Those of us who work in information security have said
for many years that HTTPS sites, webs, emails, etc. are
seguros, currently this is a statement not only reckless but also one that only
helps to confuse users.
This is the case of a fake Mastercard email with the subject”Communiqué
Important”that spread during the last week of April and had
a link to an HTTPS site.
As can be seen in the image, the email claims to come
from MasterConsultas mcalertas[At]mcalertas[dot]com[dot]ar, but it is a
forgery of an email that for criminals is extremely
easy to achieve and is the reason why, in the first instance, one should not
trust the subject or the sender of an email.
En este correo se hace referencia a un supuesto premio que funciona como
anzuelo para que usuarios desprevenidos (o demasiado ilusionados) hagan
clic.
At last, se observa el enlace al sitio HTTPS propiamente dicho, el cual
también es un sitio falso”1masterconsull[dot]com”que nada
tiene que ver con la entidad real.
¿Por qué un sitio HTTPS también puede ser inseguro?
Un sitio HTTPS simplemente “garantiza” que la
comunicación entre el cliente y el servidor se trasmite en forma cifrada (or
encriptada si se prefiere esa palabra) pero nada dice sobre la autenticidad del
sitio. En resumidas cuentas, que un sitio
sea”https://banco-seguro.com”no significa que la
entidad”banco-seguro”sea una organización de confianza o que
siquiera exista. Puede ser el sitio de un delincuente y nosotros ingresaríamos
nuestros datos personales en él, simply because its name
“suggests” that it is safe.
In summary, the criminal, with two simple steps, can set up (securely
for free) a fake HTTPS site of any entity and send tens of thousands of
emails to potential victims. When an unsuspecting user receives it
mail, they only check that the domain starts with HTTPS (which means
nothing), they believe they have won a prize (nothing is free on the Internet) and click on the
link. That is,, by mistake, HTTPS has become a synonym for
trust.
At that moment, the victim goes to the fake site and fills in their personal data and/or
Financial, which are ultimately sent to the criminal, who will have
the stolen data to commit identity theft and will use the
credit card to make purchases in online stores and/or in the
exterior.
Para estar seguros que un sitio web es verdadero este: debe
comenzar con HTTPS (eso no cambia) y también debe verificarse que el nombre del
dominio realmente pertenece a la entidad a la que se desea ingresar.
La mejor recomendación es escribir en la barra de direcciones del navegador el
nombre del sitio al que se desee acceder y nunca, hacer clic en un enlace que
se haya recibido por correo electrónico. ¿Se tarda más tiempo en escribir el
dominio? Yes, se tarda dos segundos más, pero eso garantiza que su dinero
seguirá siendo suyo.
Fountain: Tracking.Info