¿Sabes distinguir el phishing? preguntaba Yago hace 4 años. El test de SonicWall todavía sigue activo.

Hoy mi pregunta es: ¿sabes distinguir un sitio web oficial de otro no oficial?
Póngamos por ejemplo este sitio web, tan tristemente de moda hoy día. El oficial es éste, por si había dudas.
¿Y esta web online de Zara es oficial?
Web no oficial de Zara (http://www.zaraonline.com.es/)
¿o esta de Swaroski?
Web no oficial de Swarovski (http://www.swarovskisale.co/)
Por contra, los usuarios de la banca online suelen estar muy informados para no caer en el phishing y además, hace tiempo que la banca online, sobre todo en España, hace uso de certificados SSL EV para aumentar la confianza de sus clientes, aunque luego el fraude les entre por otras vías.
Pero dejando a un lado la banca online, y siguiendo con los casos del comercio electrónico y otro tipo de recursos online, en muchas de las ocasiones, no es trivial distinguir si un sitio web es oficial o no oficial.
Consejos que estamos hartos de oir como:
  • Verifica que la URL es correcta
  • Qué tiene un candado en la parte izquierda de la web, donde el https
  • Revisa la gramática
  • Revisa donde está registrado el dominio
  • Verifica comentarios de otros usuarios
  • Confía en tu sentido común (el menos común de ellos)
noo son válidos para la gran mayoría de los casos, y aún siéndolo requerirían un trabajo extra que pocos usuarios llevarían a cabo. Pongamos por ejemplo el último caso del famoso repositorio no oficial de Debian. En este caso era sencillo, ya que a parte de tratarse de un recurso cuyos usuarios, se les supone capacidad de poder discernir entre sitios oficiales y no, uno de los dominios ‘te vendía la moto’ en ruso y nada tenía que ver con EL SO.
La confusión entre dominios oficiales y no, también da juego para bromas de mejor o peor gusto como la última del sitio web falso de la FIFA.
Por todo ello, en el proyecto desenmascara.me del cual ya comenté algo hace unos meses, a parte de extraer e interpretar los metadatos de cualquier sitio web, de forma no agresiva. Se ha añadido la verificación de sitios web ‘oficiales’ o ‘no oficiales’. Ejemplos:
Web no oficial de zara
Web oficial de zara
Web no oficial de Swaroski
Web oficial de Swaroski
Y ello con el visto bueno de David Barroso, ya que al implementar dicha funcionalidad ví que se trataba de algo similar a famorazzi pero orientado a los sitios web.
Fuente: Security by Default