Numerosos sitios web han estado animando a la gente a donar a Ucrania, a su gobierno oficial, a través de este sitio web. (Nota: ctrl + f "es" para encontrar el conmutador en inglés).
¿Es este sitio web legítimo (es decir, controlado por el gobierno oficial de Ucrania)?
¿Por qué los componentes de la url están en inglés? ¿Cómo puede alguien ver esto y no pensar que es una estafa?
Si es una estafa, ¿dónde se dona realmente? Y ¿cómo se verifica sin hablar el idioma?
Es legítimo y lleva al menos 23 años en uso.
Una rápida comprobación con Wayback Machine muestra que el primer registro de bank.gov.ua que utiliza el Banco Nacional de Ucrania se remonta a enero de 1999. Me resulta muy difícil imaginar que alguien se pase 23 años preparando una estafa (o que un sitio web de estafa con una dirección fácilmente reconocible siga funcionando durante 23 años).
No veo por qué usar el inglés sería un indicador de estafa. El inglés es hoy en día el lengua franca mundial de facto y, como tal, es bastante adecuado para un sitio web destinado a ser descubierto por usuarios nacionales e internacionales.
El sitio ukraine.ua ha sido, durante mucho tiempo, dirigida por el gobierno ucraniano, ha sido registrada en 2012 según whois, y es propiedad de la oficina de patentes ucraniana, uatm.ua :
domain: ukraine.ua
dom-public: NO
license: 65490
mnt-by: ua.tm
nserver: crystal.ns.cloudflare.com
nserver: sam.ns.cloudflare.com
status: ok
created: 2012-09-28 12:19:12+03
modified: 2021-10-28 12:23:01+03
expires: 2022-09-28 12:19:12+03
source: UAEPP
% Registrar:
% ==========
registrar: ua.tm
organization: Ukrainian Trademarks Ltd
organization-loc: " "
url: http://uatm.ua
city: Kyiv
country: UA
abuse-email: info@uatm.ua
abuse-phone: +380444864381
abuse-postal: Ukraine 03087 Kyiv 18-A Erevanskaya Str., kv. 17
abuse-postal-loc: 03087 . , . 18-, . 17En ese sitio web, hay un enlace destacado "no apartar la vista de la guerra" que enlaza con war.ukraine.ua que también tiene un enlace "Donar a Ucrania" para war.ukraine.ua/donate que vuelve a mencionar, en su texto, bank.gov.ua .
El mismo sitio tiene instrucciones para contactar con las embajadas de Ucrania para el servicio militar voluntario. Lo que significa que, de vez en cuando, los individuos se presentarán en las embajadas mencionando el sitio web, lo que significa que Ucrania al menos estará al tanto del sitio.
El sitio también dice, en la fila inferior: This is the official website of Ukraine. The information is verified by the Ministry of Foreign Affairs of Ukraine
Aunque esto no es una prueba del 100%, para que sea falso, el estafador tendría que haber conseguido el control del dominio en octubre de 2021, sin que el gobierno ucraniano supiera, quisiera o no pudiera recuperarlo desde entonces. Este escenario me parece bastante inconcebible. Así que creo que ukraine.ua es, de hecho, dirigido por el gobierno ucraniano, y, por extensión, el vínculo con bank.gov.ua es legítimo.
*.gov.ua se puede considerar de forma bastante concluyente que está bajo el control del gobierno de Ucrania, y parece que su norma es utilizar subdominios en inglés.
https://twitter.com/DefenceU la cuenta verificada de Twitter del Ministerio de Defensa de Ucrania, utiliza https://mil.gov.ua/ como su enlace de perfil.
Zelensky's, https://twitter.com/ZelenskyyUa , utiliza de forma similar https://president.gov.ua/ .
Aunque los procesos de verificación de Twitter no son perfectos, estas cuentas han existido durante todo el conflicto actual y han sido citadas regularmente por las principales organizaciones de noticias ( WaPo , NYT ); si fueran falsas, ya lo sabríamos.
