Seguridad al Navegar por Internet

l utilizar la Oficina Virtual del Banco, también es importante que usted conozca cómo se comete el fraude electrónico, para que navegue de una forma más segura por internet. Por eso a continuación se explican las formas más utilizadas.

Los métodos más utilizados para ejecutar un “Fraude Electrónico” son:

Creación de páginas fraudulentas

Una página fraudulenta es una copia de la página oficial del Banco, creada por delincuentes para engañar a los usuarios y hacer que estos entreguen su información secreta y confidencial. Actualmente existen varios métodos para direccionar a los usuarios a páginas falsas. El método más conocido es el tradicional “phising” en el cual se envía un correo al usuario y se dirige a una página con un nombre semejante al del banco. Sin embargo, existen técnicas más novedosas en la cual el atacante infecta la estación del usuario con un virus, que cuando el usuario digita la dirección del banco este lo redirige a una página fraudulenta.

¿Cómo reconocer una página fraudulenta?

• Usualmente la dirección web de la página fraudulenta no corresponde a la dirección oficial del Banco, aunque es posible que sea disfrazada y sea la misma.
• La mayoría de las páginas fraudulentas no utilizan comunicación segura para realizar las transacciones, por lo que es importante verificar que el sitio web accesado inicia con “https” y no con “http”, esto es señal de que el sitio utiliza un certificado digital para asegurar la comunicación.
• Una vez verificado que el sitio utiliza comunicación segura (“https”), verifique que el certificado digital es válido y fue emitido para el Banco. Para realizar esto busque el logo con forma de candado y haga “click” sobre él. Ahí podrá verificar que el certificado digital es válido y que fue emitido a nombre del Banco.
• Incluya la frase de seguridad o bienvenida y verifique que siempre le sea presentada a su ingreso al sitio web.
• Recuerde que el banco nunca le solicitará en su sitio web todos los datos de su clave dinámica, de ser así definitivamente usted ingresó a un sitio falso y debe reportarlo lo antes posible al banco y cambiar su clave de ingreso.

 

---

Uso de malware, “keyloggers” y “pharming”

El Malware es el software considerado “maligno” que puede ejecutar actividades no deseadas en los equipos, que van desde destrucción de datos, hasta robo de información, dentro de este tipo de software encontramos virus, usualmente utilizados para dañar información o alterar la operación de los equipos, troyanos, que al igual que la famosa historia del caballo de Troya, son software dentro de otros, logrando engañar al usuario al instalar juegos u otras aplicaciones que parecen ser confiables y en realidad al mismo tiempo instalan software usualmente para el robo de información.

El software que roba información es conocido también como espía (Spyware) es usualmente utilizado para capturar los nombres y claves de los usuarios, y la envía a terceros que podrán con esa información ingresar a sus cuentas. Este software se instala en los equipos de los usuarios sin su conocimiento y sin su consentimiento.

El robo de claves de acceso también es posible con el uso de dispositivos conocidos como “keyloggers”, que se conectan entre el teclado y el computador y logran capturar todo lo que se digita. Este método es más utilizado en sitios de acceso público a Internet, tal como Internet Cafés, restaurantes, bibliotecas, etc.

Existe malware conocido como “pharming” que lo que hace es que, cuando el usuario digita la dirección del sitio oficial del Banco, lo redirige a un sitio fraudulento. Para evitar esto es indispensable contar con un sistema antimalware y las diferentes aplicaciones o sistemas de nuestro equipo debidamente actualizadas y mantenernos atentos ante signos de que la página en la que estamos es falsa.

¿Cómo es que el software se puede instalar sin conocimiento ni consentimiento del cliente?

El software puede ser recibido en un correo electrónico, adquirido al ingresar a un sitio Web, o al instalar software gratuito que aparentemente realiza una función y en realidad realiza otra. La mayoría de los usuarios tienen privilegios totales sobre sus equipos y pueden modificar la configuración, instalar y hacer cualquier cosa sobre ellos. Esto es aprovechado por este tipo de software y de forma oculta logra realizar su cometido. Recuerde, es conveniente evitar utilizar usuarios con privilegios conocidos como “administradores”. Además, las nuevas versiones de sistema operativo usualmente alertan al usuario cuando se va a instalar un nuevo software, por favor lea todo mensaje que le aparezca en la pantalla y si usted no está instalando algo o tiene alguna duda, por favor cancele la instalación.

---

Uso de “Phishing”, “Vishing”, “Smishing” y “Tap-Napping”

Existen varias técnicas orientadas a engañar al usuario, algunas son simples y otras un poco más complejas y difíciles de identificar.

El "PHISHING" es un tipo de estafa que tiene como objetivo obtener a través de internet o mediante correos maliciosos, datos privados de los usuarios, especialmente para acceder a sus cuentas o datos bancarios.

El phishing viene acompañado de ingeniería social, cuyo objetivo es convencer o engañar a los usuarios a acceder a páginas web falsas o fraudulentes. 

La creación de sitios fraudulentos en Internet que son copias del sitio oficial del Banco es una técnica que se llama Web Spoofing, y usualmente se distribuye mediante correos electrónicos que incluyen un enlace (“link”) al sitio fraudulento y motivan al usuario a que ingrese, ya sea utilizando mensajes amenazantes o motivantes, por ejemplo:

"Su usuario ha caducado, favor ingresar y modificar su clave de acceso, si usted no lo hace, el BCR no se hará responsable."

