Estas aquiContenido / El phishing vence la doble autenticación
El phishing vence la doble autenticación
Un sitio web ruso (ahora mismo apagado) ha estado realizando un ingenioso ataque de phishing contra los clientes de Citibank.
La novedad radica en que los estafadores han logrado vencer, de forma efectiva y bastante convincente, la doble autenticación (es decir, la contraseña habitual más otro factor clave generado en el lado del cliente y de duración limitada) requerida por el servicio CitiBusiness de Citibank para proveer de mayor seguridad a sus operaciones on-line...
El sistema fraudulento resultaba especialmente creíble porque funcionaba con un esquema man-in-the-middle, es decir: si se introducía una falsa clave (p.ej. una creada al azar) el sistema fraudulento la rechazaba, tras haber consultado su validez al sistema legítimo.
Take this latest phish, spotted by the people over at Secure Science Corp. It uses an impressively crafted Web-based e-mail that targets users of Citibank's Citibusiness service (...)
Por muy sofisticado que sea su funcionamiento, su base sigue siendo enviar un mail. Por tanto, basta con obedecer la primera y primordial regla anti-phishing ("no acceder jamás a nuestro banco usando un enlace") para evitarlo.