El Banco Popular Dominicano no escapa del phishing
El Banco Popular Dominicano creo que es la entidad financiera más grande de nuestro país, siempre he creído que la fama trae consigo multitud de retos, uno de esos retos es el phishing, los ataques informáticos a gran escala.
El Banco Popular Dominicana como entidad financiera, por obvias razones, es muy atractivo para los cibercriminales, no solo por tratarse de dinero, aunque ha de ser el principal motivo, también esta la información que estos almacenan, la cual en nuestros tiempos quizás sea igual o más valiosa que el efectivo en sí, el Banco Popular Dominicano no será la excepción por mas seguridad que implementes, creo que siempre tendrán que lidiar con estos problemas.
Cómo evitar El Phishing, Clientes del Banco @Popularenlinea, CUIDADO!
Pero lo que quiero compartir con ustedes, es un correo falso que me llego recientemente, haciéndose pasar por la entidad arriba mencionada, si te fijan en la siguiente imagen, es posible que no veas nada extraño en el cuerpo del mensaje, justamente de eso se trata el phishing, que no te des cuenta del engaño hasta que sea demasiado tarde.
Luego de analizar el mensaje, vi claramente que el remitente decía servicioalcliente@bpd.com.do, donde bpd.com.do corresponde a uno de los dominios usados por la entidad financiera, sus portales y servicios de correo están asociados a este, por lo que hasta ese punto todo parecía bien.
Lo que enciende mis alarmas es:
- El Titulo o asunto.
- La ortografía.
- Personalización del mensaje.
- Falta de información.
- De acuerdo al caso, la forma de notificarlo.
El titulo o asunto del mensaje que recibí supuestamente del Banco Popular Dominicano, correspondía a una cuenta bloqueada, también anotaban un numero de referencia como si de una transacción se tratara, abrí el mensaje, ya con la convicción de que se trataba de un claro caso de phishing, por tanto tome la precauciones de lugar.
De inmediato note la pésima ortografía, no sé, tal vez no se tomaron el tiempo de usar Word para corregirlas, pero la falta de acentuación me indicaba que no podía provenir de donde decir venir, las organizaciones macro se preocupan hasta de la imagen que proyecta un simple correo, el diseño siempre es homogéneo en todas las plataformas.
Ya con la duda solventada, estaba claro el phishin, continuo analizando el correo, y no veo mi nombre por ningún lado, el tiempo que llevo tratando con las entidades financieras, siempre han personalizado las comunicaciones, se dirigen a ti por tu nombre completo, apellido o solo el nombre de pila, pero el hecho es que personalicen de forma tal que el cliente se sienta en confianza, esto las entidades lo han hecho muy bien.
La falta de información, es alarmante, entiendo que por tratarse de algo confidencial y privado, quizás alguna que otra entidad no proporcionaría detalles alguno del caso en concreto, pero ni decirte en que servicio está el supuesto bloqueo, tampoco una razón, creo que son informaciones básicas que de acuerdo al asunto o gravedad de la información debería contener el mensaje, pero esta información no la tiene cualquiera, solo la entidad genuina la posee, por tal razón se constituye en un tips para identificar posibles casos de phishing.
La forma de comunicar un caso de esta magnitud, no creo sea la adecuada, imagínate que si tu cuenta es bloqueada, ha de ser por algún caso extremo, es tan así que estoy seguro que en lugar de enviarte un correo, la entidad optaría por llamarte, una cuenta bloqueada puede representar una violación de la leyes y por consecuencia directa un posible caso judicial en contra del propietario.
Pero entrando a una área más compleja, vi que la url donde dirige el dominio popularenlinea.com no es al portal ni dominio oficial, al dar clic te lleva a la página de una universidad mexicana, allí el caso creo que se agrava, dado que podemos estar frente a un caso más grave que un simple phishing al Banco Popular Dominica, también se involucra una posible brecha de seguridad en la plataforma de la Universidad San Sebastian de Mexico.
@eliezermolinam Gracias por escribirnos. Ayúdanos a frenar el Phishing. Siempre reporta correos como ese a phishing@bpd.com.do 1/2
— Banco Popular (@Popularenlinea) 31 de mayo de 2016
@eliezermolinam Te recomendamos instalar nuestro software de seguridad #VigíaWeb, te alertará ante fraudes: https://t.co/BF4ffRoJPN 2/2
— Banco Popular (@Popularenlinea) 31 de mayo de 2016
Antes de escribir estas líneas y grabar el video que acompaña esta entrada, nos comunicamos con el Banco Popular Dominicano en su cuenta de Twitter y nos respondieron muy rápido e incluso nos indicaron como proceder, también no sugirieron una aplicación para protegernos de esto casos, pero la cosa no quedo allí, me dijeron a que correo reportar casos como este, la app se llama VigiaWeb, no la he probado, pero ya estaré en eso en los próximos días a ver si anda tan bien como su app para iOS.
Si este artículo te resulto útil, te invito a compartirlo con tus amigos, síguenos en las redes sociales y youtube.