El sitio web es probablemente legítimo, ya que los subdominios .gov.* normalmente sólo se pueden obtener en diversas oficinas gubernamentales, es decir, un particular no puede registrar uno fácilmente sin hacerse pasar por un funcionario del gobierno. Además, "bank" es un nombre relativamente sencillo para un dominio bancario, y usted mencionó que muchos sitios web estaban dirigiendo a la gente hacia allí, así que si fuera una estafa, probablemente ya se habría notado y retirado.
En realidad hay dos piezas para esto .
Primero, es el nombre de dominio bank.gov.ua ¿Propiedad del Banco Central de Ucrania? Definitivamente sí como se detalla en otras respuestas.
En segundo lugar, cuando se introduce ese nombre de dominio en un navegador, ¿se trata (siempre) de conectar a la (o una) página web del banco central de Ucrania? Probablemente, pero tal vez no.
En realidad, Internet no utiliza nombres de dominio, sino que éstos se superponen. Para conectarse a un sitio web identificado por un nombre de dominio, o a una página identificada por una URL que contiene (después del esquema) un nombre de dominio, su navegador realiza dos pasos:
resolver" (asignar) el nombre de dominio a una o más direcciones IP (Protocolo de Internet) utilizando DNS (Sistema de nombres de dominio) . El objetivo del DNS es darle siempre la(s) dirección(es) correcta(s) - la(s) prevista(s) por el propietario del nombre de dominio. O al menos una(s) dirección(es) correcta(s) -- algunos dominios, especialmente pero no sólo los de alto tráfico, tienen múltiples sistemas en diferentes lugares con diferentes direcciones, y normalmente configuran su DNS para intentar dar a cada solicitante la "mejor" dirección para ellos, basándose en métricas como la distancia estimada, la latencia o la capacidad, por lo que diferentes solicitantes obtienen diferentes direcciones pero todas son correctas.
Sin embargo, ese objetivo no siempre se consigue. El DNS se diseñó originalmente sin seguridad (véase la página de la wikipedia más arriba) y rápidamente resultó fácil para los malhechores interferir con él de manera que su sistema resolviera el nombre correcto dado a una dirección incorrecta. DNSSEC fue diseñado para arreglar eso, cuando se implementa correctamente en ambos extremos es decir, tanto por el servidor o servidores autorizados para el propietario del nombre y por el resolver utilizado por un solicitante. Hace una década esta implementación era bastante rara; hoy se está convirtiendo en algo común, pero todavía está lejos de ser completa o universal.
En primer lugar, aunque ua y gov.ua están debidamente firmados por DNSSEC, bank.gov.ua no lo es; véase https://dnsviz.net/d/bank.gov.ua/dnssec/ -- Es un poco sutil si no está familiarizado con los detalles técnicos, pero las manchas (registros/tipos de recursos) delineadas en turquesa están aseguradas mientras que las delineadas en negro no lo están. Y si pasa el ratón por encima del registro NSEC3 en gov.ua En la página web de bank.gov.ua, el padre (directo) de la zona deseada, dice "... demostrando la inexistencia de bank.gov.ua/DS", y un registro DS (Designated Signer) existente y válido sería una condición previa (no la única) para asegurar la zona hija.
En segundo lugar, la mayoría de los sistemas de usuario actuales (incluidos los navegadores) no utilizan habitualmente la DNSSEC aunque esté disponible. A menudo se limitan a utilizar el resolvedor del sistema operativo, que a su vez suele delegar en un resolvedor "recursivo" suministrado normalmente por su ISP. El ISP normalmente no quiere proporcionar la validación porque desde el punto de vista de muchos clientes sólo causa fallos inexplicables de cosas que deberían funcionar y se quejan al ISP, mientras que sólo quizás una vez en un millón de casos bloquea correctamente un ataque. Probablemente pueda encontrar un resolvedor de terceros que lo valide (cuando esté disponible, véase más arriba), pero eso deja vulnerable la "última milla" desde el resolvedor hasta su sistema. Aunque algunos navegadores tienen ahora la opción de usar DNS-sobre-HTTPS que no sólo protege la última milla, sino que es probable que los resolutores que la soportan se preocupen por la seguridad y hagan la validación.
