Phishing

Anuncio
COLEGIO DE EDUCACION PROFESIONAL
TECNICA DEL ESTADO DE GUANAJUATO
PLANTEL LEON II
CARRERA: Profesional Técnico Bachiller en
Informática
MODULO: procesamiento de información por medios
digitales
GRUPO: 1101
Integrantes:
 Galván Hernández Angela Carolina
 Hernández Duran Christian Israel
 Hernández Hernández Carlos Alejandro
 Mojica Serrano Joel Isaac
 Trujillo Vazquez Carlos Francisco
EQUIPO: 5
“EL
PHISHING”
El phishing
E
l phishing es uno de los ataques más utilizados por los delincuentes, y
consiste en el envío masivo de correos en los cuales se suplanta la
imagen de un banco para conseguir el número de cuenta, claves y otro
tipo de información sensible de los usuarios victimas de este tipo de ataques.
En este artículo veremos algunos patrones que se suelen reproducir en los
correos que son phishing, así como también hablaremos sobre que medidas
podemos tomar para prevenir este tipo de ataques.
Debido a la cantidad de dinero que los delincuentes consiguen mediante estás
técnicas, cada día las están perfeccionan, por lo que ser conscientes de que
existen este tipo de amenazas y conocer como evitar vernos afectado por este
tipo de ataques.
Phishing es un término informático que denomina un tipo de delito encuadrado
dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso
de un tipo de ingeniería social caracterizado por intentar adquirir información
confidencial de forma fraudulenta (como puede ser una contraseña o
información detallada sobre tarjetas de crédito u otra información bancaria). El
estafador, conocido como phisher, se hace pasar por una persona o empresa
de confianza en una aparente comunicación oficial electrónica, por lo común un
correo electrónico, o algún sistema de mensajería instantánea1 o incluso
utilizando también llamadas telefónicas.2
Dado el creciente número de denuncias de incidentes relacionados con el
phishing, se requieren métodos adicionales de protección. Se han realizado
intentos con leyes que castigan la práctica y campañas para prevenir a los
usuarios con la aplicación de medidas técnicas a los programas.
El término phishing proviene de la palabra inglesa "fishing" (pesca), haciendo
alusión al intento de hacer que los usuarios "muerdan el anzuelo".3 A quien lo
practica se le llama phisher.4 También se dice que el término phishing es la
contracción de password harvesting fishing (cosecha y pesca de contraseñas),
aunque esto probablemente es un acrónimo retroactivo, dado que la escritura
'ph es comúnmente utilizada por hackers para sustituir la f, como raíz de la
antigua forma de hacking telefónico conocida como phreaking.5
La mayoría de los métodos de phishing utilizan alguna forma técnica de
engaño en el diseño para mostrar que un enlace en un correo electrónico
parezca una copia de la organización por la cual se hace pasar el impostor.
En otro método popular de phishing, el atacante utiliza contra la víctima el
propio código de programa del banco o servicio por el cual se hace pasar. Este
tipo de ataque resulta particularmente problemático, ya que dirige al usuario a
iniciar sesión en la propia página del banco o servicio, donde la URL y los
certificados de seguridad parecen correctos. En este método de ataque
(conocido como Cross Site Scripting) los usuarios reciben un mensaje diciendo
que tienen que "verificar" sus cuentas, seguido por un enlace que parece la
página web auténtica; en realidad, el enlace está modificado para realizar este
ataque, además es muy difícil de detectar si no se tienen los conocimientos
necesarios.
Otro problema con las URL es el relacionado con el manejo de Nombre de
dominio internacionalizado (IDN) en los navegadores, puesto que puede ser
que direcciones que resulten idénticas a la vista puedan conducir a diferentes
sitios (por ejemplo dominio.com se ve similar a dοminiο.com, aunque en el
segundo las letras "o" hayan sido reemplazadas por la correspondiente letra
griega ómicron, "ο"). Al usar esta técnica es posible dirigir a los usuarios a
páginas web con malas intenciones. A pesar de la publicidad que se ha dado
acerca de este defecto, conocido como IDN spoofing o ataques
homógrafos,[18] ningún ataque conocido de phishing lo ha utilizadona web
diseñada para robar información de ingreso de los usuarios.
