Farmacias online: otro mecanismo para el robo de credenciales

Hola,

Seguimos haciendo un tour por el spam, y hoy nos paramos en otro coloso dentro de las amenazas a las que se expone el consumidor: las farmacias online

El correo

El gancho para atraer a clientes es el correo. Tratándose de asuntos de salud, es normal que las tiendas de este tipo se dediquen a temas de importancia para el ser humano. La virilidad y la caída del pelo son los reclamos habituales, ya que son cuestiones que atañen a una gran parte de la población masculina. Especialmente en medicación para la potencia sexual y tratamientos de alargamiento viriles, otro factor gancho es el hecho de que este tipo de productos, cuya administración siempre va precedida de prescripción médica, puede causar vergüenza en los compradores, que habitualmente recurren a estas soluciones para evitar la vergüenza que pudiera dar hablar con un médico de estos asuntos. Rara vez estas farmacias están orientadas a mujeres, aunque como todo en esta vida, hay excepciones.

correo spam

Tal y como se observa, este correo de spam es poco elaborado, lo que nos hace pensar que es con toda probabilidad un mensaje de filtrado de destinatarios activos (lo que llamamos habitualmente spam basura), antesala de un spam de calidad. Estos mensajes basura se usan para filtrar listas de receptores futuros del spam de calidad (el elaborado) pero no dejan de ser una opción para que algún incauto muerda el anzuelo.

Empleando a blogspot como redirector

En este caso, se muestra una redirección sobre blogspot, una tendencia bastante en boga últimamente.

correo spam

Las razones podrían ser varias, ya que a priori no es un indicador positivo desde el punto de vista del cliente, ya que muestra una intermediación chapucera que invita a la sospecha. Sin duda es algo llamativo, sobre lo cual no quiero especular.

La tienda

La tienda es un ejemplo de sitio de compra elaborado, completo y que a ojos del consumidor incauto, bien pudiera parecer un sitio legítimo.

tienda online

Otros reclamos

Otros reclamos para causar en el consumidor confianza son los testimonios de otros presuntos adquirientes de productos, y los logotipos de seguridad del tipo Verified by Visa, Money Back Guarantee y Comercio Seguro de Mastercard.

tienda online

En este ejemplo, ninguno de los enlaces es pulsable, lo que hace imposible que el consumidor pueda analizar la legitimidad de este tipo de indicativos de seguridad.

Comprando Viagra

El carro de la compra es completo y elaborado, y permite en un cómodo click comprar algo tan popular como la Viagra, además, en cantidades industriales

carrito compra

Razones para sospechar en este punto, principalmente dos:

* Insistir en que este tipo de medicación sólo se puede comprar si existe supervisión de un médico
* Los precios son demasiado bajos, ya que son medicaciones caras

A la hora de pagar

El mecanismo de checkout es el típico, mostrando un formulario que recoge dirección de facturación, de entrega y cómo no, datos de nuesta tarjeta de pago

carrito compra

El formulario tiene validaciones de todo tipo, con lo que si insertamos un número incorrecto de tarjeta, o si faltan datos, se nos pedirá que se introduzcan nuevamente. Esto causa más confianza en los posibles compradores, que sienten que el comercio está bien labrado. Lo curioso es que la transacción actual y la siguiente, de confirmación de pago, al igual que la totalidad de las existentes, no se hacen bajo HTTPS, sino HTTP. Algo digno de sospecha.

Adicionalmente, recordemos que el comercio muestra falsos logotipos de programas de seguridad en el pago en línea, para crear sensación de seguridad en el usuario:

correo spam
El robo de credenciales

Al confirmar la compra, y frotarnos las manos pensando en lo bien que nos vendrán esas 30 viagras que hemos adquirido (imagino que deben dar para muchas noches locas), llega el jarro de agua fría. La transacción no puede ser ejecutada.

carrito compra

En paralelo, una petición POST ha enviado los datos del script del carro de la compra a un emplazamiento desconocido, probablemente, un correo operado por los estafadores, que se frotarán las manos al ver tus credenciales de pago en su buzón.

Otro motivo para sospechar es que, en un programa de Securecode de Mastercard o Verified by Visa, debería saltar, como paso previo, un centro autorizador establecido por nuestra entidad, y reconocido por el comercio, en el cual se nos pediría, como garante adicional, la introducción de un código de comercio seguro, que se nos ofrece cuando nuestra entidad está suscrita a alguno de esos programas. En este caso, se da por fallida la transacción sin que ningún centro autorizador la haya denegado. Malo, malo, malo.

¿Verified by Visa?

Un vistazo rápido a las tiendas adheridas a Verified by Visa nos hace ver que el dominio al que apunta esta farmacia ilegal no está adherido al programa. Lamento informarte que las Viagras nunca llegarán a tu domicilio, y que es buen momento para cancelar tu tarjeta de crédito. Cuanto menos tardes, mejor.

Sigo sin creérmelo. Parecía real

La tienda tampoco es partícipe en el programa Securecode de Mastercard. Asúmelo, te han engañado.

En otros casos, la tienda será real, y es hasta posible que recibas mercancía por tu compra. No obstante, estando tu salud por medio ¿te fiarías de fármacos que te han llegado a casa de la misma manera que llega un póster o un libro?

