COLEGIO DE EDUCACION PROFESIONAL TECNICA DEL ESTADO DE GUANAJUATO PLANTEL LEON II CARRERA: Profesional Técnico Bachiller en Informática MODULO: procesamiento de información por medios digitales GRUPO: 1101 Integrantes: Galván Hernández Angela Carolina Hernández Duran Christian Israel Hernández Hernández Carlos Alejandro Mojica Serrano Joel Isaac Trujillo Vazquez Carlos Francisco EQUIPO: 5 “EL PHISHING” El phishing E l phishing es uno de los ataques más utilizados por los delincuentes, y consiste en el envío masivo de correos en los cuales se suplanta la imagen de un banco para conseguir el número de cuenta, claves y otro tipo de información sensible de los usuarios victimas de este tipo de ataques. En este artículo veremos algunos patrones que se suelen reproducir en los correos que son phishing, así como también hablaremos sobre que medidas podemos tomar para prevenir este tipo de ataques. Debido a la cantidad de dinero que los delincuentes consiguen mediante estás técnicas, cada día las están perfeccionan, por lo que ser conscientes de que existen este tipo de amenazas y conocer como evitar vernos afectado por este tipo de ataques. Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea1 o incluso utilizando también llamadas telefónicas.2 Dado el creciente número de denuncias de incidentes relacionados con el phishing, se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica y campañas para prevenir a los usuarios con la aplicación de medidas técnicas a los programas. El término phishing proviene de la palabra inglesa "fishing" (pesca), haciendo alusión al intento de hacer que los usuarios "muerdan el anzuelo".3 A quien lo practica se le llama phisher.4 También se dice que el término phishing es la contracción de password harvesting fishing (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo, dado que la escritura 'ph es comúnmente utilizada por hackers para sustituir la f, como raíz de la antigua forma de hacking telefónico conocida como phreaking.5 La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar el impostor. En otro método popular de phishing, el atacante utiliza contra la víctima el propio código de programa del banco o servicio por el cual se hace pasar. Este tipo de ataque resulta particularmente problemático, ya que dirige al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque (conocido como Cross Site Scripting) los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace está modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios. Otro problema con las URL es el relacionado con el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dοminiο.com, aunque en el segundo las letras "o" hayan sido reemplazadas por la correspondiente letra griega ómicron, "ο"). Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homógrafos,[18] ningún ataque conocido de phishing lo ha utilizadona web diseñada para robar información de ingreso de los usuarios. Los daños causados por el phishing oscilan entre la pérdida del acceso al correo electrónico a pérdidas económicas sustanciales. Este tipo de robo de identidad se está haciendo cada vez más popular por la facilidad con que personas confiadas normalmente revelan información personal a los phishers, incluyendo números de tarjetas de crédito y números de seguridad social. Una vez esta información es adquirida, los phishers pueden usar datos personales para crear cuentas falsas utilizando el nombre de la víctima, gastar el crédito de la víctima, o incluso impedir a las víctimas acceder a sus propias cuentas. TAMBIEN… El "phishing" es una modalidad de estafa con el objetivo de intentar obtener de un usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito, identidades, etc. Resumiendo "todos los datos posibles" para luego ser usados de forma fraudulenta. Se puede resumir de forma fácil, engañando al posible estafado, "suplantando la imagen de una empresa o entidad pública", de esta manera hacen "creer" a la posible víctima que realmente los datos solicitados proceden del sitio "Oficial" cuando en realidad no lo es. El phishing puede producirse de varias formas, desde un simple mensaje a su teléfono móvil, una llamada telefónica, una web que simula una entidad, una ventana emergente, y la más usada y conocida por los internautas, la recepción de un correo electrónico. Pueden existir más formatos pero en estos momentos solo mencionamos los más comunes; - SMS (mensaje corto); La recepción de un mensaje donde le solicitan sus datos personales. - Llamada telefónica; Pueden recibir una llamada telefónica en la que el emisor suplanta a una entidad privada o pública para que usted le facilite datos privados. Un ejemplo claro es el producido estos días con la Agencia Tributaria, ésta advirtió de que algunas personas están llamando en su nombre a los contribuyentes para pedirles datos, como su cuenta corriente, que luego utilizan para hacerles cargos monetarios. - Página web o ventana emergente; es muy clásica y bastante usada. En ella se simula suplantando visualmente la imagen de una entidad oficial, empresas, etc. pareciendo ser las oficiales. El objeto principal es que el usuario facilite sus datos privados. La más empleada es la "imitación" de páginas web de bancos, siendo el parecido casi idéntico pero no oficial. Tampoco olvidamos sitios web falsos con señuelos llamativos, en los cuales se ofrecen ofertas irreales y donde el usuario novel facilita todos sus datos, un ejemplo fue el descubierto por la Asociación de Internautas y denunciado a las fuerzas del Estado: WebTrampa de recargas de móviles creada para robar datos bancarios. Cómo evitar ser víctima de phishing Las técnicas de "phishing" tienen como objetivo engañar a los usuarios para conseguir datos confidenciales -como, por ejemplo, las claves de acceso a sus cuentas bancarias-, y suelen basarse también en enlaces fraudulentos. Normalmente se presentan en forma de mensajes de correo electrónico supuestamente enviados por las propias entidades, en los que se solicita al usuario que acceda a una dirección web que, en realidad, redirige a un servidor que tiene el mismo aspecto que el del servicio bancario legítimo, pero que enviará todos los datos suministrados a los atacantes. Para obtener los datos que necesitan para llevar a cabo los fraudes, los atacantes envían a la víctima un e-mail que reúne todos los elementos necesarios para que parezca que procede de una entidad legítima. En la práctica, es relativamente fácil falsificar el remitente de un e-mail (tal y como ocurre con los mensajes generados por gusanos, que suelen utilizar la misma técnica de forma automática). También es sencillo falsificar su contenido, ya que los elementos gráficos de las empresas suelen estar disponibles -de forma pública- en los sitios web. Entre las acciones que pueden llevarse a cabo para no ser víctima del "phishing" destacan las siguientes: - Desconfiar de cualquier mensaje que solicite datos confidenciales como nombres de usuario, contraseñas, números de tarjeta de crédito, etc. - Para asegurarnos de que conectamos con un servidor web seguro comprobar, en la barra de direcciones del navegador, que la URL comienza por "https://" - Prestar atención al icono -como, por ejemplo, un candado cerrado en el caso de Internet Explorer-, que debe aparecer en la barra de estado inferior del navegador, informando de que conectamos con un servidor web seguro. Además, haciendo doble click sobre el icono podrá visualizarse el certificado de seguridad y comprobar su validez. - No utilizar enlaces para acceder a sitios web con información confidencial, y menos aún si proceden de mensajes de correo electrónicos o páginas no fiables. En su lugar, se recomienda escribir en el navegador la dirección correspondiente. - Mantener el sistema puntualmente actualizado, tanto el sistema operativo, como el resto de aplicaciones, especialmente el navegador que se utilice para las transacciones electrónicas. - Contar con una solución antivirus actualizada, ya que también proliferan los gusanos, troyanos y keyloggers (o programas que capturan las pulsaciones de teclado) destinados a robar los datos de los usuarios para poder acceder a la banca electrónica y a otros sitios con información confidencial. Sólo entre los consumidores de Estados Unidos, el "phishing", genera pérdidas que ascienden a 500 millones de dólares, según un estudio llevado a cabo recientemente por Ponemon Institute y cuyos resultados han aparecido publicados en varios medios, como Internetweek y Newscom. El fraude que se conoce como phishing se presenta usualmente como correo no deseado o como ventanas emergentes. El objetivo de los estafadores es obtener tu información personal y explotarla para diversos delitos abusando de tu crédito y tu nombre. Phishing es una de las formas más esparcidas para robo de identidad, por lo que es importante que sigas las siguientes cinco recomendaciones básicas para protegerte. 1. No hagas clic a enlaces que vienen en correos electrónicos Esta es la práctica más importante. Instituciones responsables nunca piden datos confidenciales por email. Si sientes que debes verificar alguna Información, accede a la página web relacionada directamente, sin hacer clic a ningún enlace en el correo electrónico. Aun cuando la dirección web parezca auténtica, pudiera hacer un re-direccionamientos a páginas falsas. 2. Para visitar una página introduce la dirección en la barra de direcciones Esto es para evitar los re-direccionamientos mencionados en la recomendación anterior. Teclea la dirección (o URL) en la barra de direcciones del navegador Internet, si realmente consideras necesario visitar la página web. Si el sitio solicita información personal, verifica que se está usando un canal seguro (la dirección web debe comenzar con https:// y debe aparecer un pequeño candado cerrado en la esquina inferior derecha de la pantalla del navegador o en la barra de direcciones). También pon atención a pequeños errores en nombres, letras faltantes, etc. en la dirección de la página web. 3. Disminuye la cantidad de correo no deseado que recibes Los mensajes con intenciones de hacer phishing se distribuyen mediante correo electrónico, por lo cual toda acción que contribuya a disminuir el correo no deseado o spam que recibes, contribuye a reducir el riesgo. Para saber más sobre cómo disminuir el correo electrónico no deseado puedes hacer clic aquí. 4. No proporciones información confidencial Números de tarjetas de crédito, de seguridad social, direcciones, licencias de conducir, claves y números de acceso, son considerados información confidencial y las instituciones responsables nunca piden datos confidenciales por email o mediante un enlace enviado por email. Si es una página que solicita usuario y clave de acceso, refiérete a la recomendación 2. 5. Nunca envíes información confidencial por correo electrónico El correo electrónico no es el medio más seguro para enviar información confidencial, no sólo por una posible intercepción, sino porque si alguien adquiere acceso a tu computadora, o a la de la persona a la que lo enviaste, dicha información queda expuesta. Para los que todavía no estén relacionados con el termino, las técnicas denominadas "phishing" consisten en el envío de correos electrónicos, en los cuales el usuario cree que el remitente se trata de una entidad reconocida y seria (usualmente bancos), en los que se solicita al mismo que por unos u otros motivos debe actualizar o verificar sus datos de cliente a través, normalmente, de un enlace a una página que simula ser de la entidad suplantada. Una vez el usuario remite sus datos, los delincuentes o estafadores pueden proceder a operar con los mismos. Para obtener los datos que necesitan para llevar a cabo los fraudes, los atacantes envían a la víctima un e-mail que reúne todos los elementos necesarios para que parezca que procede de una entidad legítima. En la práctica, es relativamente fácil falsificar el remitente de un e-mail (tal y como ocurre con los mensajes generados por gusanos, que suelen utilizar la misma técnica de forma automática). También es sencillo falsificar su contenido, ya que los elementos gráficos de las empresas suelen estar disponibles -de forma pública- en los sitios web. Phishing y pharming Las nuevas amenazas de Internet Se trata de phishing y pharming, dos técnicas cada vez más utilizadas por los creadores de malware para obtener un beneficio económico. El phishing consiste en el robo de datos bancarios por medio de Internet. El método más habitual es el empleo del correo electrónico para contactar con usuarios y convencerles de que visiten páginas que imitan las de la entidad suplantada y en las que, además, deben introducir datos personales (número de cuenta, PIN, etc.,), que quedan así registrados. Es habitual que después de la introducción de los datos se muestre una página de error, para que la víctima piense que no se ha podido realizar la conexión y así no sospeche nada. Otra técnica para robar datos bancarios consiste en la introducción en el ordenador a espiar de un ejemplar de malware de tipo troyano, con funcionalidades de keylogger (o programa que registra las pulsaciones del teclado de un ordenador). En la práctica, cuando el troyano detecta que el usuario está visitando la URL de una entidad bancaria, el keylogger se activa y recoge todas las pulsaciones del usuario, que normalmente incluirán logins, passwords, números de cuenta y otros datos bancarios. Además de los citados métodos, últimamente se ha reportado un método nuevo, más sofisticado y con el mismo fin, llamado pharming. En este caso, el ataque se realiza al ordenador del usuario o al proveedor de servicio de Internet, de modo que cuando el usuario solicita -como hace normalmente- una página de su entidad bancaria, se le redirecciona a otro sitio web que imita la página original. En la actualidad, la detección de las citadas amenazas que persiguen el fraude electrónico está supeditada al uso que hacen de las técnicas de malware tradicionales. En el caso del phishing, tanto si se utilizan técnicas de spam en su difusión, como si se emplean keyloggers conocidos, o si se explota la vulnerabilidad del navegador que permite mostrar una dirección falsa en la barra de direcciones del explorador, la detección es posible. En el pharming, la neutralización es más compleja, máxime si el ataque lo llevan a cabo usuarios malintencionados desde el exterior y no algún tipo de malware introducido.