lunes, junio 25, 2007

¿Para que sirve hacerte 'informático responsable'?

Bueno, resulta que el jueves 21/06/2007 recibo este correo:

El remitente es un tal seguridad@caixacatalunya.es y si le damos a responder podemos comprobar que nos redirige a nirepuestas4@caixacatalunya.es, bueno pues primero dejo claro que no tengo ninguna cuenta de "Caixa Catalunya" y a este paso no pienso tenerla, el enlace que a primera vista te redirige a http://caixacatalunya.es/lineatotal inmediatamente vemos que te redirige a http://www.stmary.edu/shop/caixacatalunya.htm (una URL bastante sospechosa), después de meternos en la página podemos comprobar facilmente que nos redirige 30 veces hasta llegar a una página que para nada funciona excepto para robar a los usuarios menos avispados su número de cuenta, su pin y su email. Aqui viene mi mosqueo:

1º Mandé un mail seguidamente a Caixa Catalunya y el viernes me contestaron que mi carta habia sido dirigida al departamento correspondiente, estaba un poco cabreado porque no me han contestado todavía nada más, pero ahora veo que la página ya no está en el servidor, prefiero pensar que el aviso que les mandé sirvió para algo.
2º¿Os habéis dado cuenta de que la página estaba alojada en un servidor de la página de la Universidad de St. Mary?, en América, y además en una carpeta alojada en la raiz.... en fin.
3º Parece ser que a veces vale la pena ser informático responsable.

Pero lo más mosqueante del tema es que yo no llegué a mandar a Caixa Catalunya el mail que me enviaron, entonces que pasó:

-¿Otro informático responsable se la envió antes?, o
- lo que más me inquieta, ¿la página fue eliminada por la universidad de St. Mary y Caixa Catalunya ha pasado del tema?

En fin, prefiero pensar lo primero, por cierto, ¿os ha pasado esto antes? la verdad es que cualquier usuario iniciado al que le manden un mail así podría haber picado MUY facilmente, así que cuidado con el phising. Pero realmente ¿vale la pena hacerse informático responsable?

2 comentarios:

polyphony dijo...

En tema de seguridad andamos bastante mal los informáticos y ante un agujero de tal calibre pues como que no dicen nada y lo apañan corriendo. No pueden decirte directamente que lo han solucionado porque es demostrar una debilidad, da mala imagen, etc...

Es como lo que pasó con Arsys, la compañía de hosting que "perdió" 4.000 passwords de ftp de sus clientes y no dijo nada, bueno, luego sí.

Marc dijo...

Me parece que no sabeis muy bien como funciona todo esto. Le achacais a la entidad cosas que no tocan. O es que pensais que si te falsifican la tarjeta la entidad bancaria puede evitarlo?

si hay alguien que pica con esto del phising lo que tiene que hacer es denunciarlo y ponerlo en conocimiento de su entidad que seguro que le responden.