Los daños causados por el phishing oscilan entre la pérdida del acceso al
correo electrónico a pérdidas económicas sustanciales. Este tipo de robo de
identidad se está haciendo cada vez más popular por la facilidad con que
personas confiadas normalmente revelan información personal a los phishers,
incluyendo números de tarjetas de crédito y números de seguridad social. Una
vez esta información es adquirida, los phishers pueden usar datos personales
para crear cuentas falsas utilizando el nombre de la víctima, gastar el crédito de
la víctima, o incluso impedir a las víctimas acceder a sus propias cuentas.
TAMBIEN…
El "phishing" es una modalidad de estafa con el objetivo de intentar obtener de
un usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito,
identidades, etc. Resumiendo "todos los datos posibles" para luego ser usados
de forma fraudulenta.
Se puede resumir de forma fácil, engañando al posible estafado, "suplantando
la imagen de una empresa o entidad pública", de esta manera hacen "creer" a
la posible víctima que realmente los datos solicitados proceden del sitio
"Oficial" cuando en realidad no lo es.
El phishing puede producirse de varias formas, desde un simple mensaje a su
teléfono móvil, una llamada telefónica, una web que simula una entidad, una
ventana emergente, y la más usada y conocida por los internautas, la recepción
de un correo electrónico. Pueden existir más formatos pero en estos momentos
solo mencionamos los más comunes;
- SMS (mensaje corto); La recepción de un mensaje donde le solicitan sus
datos personales.
- Llamada telefónica; Pueden recibir una llamada telefónica en la que el emisor
suplanta a una entidad privada o pública para que usted le facilite datos
privados. Un ejemplo claro es el producido estos días con la Agencia Tributaria,
ésta advirtió de que algunas personas están llamando en su nombre a los
contribuyentes para pedirles datos, como su cuenta corriente, que luego utilizan
para hacerles cargos monetarios.
- Página web o ventana emergente; es muy clásica y bastante usada. En ella
se simula suplantando visualmente la imagen de una entidad oficial, empresas,
etc. pareciendo ser las oficiales. El objeto principal es que el usuario facilite sus
datos privados. La más empleada es la "imitación" de páginas web de bancos,
siendo el parecido casi idéntico pero no oficial. Tampoco olvidamos sitios web
falsos con señuelos llamativos, en los cuales se ofrecen ofertas irreales y
donde el usuario novel facilita todos sus datos, un ejemplo fue el descubierto
por la Asociación de Internautas y denunciado a las fuerzas del Estado: WebTrampa de recargas de móviles creada para robar datos bancarios.
Cómo evitar ser víctima de phishing
Las técnicas de "phishing" tienen como objetivo engañar a los usuarios para
conseguir datos confidenciales -como, por ejemplo, las claves de acceso a sus
cuentas bancarias-, y suelen basarse también en enlaces fraudulentos.
Normalmente se presentan en forma de mensajes de correo electrónico
supuestamente enviados por las propias entidades, en los que se solicita al
usuario que acceda a una dirección web que, en realidad, redirige a un servidor
que tiene el mismo aspecto que el del servicio bancario legítimo, pero que
enviará todos los datos suministrados a los atacantes.
Para obtener los datos que necesitan para llevar a cabo los fraudes, los
atacantes envían a la víctima un e-mail que reúne todos los elementos
necesarios para que parezca que procede de una entidad legítima. En la
práctica, es relativamente fácil falsificar el remitente de un e-mail (tal y como
ocurre con los mensajes generados por gusanos, que suelen utilizar la misma
técnica de forma automática). También es sencillo falsificar su contenido, ya
que los elementos gráficos de las empresas suelen estar disponibles -de forma
pública- en los sitios web.
Entre las acciones que pueden llevarse a cabo para no ser víctima del
"phishing" destacan las siguientes:
- Desconfiar de cualquier mensaje que solicite datos confidenciales como
nombres de usuario, contraseñas, números de tarjeta de crédito, etc.
- Para asegurarnos de que conectamos con un servidor web seguro
comprobar, en la barra de direcciones del navegador, que la URL comienza por
"https://"
- Prestar atención al icono -como, por ejemplo, un candado cerrado en el caso
de Internet Explorer-, que debe aparecer en la barra de estado inferior del
navegador, informando de que conectamos con un servidor web seguro.
Además, haciendo doble click sobre el icono podrá visualizarse el certificado de
seguridad y comprobar su validez.