conectarse a la dirección (o a una de ellas) obtenida en el paso 1. De nuevo, el objetivo de Internet es que cada vez que te conectes a una dirección -más concretamente, que envíes paquetes a ella- éstos lleguen al lugar correcto, normalmente el sistema (único) que tiene asignada esa dirección, pero de nuevo el objetivo no siempre se consigue. El Protocolo de Internet fue diseñado para funcionar (y aún lo hace) incluso cuando partes de la red fallan, y para lograrlo enruta automáticamente los paquetes de forma muy dinámica. Como resultado de este diseño, no es difícil que los sistemas de la "red troncal", en cualquier parte del mundo, "roben" el tráfico a ciertas direcciones que en realidad pertenecían a otro lugar -- ver Secuestro de BGP . En los últimos años se ha empezado a trabajar para solucionar este ataque, pero requiere arreglar o sustituir un gran número de sistemas en todo el mundo, lo que supone un proceso lento.
Con frecuencia también hay riesgos en la parte local de su conexión de red, especialmente si se comparte con alguien, como una empresa u organización, una escuela u hotel, o el WiFi en lugares como un aeropuerto o una cafetería. Con frecuencia, alguien conectado a la misma red local que tú puede interferir con tus DNS, interceptar/enrutar tu tráfico IP, o ambas cosas. Los riesgos exactos dependen de un montón de detalles técnicos que pertenecen a security.SX y/o networkengineering.SX.
Por lo tanto, aunque su navegador obtenga la dirección correcta del DNS, cuando se conecte a esa dirección podría obtener un sistema erróneo, no uno operado realmente por el propietario del nombre de dominio.
Una defensa contra esto es usar HTTPS, que (además de otros beneficios no relevantes aquí) autentifica el servidor al que realmente ha accedido comprobando que tiene un certificado (y una clave privada correspondiente) que lo identifica como si tuviera el nombre del servidor al que Se busca para llegar. Véase, por ejemplo seguridad.SX's canonical en esto . Su navegador sólo confiará en los certificados emitidos (directa o indirectamente) por determinadas autoridades de certificación (CA), la mayoría de las cuales son nombres semidesconocidos como Digicert (que ahora incluye a las antiguas Symantec y Verisign), Sectigo (antes Comodo), GoDaddy y LetsEncrypt, aunque hay muchos otros, y las CA en las que confían los navegadores están (supuestamente) obligadas a seguir procedimientos y normas que garanticen que sólo emiten un certificado para un determinado nombre de dominio al propietario real de ese nombre (en este caso el banco central de Ucrania). Así, si la CA hizo su trabajo correctamente y sin errores, y el servidor web que obtuvo el certificado no tenía su clave privada comprometida, cualquier conexión HTTPS que tenga éxito (se autentique) debería ser al sitio web correcto.
Pero, de nuevo, hay modos de fallo. El más obvio es que una CA de confianza pueda emitir un certificado fraudulento para un nombre determinado, ya sea intencionadamente, por ejemplo porque esté controlada por un gobierno hostil al sitio (¿hay algún gobierno hostil a Ucrania?), o porque cometa un error o sea engañada. Ha habido algunos casos de esto, no muchos comparados con la mayoría de las formas de estafa y robo de dinero, pero algunos.
Además, es posible que no utilice HTTPS en absoluto. Incluso hoy en día, algunos navegadores utilizan por defecto HTTP (la versión original e insegura) si sólo introduces un nombre de dominio, y otros más lo utilizarán si escribes http: como mucha gente ha sido condicionada a hacer durante años. El bank.gov.ua servidor - más exactamente el servidor que actualmente llegar desde la ubicación de mi red en la dirección 45.60.74.68 -- sí redirige HTTP a HTTPS, pero eso es sólo si lo alcanzas; si alguien intercepta tu intento de conexión HTTP, puede simplemente responder como si fuera el sitio que querías y no puedes notar la diferencia. Y bank.gov.ua NO utiliza HSTS lo que garantizaría que cualquier posterior la conexión desde el mismo navegador sí utiliza HTTPS (a menos que se borre o restablezca manualmente).
FinanHelp es una comunidad para personas con conocimientos de economía y finanzas, o quiere aprender. Puedes hacer tus propias preguntas o resolver las de los demás.
