08 julio 2013

Cómo verificar si un sitio web es oficial, no oficial o falso

¿Sabes distinguir el phishing? preguntaba Yago hace 4 años. El test de SonicWall todavía sigue activo.
Hoy mi pregunta es: ¿sabes distinguir un sitio web oficial de otro no oficial?

Póngamos por ejemplo este sitio web, tan tristemente de moda hoy día. El oficial es éste, por si había dudas.

¿Y esta web online de Zara es oficial?

Web no oficial de Zara (http://www.zaraonline.com.es/)

¿o esta de Swaroski?

Web no oficial de Swarovski (http://www.swarovskisale.co/)

Por contra, los usuarios de la banca online suelen estar muy informados para no caer en el phishing y además, hace tiempo que la banca online, sobre todo en España, hace uso de certificados SSL EV para aumentar la confianza de sus clientes, aunque luego el fraude les entre por otras vías.

Pero dejando a un lado la banca online, y siguiendo con los casos del comercio electrónico y otro tipo de recursos online, en muchas de las ocasiones, no es trivial distinguir si un sitio web es oficial o no oficial.

Consejos que estamos hartos de oir como:
  • Verifica que la URL es correcta
  • Qué tiene un candado en la parte izquierda de la web, donde el https
  • Revisa la gramática
  • Revisa donde está registrado el dominio
  • Verifica comentarios de otros usuarios
  • Confía en tu sentido común (el menos común de ellos)
noo son válidos para la gran mayoría de los casos, y aún siéndolo requerirían un trabajo extra que pocos usuarios llevarían a cabo. Pongamos por ejemplo el último caso del famoso repositorio no oficial de Debian. En este caso era sencillo, ya que a parte de tratarse de un recurso cuyos usuarios, se les supone capacidad de poder discernir entre sitios oficiales y no, uno de los dominios 'te vendía la moto' en ruso y nada tenía que ver con EL SO.

La confusión entre dominios oficiales y no, también da juego para bromas de mejor o peor gusto como la última del sitio web falso de la FIFA.

Por todo ello, en el proyecto desenmascara.me del cual ya comenté algo hace unos meses, a parte de extraer e interpretar los metadatos de cualquier sitio web, de forma no agresiva. Se ha añadido la verificación de sitios web 'oficiales' o 'no oficiales'. Ejemplos:

Web no oficial de zara

Web oficial de zara


Web no oficial de Swaroski

Web oficial de Swaroski


Y ello con el visto bueno de David Barroso, ya que al implementar dicha funcionalidad ví que se trataba de algo similar a famorazzi pero orientado a los sitios web.

----------------------------------------------------

Artículo cortesía de Emilio Casbas

9 comments :

María García dijo...

Muy útil. Muchas gracias.
(Por cierto: que sale mejor alguna tienda de moda que alguna sede electrónica). :)

María García dijo...

Sobre análisis de la seguridad de un sitio web (más concretamente, su configuración SSL) he encontrado este laboratorio: https://www.ssllabs.com/ssltest/index.html

Como no he encontrado ningún post del blog donde se mencione, lo pongo, por si a alguien le interesa. (por cierto: que también sale mejor la tienda de moda que la sede)

EgoMei dijo...

Por aquí otro 90%, pero injusto porque esta pregunta está mal:

http://www.sonicwall.com/furl/phishing/phishing-why.php?qid=7


La URL, la única que enseñan en la imagen, está bien, vale que UPS no creo que mandase eso nunca, pero por los datos que daban, sólo la URL correcta, realmente el mensaje no sería phising.

Alejandro Amo dijo...

Grande, casbas!
Un abrazote
Alejandro Amo

fossie dijo...

Si cuando entro a una web supuestamente del estado (FOGASA) y me veo anuncios de la termomix pues como que no... vamos que no me da sensación de ser una web oficial :D

Lo mismo me ha sucedido con la web no oficial de Zara que veo que tiene publicidad (cosa que Zara no necesitaria o, por lo menos, no tan cutre)

La web no oficial de Swarovski por lo menos no tiene publicidad (por lo que he podido ver en 30 segundos) y tiene buena pinta esteticamente pero que casque con una simple inyección sql pues tampoco me da mucha confianza...

Una herramienta muy útil la de http://desenmascara.me, buen trabajo!!!

Emilio dijo...

Muchísimas gracias a vosotros por los comentarios!

Carlos Luis González dijo...

Maria muchas gracias por tu informacion,particularmente utilizo Norton,pero este Laboratorio ofrece datos interesantes,amplios y confiables,saludos!

María García dijo...

Uy, ya ni me acordaba de que había escrito aquí. De nada. Me alegro de haber podido aportar algo útil. :)

Joyce Moran dijo...

hola , hice una compra en esta pagina web, la verdad necesito saber si es falsa