Phishing.

Anuncio
UNIVERSIDAD
NACIONAL DEL
NORDESTE
Facultad de Ciencias Exactas Y
Naturales y Agrimensura
PHISHING
Disertante: Lic. Litwak Noelia
•
¿Qué es el Phishing?.
•
Historia del phishing.
•
Phishing en AOL.
•
Intentos recientes de phishing.
•
Técnicas de phishing.
•
Lavado de dinero producto del phishing.
•
Daños causados por el phishing.
•
Respuesta social.
•
Respuestas técnicas.
•
Respuestas legislativas y judiciales.
•
Conclusiones.
La masiva utilización de las computadoras y
redes
como
medios
para
almacenar,
transferir y procesar información se ha
incrementado en los últimos años, al grado de
convertirse en un elemento indispensable para
el funcionamiento de la sociedad actual.*
Como consecuencia, la información en todas
sus formas y estados se ha convertido en un
activo de altísimo valor, el cual se debe
proteger y asegurar.*
INTERNET
• Son abiertas y accesibles
• Permiten intercambios
rápidos y eficientes a
nivel mundial y a bajo
costo.
•Este concepto hace posible nuevas formas de funcionamiento
de la sociedad actual que se ve dificultada por las
inseguridades que van dejando al descubierto.
Datos Interesantes
Internet ha pasado de tener miles de usuarios en
1983 a más de 800 millones de usuarios en el mundo
en el 2004 y 1000 millones en el 2005.
PROGRESION DE USUARIOS EN EL MUNDO
AÑO
Nº Usuarios
1990
0,7-1 millón
2000
300-400 millones
2002
400-500 millones
2003
500-600 millones
2004
800 millones
2005
1.000 millones
Fuente: Angus Reid Group
Cantidad de Usuarios de INTERNET
en Argentina
•
De acuerdo a un estudio
realizado
por
una
consultora, Internet fue uno
de los indicadores que
continuó creciendo durante
la
crisis
en
Argentina
durante el 2002.
• Si bien la tasa de crecimiento fue menor que en tiempos
anteriores, en el año 2005, la cantidad de Usuarios de
Internet en el país llegó a los 3.900.000 (10% población).
• Mientras que hoy hay mas de 10 millones de usuarios, lo
que representa aproximadamente, el 26% de la población.
Fuente: D'Alessio IROL Tracking sobre penetración de Internet-2003
Comercio electrónico
En el pasado, la posibilidad de conectarse con millones de
clientes las 24 horas al día, los 7 días de la semana, era
solamente posible para las grandes corporaciones.
Ahora, incluso una compañía con recursos
limitados puede competir con rivales más
grandes ofreciendo productos y servicios
por Internet con una inversión modesta.
www.mercadolibre.com.ar/
Los clientes no solamente compran fácilmente sus
productos, sino que las compañías también han
innovado
el
uso
de
conceptos
como
“personalización” para crear relaciones exclusivas e
individuales con los clientes.
Las compañías que utilizan la personalización pueden
identificar a sus clientes virtuales por el nombre,
ofrecerles productos basados en hábitos de compra
previos y almacenar de manera segura la
información de la dirección del domicilio para agilizar
las compras en línea.
Artículo obtenido de infobae.com del día 15
de agosto de 2006.
• “Más de un millón de argentinos realizan compras en
Internet”.
• El 32,94% de los usuarios de Internet de la Argentina usa
la red para realizar compras, lo que representa más de 1,3
millones de personas.
• Los
datos surgen de una encuesta realizada por
DeRemate.com en conjunto con Zoomerang.com, un motor
de encuestas online utilizado por empresas de todo el
mundo para hacer investigaciones entre personas que
tienen acceso a Internet y navegan en forma habitual.
• El informe revela que para el 35,25% de las personas que
compra por Internet lo hace por "la comodidad que ofrecen
las diferentes variantes de comercio electrónico que
existen".
•
Un 29,51% señaló que lo hace porque es allí donde
encuentran los mejores precios y un 23,77% dijo que usa
este medio debido a que le facilita encontrar productos que
tienen particularidades que hacen que sea complejo
encontrarlos de otro modo.
