jueves, 7 de marzo de 2013

SPF contra el phishing: mejor en la banca española que en el mundo

Hablábamos el otro día sobre las SPF, una de las medidas que puede adoptar la banca para intentar que el phishing no caiga en los buzones de los usuarios y, por tanto, reducir su efecto. Hemos realizado una comparativa sobre qué bancos españoles implementan esta medida comparada con los más importantes del mundo, comprobando que en España está más extendido el uso de esta buena práctica.

El estudio se ha basado en comprobar la configuración SPF de los principales dominios de las entidades bancarias. Si el sistema está bien configurado, dejará pasar los correos que vienen de las direcciones IP designadas como válidas, y marcará el resto que dicen venir de la entidad como "falsos". Si está configurado de otra manera, en los que no se marca tajantemente el correo como "falso", se entenderá que la configuración es incompleta. Si el dominio principal no utiliza SPF, la configuración se considera deficiente.

Hemos tomado 62 dominios de las principales entidades financieras españolas o entidades con su representación en España. En ellos, el resultado es que:

  • 22 entidades no implementan ninguna medida SPF.
        
  • 11 las implementan, pero no de forma estricta.
         
  • 29 tienen configurado de forma correcta sus registros SPF para el dominio principal.
        

Lo que se traduce en que un 46,7% de las entidades mantiene correctamente configurado sus registros SPF, y por tanto aportan esta buena práctica que puede resultar en una reducción del phishing en los buzones de los usuarios.

Para la comparativa, hemos tenido en cuenta los 50 mayores bancos del mundo, sacados de una lista realizada en febrero de 2012.

Entre ellos hay dos españoles ya estudiados previamente, por lo que la comparativa se reduce a 48 entidades. Los resultados han sido:

  • 21 entidades no implementan ninguna medida SPF.
        
  • 13 implementan las medidas, pero no de forma estricta.
        
  • 14 tienen configurado de forma correcta sus registros SPF para el dominio principal.
        

Lo que nos deja con un pobre 28% de entidades que mantiene correctamente configurado sus registros SPF entre los 50 bancos más grandes del mundo.

Entre las curiosidades, hemos visto cómo alguna entidad mantiene el sistema en modo de pruebas: (con la política "?all"), otras que directamente parecen no enviar correo desde ese dominio, puesto que no designa ninguna IP como válida, y otras con errores de sintaxis en su configuración.

No se han tenido en cuenta otros factores más "sutiles", como por ejemplo que se implemente correctamente SPF para todos los dominios o subdominios de la entidad.  Adicionalmente, hemos comprobado que otras medidas similares más complejas, como DKIM, directamente no son implementadas por ninguna entidad.

En resumen, se puede afirmar que la banca española en general, toma las medidas básicas contra el phishing, lo que supone que se respetan las buenas prácticas establecidas, mientras que los grandes bancos mundiales parecen no tenerlas demasiado en cuenta.

Los dominios de las entidades españolas estudiadas, han sido:

bancaja.es, bancocetelem.es, bancodevalencia.es, bancogallego.es, bancoherrero.es, bancopastor.es, bancopopular.es, sabadellatlantico.com, sabadellurquijo.com, barclays.es, banesto.es, ebankinter.com, bankoa.es, barclays.es, bbk.es, bbvanet.com, santandercentralhispano.es, caixacatalunya.es, novagaliciabanco.es, unnim.es, cajaespana-duero.es, cajaespana.es, cai.es, cajalaboral.es, bankia.es, cajarioja.es, iparkutxa.es, cajavital.es, cajamar.es, deutsche-bank.es, santanderconsumer.es, ibanesto.com, ibercaja.es, ingdirect.es, inversis.es, kutxa.es, lacaixa.es, lacajadecanarias.es, lloydsbank.es, Openbank.es, ruralvia.com, unicaja.es, uno-e.es, bancamarch, bde.es, bancoetcheverria.es, bnpparibas.es, caja3.es, caixaontinyent.es, cajasur.es, liberbank.es, cajacirculo.es, caixapenedes.com, caixalaietana.es, cajastur.es, cajamurcia.es, cajarioja.es, cajaextremadura.es, sanostra.es, tríodos.es, cajagranada.es, cajabadajoz.es.

Los dominios de las otras entidades estudiadas, han sido:

icbc.com.cn, ccb.com , wellsfargo.com, hsbc.com, abchina.com, jpmorganchase.com, boc.cn, itau.com, citibank.com, commbank.com.au, rbcroyalbank.com, bankofamerica.com, tdbank.com, westpac.com.au, mufg.jp, bradesco.com.br, sbrf.ru, anz.com, scotiabank.com, standardchartered.com, nab.com.au, usbank.com, bnpparibas.net, goldmansachs.com, .ubs.com, bankcomm.com, cmbchina.com, smfg.co.jp,bb.com.br, barclays.co.uk, deutsche-bank.de, bmo.com      , mizuho-fg.co.jp, morganstanley.com, santander.com.br, lloydsbankinggroup.com, nordea.com, ecitic.com, pnc.com, .credit-suisse.com, cibc.com, intesasanpaolo.com, bochk.com, spdb.com.cn, bnymellon.com, rbs.co.uk, hangseng.com, sbi.co.in.

Más información:

Buenas prácticas contra el phishing por parte de los bancos: SPF
http://unaaldia.hispasec.com/2013/02/buenas-practicas-contra-el-phishing-por.html


Laboratorio Hispasec