"Usted ha sido incluido en el concurso "Crucero por el caribe" por favor ingrese y active su participación."

Otra forma es crear sitios con direcciones similares, en vez de www.bancobcr.com, tal como: www.bancbcr (nótese la falta de la "o" en Bancbcr) o www.bancodecostarica.com; esto en espera de que por error el usuario digite esas direcciones, con lo cual se ingresará a un sitio falso en donde su clave es capturada.

El “VISHING" y "SMISHING" consisten en realizar llamadas telefónicas o el envío de mensajes de texto en donde solicitan y convencen a los usuarios de entregar información confidencial tal como número de cuenta, PIN, clave de acceso, código de seguridad y otros con los cuales posteriormente pueden efectuar el fraude.

El “TAP-Napping”: utiliza tipos de virus a fin de que cuando un usuario accesa a diferentes sitios web de forma simultánea, aprovecha la desconcentración del usuario y redirecciona las páginas no activas a sitios falsos.

¿Cómo actuar?

Si por error ingresó a un sitio falso, ya sea porque hizo “click” en un enlace recibido por correo o porque fue redirigido a un sitio fraudulento, posiblemente por un malware en su equipo, comuníquese al BCR y solicite el bloqueo de su cuenta.

Explique al funcionario del BCR lo sucedido e indique exactamente qué información entrego usted, Por favor no omita detalles.

Tenga presente que si además de la clave de acceso, usted entregó su número de PIN u otra información los delincuentes podrían volver a registrarse en Internet y necesitará realizar el cambio de su tarjeta y PIN.

---

Uso de ingeniería social

¿Qué es la ingeniería social?

La ingeniería social es una forma de engaño utilizada por personas con un alto grado de convencimiento, que al igual que en la mayoría de estafas, seleccionan una víctima, estudian todo sobre ella, lugar de residencia, de trabajo, familiares, gustos, preferencias y planean como convencerlas para que les faciliten información o realicen actividades con el fin de ejecutar un fraude.

La ingeniería social se aplica esencialmente en métodos como el correo electrónico, llamadas telefónicas y hasta de manera personal.

El fraude de la compra y venta

Se ha puesto de moda las llamadas para comprar algo que la persona está vendiendo por internet, por periódico u otros medios. El delincuente simula ser un comprador e indica que desean hacer la transferencia electrónica de fondos, para la cual solicitan información de la cuenta y claves de acceso o para darle mayor credibilidad indican que tienen en línea al ejecutivo del Banco, ponen música o mensaje pre grabados del Banco y aparentan estar conversando con un ejecutivo que les ayudara a finiquitar la transacción, el delincuente se presenta muy formal y amable como ejecutivo del Banco y empieza a solicitar la información para la transacción, dentro de la cual podría solicitar números de cuenta, clave de acceso, valores de la tarjeta dinámica u otros, requeridos para ejecutar el fraude.

El mismo timo es realizado con venta de bienes falsos, usualmente con precios risibles que resultan irresistibles para algunos, que, al llamar, se le solicita un pago anticipado y ahí es en donde proceder de la misma forma a solicitar datos bancarios o utilizar un falso ejecutivo del Banco para concretar la transferencia del pago inicial.

¿Cómo lo logran?

• Normalmente estas personas tienen un don natural de convencimiento.
• Se hacen pasar por un funcionario del Banco, indican estar realizando una encuesta, tener algún problema con su cuenta e incluso ofrecen premios muy llamativos por su participación o colaboración.
• Antes de solicitarle la información que requieren le convencerán dándole datos sobre usted, tal como su cedula, lugar de residencia, trabajo, familiares, sobre sus cuentas tal como números y tipos de cuenta.
• Se hacen pasar por alguien importante, el jefe de un departamento, Gerente, miembro de Junta Directiva u otro.
• En caso de que el ataque sea en persona, normalmente visten de forma muy elegante.
• Mencionan conocer o ser referidos por personas importantes en una empresa o institución.
• Tratan de ganar la amistad, son muy amables, hacen pequeños regalos, pueden invitarlo a desayunar, almorzar o cenar e incluso pueden llegar a enamorarlo (a).
• Luego de ganar la confianza solicitan información de algún tipo, casi siempre con una justificación, que usted no cree del todo pero que termina cediendo.
• Algunas veces acuden a la lástima, cuentan historias sobre problemas personales y justifican la necesidad de la información o del trámite.

¿Cómo evitar ser engañados?

• Desconfié, desconfié y desconfié.
• El BCR nunca le solicitará por correo electrónico, por teléfono, por mensajería ni personalmente que informe de sus datos personales, claves (password) o números confidenciales. Estos datos son secretos y únicamente usted debe conocerlos para ser utilizados en sus sitios de acceso acostumbrados.
• Nunca acceda a entregar información o a realizar algún trámite bajo ningún tipo de presión, estás personas siempre indicarán que les urge, que ellos son importantes, que usted tendrá algún inconveniente, tal como cobro de comisiones, cierre o bloqueo de su cuenta, en caso de funcionarios normalmente se presiona con el despido.
• Siempre siga los procedimientos definidos.
• Tenga cuidado con las personas que aparentan estar simplemente conversando pero que preguntan cosas que no debería interesarles, ¿Cómo hacen ustedes…? ¿Quién es ese señor(a)….? ¿Cuándo hacen…?.