•
El relevamiento abarcó 2.632 casos seleccionados al azar a
través de una metodología que incluyó 29 preguntas sobre
diferentes temas relacionados con el comercio electrónico.
Principales motivos de compras en
INTERNET
11,47%
29,51%
35,25%
23,77%
M ejo res precio s
M ás Variedad
Co mo didad
Otro s M o tivo s
http://www.infobae.com/notas/nota.php?Idx=157323&IdxSeccion=100439
Surgen nuevos desafíos que las empresas deben superar para
tener éxito:
“Deben ofrecer servicios fáciles de utilizar y
totalmente seguros porque guardan
información confidencial como direcciones o
11,47
números de las tarjetas de crédito
personales, información de cuentas
bancarias, historias médicas, etc.”.
El amplio desarrollo de las nuevas tecnologías informáticas
está ofreciendo un nuevo campo de acción a conductas
antisociales y delictivas manifestadas en formas antes
imposibles de imaginar, ofreciendo la posibilidad de cometer
delitos tradicionales en formas no tradicionales.
John Schwarz, presidente y gerente de operaciones de
Symantec, comparte sus opiniones sobre por qué la
seguridad demanda una atención especial de los directivos.
1. ¿Por qué la seguridad es tan importante para los
directivos?
Con las amenazas al ciberespacio cada vez más frecuentes
y complejas, una violación a la seguridad podría ser
devastadora para una empresa al afectar sus operaciones,
la reputación corporativa y la confianza de los clientes y
accionistas.
2. ¿Qué cambios percibe en relación con las amenazas
al ciberespacio?
La nueva generación de amenazas en Internet puede
atacar sin avisar puesto que la velocidad de distribución
ha pasado de semanas a días y de días a horas.
En el futuro, veremos amenazas que se propagan en
minutos o incluso segundos.
Caso real:
• Aproximadamente a las 15:00 horas empezó a distribuirse
un virus en las instalaciones de una empresa, a través de un
correo electrónico que le llegó al área de ventas.
• La distribución consistía de tomar las listas de distribución de
los miembros.
• Toda la compañía quedó sin comunicaciones, ya que el
poderoso virus congestionó la Red completa, por el lapso de
tres horas, quedando prácticamente fuera de línea, sin
brindar ningún servicio. La facturación de la empresa es
alrededor de 2,000,000,000.00 de dólares anuales.
• 2,000,000,000 se dividen por 4380 horas de trabajo al año
y se multiplica por 3 horas perdidas, lo que nos arroja un
total de $1'369,863.01 USD.
Pishing
“Se conoce como ‘phishing’ a la
suplantación de identidad con el fin de
apropiarse de datos confidenciales de
los usuarios ”.
¿Qué es el Phishing?
• Uso de un tipo de ingeniería social, caracterizado por
intentar adquirir información confidencial de forma
fraudulenta, (contraseñas, información detallada sobre
tarjetas de crédito, información bancaria).
• El estafador, mejor conocido como phisher se hace
pasar por una persona o empresa de confianza en una
aparente comunicación oficial electrónica, por lo común
un correo electrónico o algún sistema de mensajería
instantánea.
Historia del phishing
•El término phishing viene de la palabra en inglés
"fishing" (pesca) haciendo alusión al acto de pescar
usuarios
mediante
señuelos
cada
vez
más
sofisticados y de este modo obtener información
financiera y contraseñas.
•También se dice que el término "phishing" es la
contracción de "password harvesting
(cosecha y pesca de contraseñas).
fishing"
•La primera mención del término phishing data en
1996, fue adoptado por crackers que intentaban
"pescar" cuentas de miembros de AOL.
Phishing en AOL
AOL tomó medidas tardíamente en 1995 para
prevenir el Phishing.
• Un cracker se hacía pasar como un empleado de AOL y
enviaba un mensaje instantáneo a una víctima potencial.
• Para poder engañar a la víctima de modo que diera
información sensitiva, el mensaje podía contener textos
como "verificando cuenta" o "confirmando información de
factura".
•Una vez el usuario enviaba su contraseña, el atacante podía
tener acceso a la cuenta de la víctima y utilizarla para varios
propósitos.
•En 1997, AOL reforzó su política respecto al phishing y
fueron terminantemente expulsados de los servidores de
AOL.
•Durante ese tiempo el phishing era tan frecuente que
decidieron añadir en su sistema de mensajería instantánea,
una línea que indicaba que "no one working at AOL will ask
for your password or billing information" ("nadie que trabaje
en AOL le pedirá a usted su contraseña o información de
facturación").
• Simultáneamente
AOL desarrolló un sistema que
desactivaba de forma automática una cuenta involucrada en
phishing, comúnmente antes de que la víctima pudiera
responder.
Intentos recientes de phishing
• Los intentos más recientes de phishing se han comenzado a
dirigir a clientes de bancos y servicios de pago en línea.
• En principio es enviado por phishers de forma indiscriminada
con la esperanza de encontrar a un cliente de dicho banco o
servicio.
• Estudios recientes muestran que los phishers son capaces de
establecer con qué banco una posible víctima tiene relación,
y de ese modo enviar un e-mail, falseado apropiadamente, a
la posible víctima.
• En
términos generales, esta variante
hacia objetivos específicos en el phishing
se ha denominado spear phishing
(literalmente phishing con lanza).
Hemos recibido el aviso que has procurado recientemente retirar la siguiente
suma de tu cuenta.
Ejemplo de un intento de phishing, haciéndose pasar por un
Si esta información no está correcta, alguien desconocido puede tener acceso a tu
e-mailComo
oficial,
trata
de engañar
a los
banco
cuenta.
medida
de seguridad,
visite nuestro
sitiomiembros
Web, a travésdel
del link
que
se encuentra aquí abajo para verificar tu información personal
para que den información acerca de su cuenta con un enlace
Una
que has
esto, nuestro departamento de fraude trabajará para
a lavez
página
delhecho
phisher.
resolverlo.
Técnicas de phishing
• La mayoría de los métodos de phishing utilizan alguna
forma técnica de engaño en el diseño para mostrar que un
enlace en un correo electrónico parezca una copia de la
organización por la cual se hace pasar.
• URLs mal escritas o el uso de subdominios son trucos
comúnmente usados por phishers, como el ejemplo en
esta URL:
http://www.trustedbank.com/general/custverifyinfo.asp
• Otro ejemplo para disfrazar enlaces es el de utilizar
direcciones que contengan el carácter arroba: @, para
posteriormente preguntar el nombre de usuario y
contraseña.
• Por ejemplo, el enlace:
http://www.google.com@members.tripod.com/
puede engañar a un observador casual a creer que el enlace
va a abrir en la página de www.google.com, cuando
realmente el enlace envía al navegador a la página de
members.tripod.com (y al intentar entrar con el nombre de
usuario de www.google.com, si no existe tal usuario, la
página abrirá normalmente).
• Este método ha sido erradicado desde entonces en los
navegadores de Mozilla e Internet Explorer.
• Otros intentos de phishing utilizan comandos en JavaScripts
para alterar la barra de direcciones. Esto se hace poniendo
una imagen de la URL de la entidad legítima sobre la barra de
direcciones, o cerrando la barra de direcciones original y
abriendo una nueva que contiene la URL legítima.
• En otro método popular de phishing, el atacante utiliza los
propios códigos del banco o servicio del cual se hacen
pasar contra la víctima.
• Este tipo de ataque resulta particularmente problemático,
ya que dirigen al usuario a iniciar sesión en la propia
página del banco o servicio, donde la URL y los certificados
de seguridad parecen correctos.
• En este método de ataque los usuarios reciben un mensaje
diciendo que tienen que "verificar" sus cuentas, seguido
por un enlace que parece la página web auténtica en
realidad, el enlace esta modificado para realizar este
ataque, además es muy difícil de detectar si no se tienen
los conocimientos necesarios.
Lavado de dinero producto
del phishing
• Se está tendiendo actualmente a la captación de personas
por medio de e-mails, chats, donde empresas ficticias les
ofrecen trabajo,ofreciendoles ejercer desde su propia casa
y amplios beneficios.
• Todas aquellas personas que aceptan se convierten
automáticamente en víctimas que incurren en un grave
delito bajo su ignorancia: el blanqueo de dinero obtenido a
través del acto fraudulento de phishing.
• Para que una persona pueda darse de alta con esta clase
de empresas debe rellenar un formulario en el cual se
indicarán entre otros datos, la cuenta bancaria.
• Esto tiene la finalidad de ingresar en la cuenta del
trabajador-víctima el dinero procedente de las estafas
bancarias realizadas por el método de phishing.
• Con cada acto fraudulento de phishing la víctima recibe el
cuantioso ingreso en su cuenta bancaria y es avisado por
parte de la empresa del mismo.
• Una vez hecho este ingreso la víctima se quedará un
porcentaje del dinero total, pudiendo rondar el 10%20%, como comisión de trabajo y el resto lo reenviará a
través de sistemas de envío de dinero a cuentas
indicadas por la seudo-empresa.
• Dado el desconocimiento de la víctima (muchas veces
motivado por la necesidad económica) esta se ve
involucrada en un acto de estafa importante, pudiéndose
ver requerido por la justicia, previa denuncia de los
bancos.
• Estas denuncias se suelen resolver con la imposición de
devolver todo el dinero sustraído a la víctima, obviando
que esta únicamente recibió una comisión.
Daños causados por el phishing
La gráfica muestra el incremento en los reportes de phishing
desde Octubre del 2004 hasta junio de 2005.
Los daños causados oscilan entre la pérdida del acceso al correo
electrónico a pérdidas económicas sustanciales.
Este estilo de robo de identidad se está haciendo más popular
por la facilidad con que personas confiadas revelan información
personal a los phishers.
• Se estima que entre mayo del 2004 y mayo
del 2005, aproximadamente 1.2 millones de
usuarios de computadoras en los Estados
Unidos tuvieron pérdidas a causa del
phishing, lo que suma a aproximadamente
$929 millones de dólares estadounidenses.
• Los negocios en los Estados Unidos perdieron
cerca de 2000 millones de dólares al año
mientras sus clientes eran víctimas.
• El Reino Unido también sufrió el alto
incremento en la práctica del phishing. En
marzo del 2005, la cantidad de dinero que
perdió
el
Reino
Unido
era
de
aproximadamente £12 millones de libras
esterlinas.
Respuesta social
• Una estrategia para combatir el phishing consiste en entrenar a los
usuarios para enfrentarse a posibles ataques.
• Un usuario que es contactado sobre la necesidad de "verificar" un
cuenta puede o bien contactar con la compañía la cual es tema del
correo, o teclee la dirección web de un sitio web seguro en la barra de
direcciones de su navegador.
• Muchas compañías, se dirigen a sus clientes por su nombre de usuario
en los correos electrónicos, de manera que si un correo electrónico se
dirige al usuario de una manera genérica como ("Querido miembro de
xxxx") es probable de que sea un intento de phishing.
• Las páginas han añadido herramientas de verificación que permite a los
usuarios ver imágenes secretas que los usuarios seleccionan por
adelantado, sí estas imágenes no aparecen, entonces el sitio no es
legítimo.
• Monitorización continua, analizando y utilizando medios legales para
cerrar páginas con contenido phishing.
Procedimientos para protegerse del "phishing“:
1.
Nunca responda a solicitudes de información
personal a través de correo electrónico. Si tiene
alguna duda, póngase en contacto con la entidad
que supuestamente le ha enviado el mensaje.
2.
Para visitar sitios Web, introduzca la dirección
URL en la barra de direcciones.
3.
Asegúrese de que el sitio Web utiliza cifrado.
4.
Consulte frecuentemente los saldos bancarios y
de sus tarjetas de crédito.
5.
Comunique los posibles delitos relacionados con
su información personal a las autoridades
competentes.
Paso 1: Nunca responda a solicitudes de información personal a
través de correo electrónico.
Las empresas de prestigio nunca solicitan contraseñas, números
de tarjeta de crédito u otro tipo de información personal por
correo electrónico. Si recibe un mensaje que le solicita este tipo
de información, no responda.
Si piensa que el mensaje es legítimo, comuníquese con la
empresa por teléfono o a través de su sitio Web para confirmar
la información recibida.
Paso 2: Para visitar sitios Web, introduzca la dirección URL en
la barra de direcciones.
Si sospecha de la legitimidad de un mensaje de correo
electrónico de la empresa de su tarjeta de crédito, banco o
servicio de pagos electrónicos, no siga los enlaces que lo
llevarán al sitio Web desde el que se envió el mensaje.
Las nuevas versiones de Internet Explorer hacen más difícil
falsificar la barra de direcciones, por lo que es una buena idea
visitar Windows Update regularmente y actualizar su software.
Paso 3: Asegúrese de que el sitio Web utiliza cifrado.
Si no se puede confiar en un sitio Web por su barra de
direcciones, ¿cómo se sabe que será seguro?
Existen varias formas: En primer lugar, antes de ingresar
cualquier tipo de información personal, compruebe si el sitio
Web utiliza cifrado para transmitir la información personal.
En Internet Explorer puede comprobarlo con el icono de color
amarillo situado en la barra de estado.
Este símbolo significa que el sitio Web utiliza cifrado para
proteger la información personal que introduzca.
Paso 4: Consulte frecuentemente los saldos bancarios y
de sus tarjetas de crédito.
Incluso si sigue los tres pasos anteriores, puede
convertirse en víctima de las usurpaciones de identidad. Si
consulta sus saldos bancarios y de sus tarjetas de crédito
al menos una vez al mes, podrá sorprender al estafador y
detenerlo antes de que provoque daños significativos.
Paso 5: Comunique los posibles delitos relacionados con
su información personal a las autoridades competentes.
Si cree que ha sido víctima de "phishing", proceda del
siguiente modo:
•Informe
inmediatamente del fraude a la empresa
afectada. Si no está seguro de cómo comunicarse con la
empresa, visite su sitio Web para obtener la información de
contacto adecuada.
• Proporcione los detalles del estafador, como los mensajes
recibidos, a la autoridad competente a través del Centro de
denuncias de fraude en Internet.
•Este centro trabaja en todo el mundo en colaboración con las
autoridades legales para clausurar con celeridad los sitios Web
fraudulentos e identificar a los responsables del fraude.
Respuestas técnicas
• Varios programas de software anti-phishing están
disponibles. La mayoría de estos programas trabajan
identificando contenidos phishing en sitios web y correos
electrónicos.
• El software anti-phishing puede integrarse con los
navegadores web y clientes de correo electrónico como una
barra de herramientas que muestra el dominio real del sitio
visitado.
• Los filtros de spam también ayudan a proteger a los
usuarios de los phishers, ya que reducen el número de
correos electrónicos relacionados con el phishing que un
usuario puede recibir.
Anti-Phishing
Existen varias técnicas para combatir el phishing, incluyendo la
legislación y la creación de tecnologías específicas que tienen
como blanco evitar el phishing.
Indicador de nivel de Pishing actual
La Asociación de Internautas ha creado el indicador
AlertPhising para uso de los sitios web que deseen ofrecer a
sus visitantes información en línea del estado de los ataques.
El indicador AlertPhising es una aplicación sencilla, que indica
mediante distintos colores y niveles el estado de alerta de
ataques de Phishing a las entidades que están siendo
suplantadas.
Filtro antiphishing en
Internet Explorer 7
 Internet
Explorer 7, incorporará un filtro antiphishing
destinado a proteger a los usuarios de las estafas basadas en
sitios webs falsificados.
 La tecnología será similar a la ya desplegada en la actualidad
por las barras de herramientas antiphishing, basándose tanto
en la detección "heurística" (patrones genéricos), listas
negras, y listas blancas de sitios confiables.
 A efectos prácticos, el usuario podrá visualizar diferentes
avisos que le indicarán el grado de peligrosidad de la página
web que visita.
 Si bien desde el punto de la tecnología no aporta ninguna
novedad, el hecho de que se integre por defecto en el
navegador más utilizado ayudará a que gran parte de los
usuarios cuenten con una primera línea de defensa.
