Telecom #Personal solicita datos de tarjeta de crédito por correo electrónico (@PersonalAr)

agosto 1, 2013 § 2 comentarios

Hace unos días, un lector nos remitió un correo de Telecom Personal para verificar si era verdadero o si correspondía a un caso de Phishing. Y, en el caso de ser verdadero, cuál era el motivo por el cual la empresa le solicitaba enviar por correo electrónico sus datos personales, incluidos los de su tarjeta de crédito a través de un formulario PDF.

Al analizar el correo, efectivamente se confirma que el mismo proviene desde la dirección 111@personal.com.ar, desde el SMTP mail.clubpersonal.com.ar (IP = 200.43.33.90). Además también se puede comprobar que dicho SMTP y dirección IP corresponden a los servidores de la empresa Telecom Personal.

En esta cabecera se puede comprobar que el correo siguió el siguiente camino:

 111@personal.com.ar --> usuario_dominio@dominio.com.ar --> Redirección --> usuario_gmail@gmail.com

Ante la duda del análisis manual, también se puede verificar esta camino en IP2Location:

Confirmado que efectivamente el correo es real y proviene desde Telecom Personal, toca analizar el contenido del correo y el motivo por el cuál se solicitan datos personales y de la tarjeta de crédito del usuario, a través de un método inseguro como el correo electrónico (y el postal).

En este caso, el usuario que reportó el correo había solicitado a la empresa un cambio de plan y, a través del servicio telefónico, le informaron que le enviarían este correo electrónico para confirmar sus datos y aceptar el contrato del nuevo plan.

Como puede verse, efectivamente el correo tiene un archivo PDF adjunto “2527_CambiodeplancontarjetaaplanconFacturaoAbonoFijo.pdf”, el cual he compartido para quien desee analizarlo en detalle.

A continuación dejo las capturas de pantalla de la primera y segunda hoja del formulario mencionado. En la primera hoja se deja en claro que se debe completar el formulario adjunto, firmarlo y certificar dicha firma para, finalmente, enviarlo por correo postal a la dirección de la empresa.

En la siguiente hoja se solicitan los datos personales del usuario y los de la tarjeta de crédito, para dar de alta el servicio de débito automático.

En resumidas cuentas, completaremos un proceso tedioso, molesto e inseguro y deberemos pagar por una certificación de firmas para hacer un simple cambio de plan de telefonía mientras nuestros datos personales y crediticios viajarán por correo postal.

He intentado comunicarme con la compañía en repetidas ocasiones para que me expliquen este procedimiento y el motivo por el cual no es posible realizarlo por otro medio. Lamentablemente no he podido ponerme en contacto. Hice varios intentos llamando el *111, obteniendo siempre la misma respuesta: “todos nuestros agentes se encuentran ocupados”. También he preguntado por correo a la cuenta 111@personal.com.ar, sin respuesta.

Finalmente he intentado obtener alguna respuesta coherente a través de la cuenta oficial de Twitter de la empresa @PersonalAr, que brinda un servicio cercano a la “nada” ya que con cada mensaje se debe comenzar a explicar el problema nuevamente, dependiendo quien responda el Twit anterior. Además, en este caso también solicitaron mis datos para proceder a realizar la operación:

Vale aclarar que en otro Twit me confirmaron que NO era necesario informar los datos de la tarjeta para realizar el cambio pero de todas maneras solicitaron mis datos personales.

Finalmente no queda claro si para cambiar el plan telefónico, se debe enviar una carta (sic!) con datos personales a la empresa o completarlos vía Twitter. Lo que si queda claro es que la empresa no hace lo necesario para proteger los datos personales de sus usuarios y los solicita por canales abiertos. Me gustaría saber qué tienen que decir los auditores de Sarbanes Oxley (SOX) y PCI respecto a este manejo irresponsable de datos personales y crediticios.
Sería bueno que la empresa explicara este procedimiento y desde ya dejo este canal abierto para su respuesta oficial.

Cristian de la Redacción de Segu-Info

§ 2 respuestas a Telecom #Personal solicita datos de tarjeta de crédito por correo electrónico (@PersonalAr)

  • Anonymous dice:

    No cumple con las Normas PCI, dado que solicita por un canal inseguro el numero de tarjeta y lo que es peor, la fecha de vencimiento.Como responsable de segundad de una marca de tarjeta, vamos a tomar carta en el asunto.Gracias!

  • Anonymous dice:

    Estimados, si bien es incorrecto que soliciten la fecha de vencimiento de la tarjeta,. En el mail se observa, que le están solicitando que los datos los por correo Argentino.

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo Telecom #Personal solicita datos de tarjeta de crédito por correo electrónico (@PersonalAr) en Seguridad Informática.

Meta

A %d blogueros les gusta esto: