- Se incorporó
- 28 Agosto 2005
- Mensajes
- 7.589
Disclaimer: no me acuerdo todo perfecto, así que puede haber algunos errores.
Dia a día por pega ingreso al sitio web del banco de chile, y se me de memoria el aspecto de la página, y a grandes rasgos cómo funciona. En el portal de empresas es una foto típica corporativa del costanera center y la cordillera de fondo, con el formulario de ingreso sobre ella.
Un día como cualquier otro, ingrese a ver mis millones de dólares, y me llevo la sorpresa de que la pagina se ve extraña. Una remodelación podrá pensar alguno, dado que no es extraño que se haga eso.
Lo que era diferente era que no se usaban la combinación de colores corporativos, pq el morado no corresponde.
Como tenia toda la pinta de ser un intento de phishing, abrí la pagina desde el celular y paso lo mismo. En un total de 4 dispositivos la misma url mostraba lo mismo. También en 3 redes distintas (2 wifi, 1 movil)
Si se fijaron, la pagina aparece con un certificado SSL valido, la URL es la del banco, no de esas que usan un cero como una letra o, etc. Claramente era problema del banco. El siguiente paso fue revisar el código de fuente para buscar la parte relevante del código y ver a donde se iba la info del formulario. Resulto ser un formulario típico HTML con POST que enviaba la info no a hackers.com sino a la web real del banco.
Entonces llame al banco con la intención de reportar. Me atienda una telefonista y le cuento lo que esto viendo. Ella me pregunta: “como accedió al banco?” a lo que respondí super detalladamente el proceso. “abri el navegador, aprete el icono del banco” (que se auto genera en Firefox de los sitios que mas visitas)
Ahí a la telefonista le sonaron las alarmas de que eso no se debe hacer. Claro, entiendo el por que, alguien podría haberlo cambiado maliciosamente en mi navegador. pero no, no es el caso.
Me dice que la solución es escribir manualmente la web y apretar los montones de clicks que me ahorre con el acceso directo de Firefox.
Le dije que OK, valid point. Pero no estoy pidiendo tech support, quiero reportar el bug pq la URL es válida, y tiene candadito (cert ssl) no necesito que me diga como entrar al banco, necesito un mail para mandarle la info.
Me insistió que la obligaban a decirme que por favor hiciera los pasos que ella me iba a dictar pq era estándar. Así que me dice que cierre el Chrome y lo abra de nuevo. Le respondi que no tengo Chrome y que uso Firefox. Me dice que solo tiene instrucciones para Chrome y no Firefox.
Después de un palabrerío termine instalando Chrome solo para borrar cookies que nunca he tenido pq nunca había usado Chrome. Después de todo ese tiempo inútil no recuerdo si la llamada se corto o ellos me cortaron. Así que me quede sin reportar nada.
Lo encontré super frustrante.
La cosa es que al rato mejore mi discurso y llame de nuevo, le dije a otra operadora algo como lo siguiente: Hola, quiero reportar un intento de phishing y la operadora anterior no me recibe la imagen que intento mandar, me puedes dar tu mail?
Así que me lo dio, y me dijo que me iban a contactar de vuelta. Le dije que gracias (por no hacerme instalar Chrome de nuevo) y corté. Le mande el mail y nunca mas supe nada del banco.
Lo recibieron? Who Knows.
Me dieron muchos millones por esto? No.
Ya pero luksic te invito a comer al tip y tap? No.
Te pidieron mas datos de como ocurrio? No.
Te respondieron el mail o algo? No.
Ni una llamada weona? No.
Una se imaginaria que una institucion que tiene bastante que perder, haria un esfuerzo por saber como ocurrio esto. Poner tu clave en un formulario no legitimo no es un problema leve, es grave.
Dia a día por pega ingreso al sitio web del banco de chile, y se me de memoria el aspecto de la página, y a grandes rasgos cómo funciona. En el portal de empresas es una foto típica corporativa del costanera center y la cordillera de fondo, con el formulario de ingreso sobre ella.
Un día como cualquier otro, ingrese a ver mis millones de dólares, y me llevo la sorpresa de que la pagina se ve extraña. Una remodelación podrá pensar alguno, dado que no es extraño que se haga eso.
Lo que era diferente era que no se usaban la combinación de colores corporativos, pq el morado no corresponde.
Como tenia toda la pinta de ser un intento de phishing, abrí la pagina desde el celular y paso lo mismo. En un total de 4 dispositivos la misma url mostraba lo mismo. También en 3 redes distintas (2 wifi, 1 movil)
Si se fijaron, la pagina aparece con un certificado SSL valido, la URL es la del banco, no de esas que usan un cero como una letra o, etc. Claramente era problema del banco. El siguiente paso fue revisar el código de fuente para buscar la parte relevante del código y ver a donde se iba la info del formulario. Resulto ser un formulario típico HTML con POST que enviaba la info no a hackers.com sino a la web real del banco.
Entonces llame al banco con la intención de reportar. Me atienda una telefonista y le cuento lo que esto viendo. Ella me pregunta: “como accedió al banco?” a lo que respondí super detalladamente el proceso. “abri el navegador, aprete el icono del banco” (que se auto genera en Firefox de los sitios que mas visitas)
Ahí a la telefonista le sonaron las alarmas de que eso no se debe hacer. Claro, entiendo el por que, alguien podría haberlo cambiado maliciosamente en mi navegador. pero no, no es el caso.
Me dice que la solución es escribir manualmente la web y apretar los montones de clicks que me ahorre con el acceso directo de Firefox.
Le dije que OK, valid point. Pero no estoy pidiendo tech support, quiero reportar el bug pq la URL es válida, y tiene candadito (cert ssl) no necesito que me diga como entrar al banco, necesito un mail para mandarle la info.
Me insistió que la obligaban a decirme que por favor hiciera los pasos que ella me iba a dictar pq era estándar. Así que me dice que cierre el Chrome y lo abra de nuevo. Le respondi que no tengo Chrome y que uso Firefox. Me dice que solo tiene instrucciones para Chrome y no Firefox.
Después de un palabrerío termine instalando Chrome solo para borrar cookies que nunca he tenido pq nunca había usado Chrome. Después de todo ese tiempo inútil no recuerdo si la llamada se corto o ellos me cortaron. Así que me quede sin reportar nada.
Lo encontré super frustrante.
La cosa es que al rato mejore mi discurso y llame de nuevo, le dije a otra operadora algo como lo siguiente: Hola, quiero reportar un intento de phishing y la operadora anterior no me recibe la imagen que intento mandar, me puedes dar tu mail?
Así que me lo dio, y me dijo que me iban a contactar de vuelta. Le dije que gracias (por no hacerme instalar Chrome de nuevo) y corté. Le mande el mail y nunca mas supe nada del banco.
Lo recibieron? Who Knows.
Me dieron muchos millones por esto? No.
Ya pero luksic te invito a comer al tip y tap? No.
Te pidieron mas datos de como ocurrio? No.
Te respondieron el mail o algo? No.
Ni una llamada weona? No.
Una se imaginaria que una institucion que tiene bastante que perder, haria un esfuerzo por saber como ocurrio esto. Poner tu clave en un formulario no legitimo no es un problema leve, es grave.
Última modificación:
hacer la pega bien, tener canales de denuncia de incidencias expeditos y procedimientos actualizados
ser unos pencas culiaos
Después de un rato, me pegué el alcachofazo que no debí poder hacerlo, porque la clave estaba bloqueada y además fue expuesta a todo el mundo.
