miércoles, mayo 09, 2018

"Cuñado, he visto una oferta genial en la web. ¿Compro o es peligroso?"

Hoy os vengo a contar una historia de esas que seguro que os ha pasado alguna vez. Es el momento en el que te preguntas si debes seguir comprando en *esta* página web o no. ¿Es de fiar pagar por un producto que vendrá en el futuro en *esta* web? De eso va el post de hoy, de cómo yo decidí no hacerlo por precaución, sin llegar a saber si el sitio era una estafa o no. Eso os lo dejo a los lectores.

Figura 1: "Cuñado, he visto una oferta genial en la web. ¿Compro o es peligroso?"

La historia comenzó cuando el otro día, un familiar me pidió sugerencia para realizar una compra en una página web. Como os he contado, dudaba de si era segura o no para meter los datos de la tarjeta de crédito y pagar. Su preocupación era que la web fuera insegura y cualquiera haciendo usando alguna de las técnicas de Hacking Web Technologies pudiera llevarse sus datos. O mucho peor, si la web era maliciosa. Para ello, me envió la URL y me encontré varias sorpresas en un primer vistazo que comparto con vosotros.
• La página web no estaba cifrada con SSL. 
• Los precios son en casi todos los productos un 60% más baratos que el propio fabricante. 
• No hay información de ninguna razón social o empresa. 
• El aviso de privacidad esta en ingles mientras que la pagina esta en castellano.
Hasta ese momento eran errores que pueden llegar a estar en webs mal diseñadas - algo que no es extraño. Haciendo un poco de Hacking con Buscadores e indagando en Google encontré más paginas similares en los primeros resultados de la consulta que están utilizando las mismas plantillas, simplemente cambian algo.

Figura 2: Código fuente de una web de venta con descuentos del 81%

A priori, guardando la presunción de inocencia de estos sitios y pensando que son simples errores,  se están utilizando malas prácticas y no se debería comprar en ellas si te preocupa que tengan una brecha de seguridad, o que aparezca un simple SQL Injection que se lleve todos los datos. Este es el listado de algunas de ellas:
  • www.sanminer.es
  • www.towinbackyourex.com
  • www.marjalles.com
  • www.treeffestrutture.com
  • www.toddandsarahrainey.com
  • www.chaletelbosque.es
  • www.viajeschavez.es
  • www.spiritrhythmband.com
  • www.wordsandpublicity.com
  • www.compromisoprimarias.es
  • www.sosdangereolien.com
  • www.abparquitectura.es
  • www.city-scout24.es
  • www.tallerbicis.es
  • www.equipoiseconsulting.com
  • www.nosunemontilla.es
  • www.equipoiseconsulting.com
  • www.mapersonalchef.com
Observando simplemente la descripción del código fuente de unas páginas, no inspira mucha confianza lo que veo. Hay descuentos del 81%, - como de puede ver en la Figura 2 - algo que creo que pocas veces, salvo en liquidaciones de cierre,  suele ser común. Además, en el formulario de compra, aparecen los campos de tarjeta de crédito y el formulario se muestra en una web sin cifrar.

Figura 4: Datos del formulario enviados sin cifrar

Observando más en detalle el código fuente del formulario, observamos también que en el método ACTION, la información se envía por HTTP, esto significa que la información de tus tarjetas de crédito van sin cifrar y cualquier persona podría obtener los datos de dicha tarjeta de una forma sencilla. También la información del formulario esta en inglés y la página web supuestamente esta en castellano y vende productos a España como indica la descripción del sitio.

Figura 5: Envío de los datos sin cifrar

Buscando en las páginas el aviso de privacidad, no encontramos información de la empresa que gestiona nuestros datos, y lo que es peor, nos dice que la información va cifrada por SSL y es completamente falso. Y los enlaces a redes sociales, apuntan al índex de la página, así que son falsos.

Figura 6: Aviso de política de privacidad

Consultando el Whois de algunos dominios, encuentro algunas similitudes entre unos y otros. Los correos electrónicos, por ejemplo. Es probable que los nombres del registrante sean falsos, o hechos de forma automática.

Figura 7: Información de dominios similares

Manteniendo la presunción de inocencia de estas páginas, recomendaría a mi "cuñado" después de lo que se ha explicado antes, no comprar nada en estas web. Mis recomendaciones básicas son siempre comprobar que el certificado SSL es válido, leer la política de privacidad y lo que es más importante, ¡¡los precios!!, nadie va a vender un producto más barato que lo que cuesta al vendedor. Os recomiendo el artículo de Chema Alonso de "Carding Básico: ¡Ojo dónde pones tu tarjeta de crédito!". Aún así, puede que la web cumpla todas estas cosas y al final... sea un fraude o sufra una brecha de seguridad, pero si la web de e-commerce es como estas, mejor no arriesgarse.

Autor: David Hurtado

No hay comentarios:

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares