En una acción también conocida como "Ingeniería Social" el delincuente informático busca hacerse pasar por el Banco o una persona o entidad conocida para engañar al usuario.

Con el engaño pretende robar información confidencial a través de manipulación de usuarios legítimos, obtenidos a partir de la instalación o utilización de algún programa malicioso. Algunas de las tácticas más comunes son: pishing, spoofing, pharming, a través de spyware, worms, entre otros.

Pishing

Una estafa cada vez más frecuente que actualmente esta siendo empleada por individuo sin escrúpulos, es el Pishing.

El pishing consiste en el robo de datos bancarios por medio de Internet. El método más habitual es el empleo del correo electrónico enviado a tantas direcciones de correo electrónico de Internet como el usuario mal intencionado puede obtener, para contactar con usuarios y convencerles de que visiten paginas que imitan las de la entidad suplantada presumiendo provenir de una organización legitima en la mayoría de los casos de un Banco, un servicio de pagos en línea, un minorista o similar, en las que, además, deben introducir datos personales (numero de cuenta, PIN, numero de tarjeta de transacciones bancarias, etc.) que quedan así registrados. Es habitual que después de la introducción de los datos se muestre una pagina de error, para que la víctima piense que no se ha podido realizar la conexión y así no sospeche nada.

O bien el correo electrónico solicita que el destinatario ponga al día o verifique su información personal y financiera, incluyendo la fecha de nacimiento, la información de conexión, los detalles de cuentas, los números de tarjeta de crédito, los números de identificación personal (PIN), etc. Algunos mensajes electrónicos incluyen una amenaza de que si no se actualiza o se valida causará, por ejemplo, que la cuenta sea congelada. El objetivo es inducir a destinatarios confiados, que resultan ser los clientes de la organización legitima que ha sido imitada, a responder al correo electrónico y proporcionar la información solicitada.

El correo electrónico contendrá un link que le llevara a un sitio Web que imita y se aprecia idéntico, o al menos muy similar, al sitio genuino de la organización. En algunos casos, cuando el link en el correo electrónico es pulsado, el sitio genuino es accedido, pero es cubierto con un ventana mas pequeña con el sitio falso, haciéndolo más creíble. Pulsar sobre un link también puede descargar en su PC software malicioso, conocido como Spyware, que registrará su uso del Internet y reenviará esta información, y posiblemente un registro de lo que haya tecleado, al usuario mal intencionado. En la practica, cuando el troyano detecta que el usuario esta visitando la URL de una entidad bancaria, el keylogger se activa y recoge todas las pulsaciones del usuario, que normalmente incluirían logins, passwords, números de cuenta y otros datos bancarios. El usuario malintencionado usará esta información financiera para comprometer cuentas bancarias, tarjetas de crédito, etc.

Para evitar ser víctima del Pishing, nunca responda a mensajes de correo electrónico que requieran información personal o financiera, y nuca pulse un link en ese tipo de correos. Las organizaciones de buena reputación no envían mensajes de correo no solicitado pidiendo a sus clientes actualizar o verificar sus detalles personales y de seguridad. Si tiene duda respecto a la legitimidad del correo, o si cree que ha sido víctima de un engaño de Pishing, debe contactar inmediatamente a la organización de la que se trate. Sin embargo, debe tener cuidado en utilizar el método acostumbrado con el que contactas a esta organización, en lugar de usar cualquier sugerencia incluida en el correo o respondiendo a éste.

Pharming

Además de los citados métodos, últimamente se ha reportado un método nuevo, mas sofisticado y con el mismo fin, llamado Pharming. En este caso, el ataque se realiza al ordenador del usuario o al proveedor del servicio de Internet, de modo que cuando el usuario solicita - como hace normalmente-  una pagina de su entidad bancaria, se ve redireccionada a otro sitio web que imita la página original.

En la actualidad, la detección de las citadas amenazas que persiguen el fraude electrónico esta supeditada al uso que hace de las técnicas de malware tradicionales.

En el caso del Pishing, tanto si se utilizan técnicas de spam en su difusión, como si se emplean keyloggers conocidos, o si se explota la vulnerabilidad del navegador que permite mostrar una dirección falsa en la barra de direcciones del explorador, la detección es posible. En el pharming, la neutralización es mas compleja, máxime si el ataque lo  llevan a cabo usuarios malintencionados desde el exterior y no algún tipo de malware introducido previamente.

Engaños de Phishing y Pharming