Datos de dominio

Updated Date: 13-feb-2008
Creation Date: 27-jan-2008
Expiration Date: 27-jan-2009

¿Qué clase de comercio legítimo sale a la luz con sólo un año de registro de dominio? La creación reciente es otra fuente de sospecha.

Lecciones aprendidas

* Como siempre, el spam no es fiable. Nunca. Solo es vehículo para estafas y para servir en bandeja a los usuarios maliciosos la posibilidad de que te engañen de un modo u otro.
* La medicación la debe recetar un médico, y sólo debe ser adquirida con receta y justificación. Comprar en Internet medicamentos es un riesgo para el bolsillo y para la salud.

Un saludo, y cuidado con este tipo de reclamos. Ya no es sólo una cuestión de dinero, es un tema de salud.

5 comentarios sobre “Farmacias online: otro mecanismo para el robo de credenciales

  1. Hola Sergio,

    Perdona mi ignorancia o mi ceguera, pero algo no me cuadra…

    Respecto a la lista en el enlace «las tiendas adheridas a Verified by Visa» y la correspondiente «en el programa Securecode de Mastercard»… me parecen tan cortas que no las encuentro útiles, en terminos prácticos. Ni para el ciudadano medio, ni para el que estudie o trabaje en temas de seguridad.

    Apenas hay media ó una docena de empresas por letra del abecedario. No encuentro AMAZON, por ejemplo. No sé; estoy seguro que en Amazon se puede comprar con Visa y que te entregan lo que compras :-)

    Se me ocurren infinidad de respuestas de tu parte: «esas son listas por país»; «será que (ej) Amazón no está adherido al programa de Visa, pero sí al de XXX / indirección», etc, etc

    Me voy a mojar con el siguiente comentario, para que… lo machaquen, sin temor a la crítica (con intención constructiva)… :-)

    Esto de los logos «verified by Visa», «Hacker Safe» o similares de otras compañías, son desde el punto de vista de seguridad ONLINE *práctica* para el ciudadano medio, una auténtica *tomadura de pelo*.

    «Just JPG them and plug those images into your fake HTML page».

    La seguridad real, va por otras vias.

  2. Me pregunto que opinará Bruce Schneier de estos LOGOS; probablemente lo clasifique en el apartado «teatro de la seguridad» (lo que, por otra parte no deja de ser útil, en algunos casos).

    Me pregunto igualmente qué opinará Markus Jakobsson de estos LOGOS.

    Y me pregunto también qué tratamiento / opiniones hay respecto a estos LOGOS, en los programas de PCI – DSS (de lo cual reconozco, soy bastante ignorante).

  3. jcbarreto,

    Mil perdones por la tardanza.

    El tema de los comercios adheridos a los programas, como bien dices, tiene su miga. Es cierto que tal y como lo cuento, quizás creemos en el lector una duda, y esa no es otra que ¿y por qué mi tienda online favorita no está adherida a Visa o Mastercard?

    La respuesta, y perdonad todos por explicar las cosas mal, es que estas listas no siempre están actualizadas, y que están segmentadas por países. Yo he enlazado la lista principal, pero por países, el número crece. Aún así, he comprado en tiendas que carecían de logos, y cuando he ido a pagar, mi centro autorizador ha parado la petición de pago, y me ha preguntado por mi código de comercio seguro (señal de que están adheridos)

    El amigo Bruce pensará como yo: los logos por sí mismos, de poco o nada sirven, pero discrepo contigo en algo básico. El usuario de a pie con código de comercio seguro activado en tarjeta, sin que pueda modificarlo, tendrá que introducirlo en sus pagos cuando el centro autorizador se tope con comercios adheridos, y esta es una capa adicional de seguridad que no debemos desdeñar ;)

    Un saludo,

  4. Sergio,

    Muchas gracias. Eres una «máquina» :-)

    Soy muy ignorante sobre el tema, pero… curiosamente, creo que es bueno serlo en este caso (wow) porque así es más fácil tener mejor idea sobre la perspectiva del ciudadano medio. Entonces…

    …(a ver si lo he entendido bien)…

    La seguridad para el USUARIO está REALMENTE en que…

    (a) «El USUARIO de a pie tenga el CODIGO DE COMERCIO SEGURO activado en su tarjeta» (algo que deduzco es OPCIONAL), más que…

    (b) «El COMERCIO de Internet esté ADHERIDO a un programa como Verified by Visa ó Securecode de MasterCard (y muestre sus LOGOS al usuario)»

    [ciudadano medio]: A buenas horas me lo vienen a decir; yo pensaba que al ver el logo, ya estaba seguro del sitio web.

    Otra cosa es la perspectiva del banco, o la propia de MasterCard, Visa: En el el caso de ese [¿pequeño?] SUB-CONJUNTO de usuarios cuya tarjeta tiene activado ese CODIGO DE COMERCIO SEGURO, aunque un sitio web FALSO se lo solicite al usuario, finalmente tendrá que pasar por un COMERCIO realmente adherido al programa y se podrá «tracear» el delito. Bien.

    Por tanto: La efectividad del programa va en función de qué tan amplio es el PORCENTAJE / sub-conjunto de usuarios/tarjetas que tienen activado el código.

    Deduzco que, detrás de todo esto, hay planes en curso (amediano / largo plazo) para ir aumentando gradualmente ese porcentaje. Y aumentar, gradualmente, la seguridad real en Internet para el usuario y para el comercio electrónico.

    ¿Es correcta mi perspectiva?

Comentarios cerrados.