el navegador, pero que indudablemente son diferentes.
Eso lo hace más difícil, imagino que a la mínima sospecha ya hay que ir mirando la CA y el nombre de dominio al detalle, no sólo en el navegador.
Lo veo un poco pobre, lo cual puede llevar a una falsa sensación de seguridad en muchas personas y hacerles caer en phising. Parece hecho sin ganas, la verdad.
Por ejemplo:
1. ¿Esperabas un email de esta persona o entidad?
El phising se basa en enviar a miles de destinatarios un email haciéndose pasar por el BBVA, por lo que quien sea cliente puede "esperarse" un email de su banco.
Sin embargo, no informan de cómo "comprobar que el email es quien dice ser y no está suplantando a alguien". Direcciones pufadas, o dominios casi idénticos con trucos con UTF-8 pueden engañar a cualquiera, no te digo ya usar un reply-to y un from pufados. Si sólo dices "comprueba esto" pero no dices cómo comprobarlo, es un consejo inútil (o peor, alguien verá que el remitente es info.bbva@clientes.be y creerá que es legítimo)
2. ¿Capta tu atención el asundo del correo?
Pero vamos a ver... el 99% de emails del mundo se redactan con un asunto que capte la atención... ¿qué consejo es este? Acabo de terminar una web para una Asociación Profesional que va a hacer unas formaciones online para sus socios, y el asunto del email de invitación que van a enviar es, obviamente, muy llamativo para captar la atención del socio de la asociación...
5. ¿Los enlaces llevan a una página legítima?
La mayoría de emails legítimos van a tener una URL que "no coincide". En el ejemplo anterior, esa Asociación usa Mailchimp para enviar las newsetter mensuales, y los enlaces no son www.dominiodelaasociacion.com sino xxxx.mailchimp.com/blablabla... y son enlaces totalmente legítimos.
Por otro lado, como bien indica #1 la falsa seguridad del https va a ser un problema: conozco a gente que ya confía ciegamente en cualquier web "con el candadito". Yo podría hacer una web www.bbva.paraclientes.ro pufando la web del BBVA, ponerle un certificado SSL que van baratos (gratis) y listos. Por favor, dejad de equiparar "tiene https" con "es segura". Lo que es seguro es la comunicación desde tu equipo al servidor, no el contenido que se te muestre...
Yo llevo diciendo de toda la vida que en los colegios, entre el cuerpo de los números racionales y la defenestración de Praga podrían hacer un huequito y explicar como leer una URL, como ver el contenido de un hyperlink y cuatro cosas que se explican en un rato y casi nadie sabe si no lo ha estudiado a propósito.
Ya de paso a calcular una hipoteca y esas otras cuatro cosas prácticas de la vida que no sé como no se enseñan.
Ya lo he comentado varias veces, ¿por qué no se obliga a las empresas y organismos oficiales con capacidad para ello a firmar digitalmente los correos-e?, de esta forma podríamos autenticar al emisor.
Comentarios
Todo correcto, pero respecto al punto 5 (página legítima y HTTPS) se nota un aumento de páginas maliciosas con certificado válido (con herramientas como certbot es gratis y fácil) y, ya como intuición basada en noticias pasadas, el registro de dominios puede usar caracteres especiales muy parecidos a los de la web original, que se muestran igual o casi igual en el navegador, pero que indudablemente son diferentes.
Eso lo hace más difícil, imagino que a la mínima sospecha ya hay que ir mirando la CA y el nombre de dominio al detalle, no sólo en el navegador.
Lo veo un poco pobre, lo cual puede llevar a una falsa sensación de seguridad en muchas personas y hacerles caer en phising. Parece hecho sin ganas, la verdad.
Por ejemplo:
1. ¿Esperabas un email de esta persona o entidad?
El phising se basa en enviar a miles de destinatarios un email haciéndose pasar por el BBVA, por lo que quien sea cliente puede "esperarse" un email de su banco.
Sin embargo, no informan de cómo "comprobar que el email es quien dice ser y no está suplantando a alguien". Direcciones pufadas, o dominios casi idénticos con trucos con UTF-8 pueden engañar a cualquiera, no te digo ya usar un reply-to y un from pufados. Si sólo dices "comprueba esto" pero no dices cómo comprobarlo, es un consejo inútil (o peor, alguien verá que el remitente es info.bbva@clientes.be y creerá que es legítimo)
2. ¿Capta tu atención el asundo del correo?
Pero vamos a ver... el 99% de emails del mundo se redactan con un asunto que capte la atención... ¿qué consejo es este? Acabo de terminar una web para una Asociación Profesional que va a hacer unas formaciones online para sus socios, y el asunto del email de invitación que van a enviar es, obviamente, muy llamativo para captar la atención del socio de la asociación...
5. ¿Los enlaces llevan a una página legítima?
La mayoría de emails legítimos van a tener una URL que "no coincide". En el ejemplo anterior, esa Asociación usa Mailchimp para enviar las newsetter mensuales, y los enlaces no son www.dominiodelaasociacion.com sino xxxx.mailchimp.com/blablabla... y son enlaces totalmente legítimos.
Por otro lado, como bien indica #1 la falsa seguridad del https va a ser un problema: conozco a gente que ya confía ciegamente en cualquier web "con el candadito". Yo podría hacer una web www.bbva.paraclientes.ro pufando la web del BBVA, ponerle un certificado SSL que van baratos (gratis) y listos. Por favor, dejad de equiparar "tiene https" con "es segura". Lo que es seguro es la comunicación desde tu equipo al servidor, no el contenido que se te muestre...
Yo llevo diciendo de toda la vida que en los colegios, entre el cuerpo de los números racionales y la defenestración de Praga podrían hacer un huequito y explicar como leer una URL, como ver el contenido de un hyperlink y cuatro cosas que se explican en un rato y casi nadie sabe si no lo ha estudiado a propósito.
Ya de paso a calcular una hipoteca y esas otras cuatro cosas prácticas de la vida que no sé como no se enseñan.
Ya lo he comentado varias veces, ¿por qué no se obliga a las empresas y organismos oficiales con capacidad para ello a firmar digitalmente los correos-e?, de esta forma podríamos autenticar al emisor.