Barras antiphishing para navegadores
Respuestas legislativas y judiciales
• El 26 de enero de 2004, la FTC (Federal Trade
Commission) llevó a juicio el primer caso contra un
phisher sospechoso.
• El defendido, un adolescente de California, creó y
utilizó una página web con un diseño que aparentaba
ser la página de American Online para poder robar
números de tarjetas de crédito.
• Tanto Europa como Brasil siguieron la práctica de los
Estados Unidos, rastreando y arrestando a presuntos
phishers.
• A finales de marzo del 2005, un hombre de 24 años
fue arrestado utilizando un backdoor, a partir de que
las víctimas visitaron su sitio web falso, en el que
incluía un keylogger que le permitía monitorizar lo que
los usuarios tecleaban.
• Del mismo modo, las autoridades arrestaron al
denominado phisher kingpin, Valdir Paulo de Almeida,
líder de una de las más grandes redes de phishing que
en dos años había robado entre $18 a $37 millones de
dólares estadounidenses.
• En los Estados Unidos, se introdujo el Acta AntiPhishing del 2005 el 1 de marzo del 2005.
• Esta ley federal de anti-phishing establecía que aquellos
criminales que crearan páginas web falsas o enviaran
spam a cuentas de e-mail con la intención de estafar a
los usuarios podrían recibir una multa de hasta
$250,000 USD y penas de cárcel por un término de
hasta cinco años.
• La compañía Microsoft también se ha unido al esfuerzo
de combatir el phishing.
• El 31 de marzo del 2005, Microsoft llevó a la Corte del
Distrito de Washington 117 pleitos federales. En algunos
de ellos se acusó al denominado phisher "John Doe" por
utilizar varios métodos para obtener contraseñas e
información confidencial.
• Microsoft espera desenmascarar con estos casos a varios
operadores de phishing de gran envergadura.
• En marzo del 2005 también se consideró la asociación
entre Microsoft y el gobierno de Australia para educar
sobre mejoras a la ley que permitirían combatir varios
crímenes cibernéticos, incluyendo el phishing.
Tapa diario Clarín. Domingo 27 de agosto de 2006.
Los 10 virus más detectados
Conclusión
• Debemos mencionar que no existe un sistema
computarizado que garantice al 100% la
seguridad de la información, por la inmensa
mayoría de diferentes formas con las cuales se
pueden romper la seguridad de un sistema.
• Dado el creciente número de denuncias de
incidentes relacionados con el phishing se
requieren métodos adicionales de protección.
• Se
han realizado intentos con leyes que
castigan la práctica, campañas para prevenir a
los usuarios y aplicación de medidas técnicas a
los programas, y aun así no es suficiente.
BIBLIOGRAFIA
Wikipedia, la enciclopedia libre. En:
es.wikipedia.org/wiki/Phishing
Páginas Web para robar datos. N. Rojo. Septiembre
20004. En:
http://www.consumer.es/web/es/tecnologia/internet/
2004/09/22/109261.php
Robo de datos Por Internet. El 'phishing', delito
informático de moda. L. Tejero. Julio de 2004. En:
http://www.elmundo.es/navegante/2004/07/29/esoci
edad/1091118343.html
Todo lo que debe saber acerca del "phishing“. Publicado:
27/05/04. En:
http://www.microsoft.com/latam/seguridad/hogar/spa
m/phishing.mspx
Filtro antiphishing en Internet Explorer 7.
http://www.desarrolloweb.com/articulos/2099.php
Heuristica: En computación, dos objetivos fundamentales para la mayoría
de casos son encontrar algoritmos con buenos tiempos de ejecución y
buenas soluciones, usualmente las óptimas. Una heurística es un algoritmo
que ofrece uno o ambos objetivos; por ejemplo, normalmente encuentran
buenas soluciones, aunque en ocasiones no hay pruebas de que la solución
no pueda ser arbitrariamente errónea; o se ejecuta razonablemente rápido,
aunque no existe tampoco prueba de que deba ser así.
Descargar