- No utilizar enlaces para acceder a sitios web con información
confidencial, y menos aún si proceden de mensajes de correo electrónicos o
páginas no fiables. En su lugar, se recomienda escribir en el navegador la
dirección correspondiente.
- Mantener el sistema puntualmente actualizado, tanto el sistema operativo,
como el resto de aplicaciones, especialmente el navegador que se utilice para
las transacciones electrónicas.
- Contar con una solución antivirus actualizada, ya que también proliferan los
gusanos, troyanos y keyloggers (o programas que capturan las pulsaciones de
teclado) destinados a robar los datos de los usuarios para poder acceder a la
banca electrónica y a otros sitios con información confidencial. Sólo entre los
consumidores de Estados Unidos, el "phishing", genera pérdidas que
ascienden a 500 millones de dólares, según un estudio llevado a cabo
recientemente por Ponemon Institute y cuyos resultados han aparecido
publicados en varios medios, como Internetweek y Newscom.
El fraude que se conoce como phishing se presenta usualmente como correo
no deseado o como ventanas emergentes. El objetivo de los estafadores es
obtener tu información personal y explotarla para diversos delitos abusando de
tu crédito y tu nombre.
Phishing es una de las formas más esparcidas para robo de identidad, por lo
que es importante que sigas las siguientes cinco recomendaciones básicas
para protegerte.
1. No hagas clic a enlaces que vienen en correos electrónicos
Esta es la práctica más importante. Instituciones responsables nunca piden
datos confidenciales por email. Si sientes que debes verificar alguna
Información, accede a la página web relacionada directamente, sin hacer clic a
ningún enlace en el correo electrónico. Aun cuando la dirección web parezca
auténtica, pudiera hacer un re-direccionamientos a páginas falsas.
2. Para visitar una página introduce la dirección en la barra de direcciones
Esto es para evitar los re-direccionamientos mencionados en la recomendación
anterior. Teclea la dirección (o URL) en la barra de direcciones del navegador
Internet, si realmente consideras necesario visitar la página web. Si el sitio
solicita información personal, verifica que se está usando un canal seguro (la
dirección web debe comenzar con https:// y debe aparecer un pequeño
candado cerrado en la esquina inferior derecha de la pantalla del navegador o
en la barra de direcciones). También pon atención a pequeños errores en
nombres, letras faltantes, etc. en la dirección de la página web.
3. Disminuye la cantidad de correo no deseado que recibes
Los mensajes con intenciones de hacer phishing se distribuyen mediante
correo electrónico, por lo cual toda acción que contribuya a disminuir el correo
no deseado o spam que recibes, contribuye a reducir el riesgo. Para saber más
sobre cómo disminuir el correo electrónico no deseado puedes hacer clic aquí.
4. No proporciones información confidencial
Números de tarjetas de crédito, de seguridad social, direcciones, licencias de
conducir, claves y números de acceso, son considerados información
confidencial y las instituciones responsables nunca piden datos confidenciales
por email o mediante un enlace enviado por email. Si es una página que solicita
usuario y clave de acceso, refiérete a la recomendación 2.
5. Nunca envíes información confidencial por correo electrónico
El correo electrónico no es el medio más seguro para enviar información
confidencial, no sólo por una posible intercepción, sino porque si alguien
adquiere acceso a tu computadora, o a la de la persona a la que lo enviaste,
dicha información queda expuesta.
Para los que todavía no estén relacionados con el termino, las técnicas
denominadas "phishing" consisten en el envío de correos electrónicos, en los
cuales el usuario cree que el remitente se trata de una entidad reconocida y
seria (usualmente bancos), en los que se solicita al mismo que por unos u otros
motivos debe actualizar o verificar sus datos de cliente a través, normalmente,
de un enlace a una página que simula ser de la entidad suplantada. Una vez el
usuario remite sus datos, los delincuentes o estafadores pueden proceder a
operar con los mismos.
Para obtener los datos que necesitan para llevar a cabo los fraudes, los
atacantes envían a la víctima un e-mail que reúne todos los elementos
necesarios para que parezca que procede de una entidad legítima. En la
práctica, es relativamente fácil falsificar el remitente de un e-mail (tal y como
ocurre con los mensajes generados por gusanos, que suelen utilizar la misma
técnica de forma automática). También es sencillo falsificar su contenido, ya
que los elementos gráficos de las empresas suelen estar disponibles -de forma
pública- en los sitios web.
Phishing y pharming
Las nuevas amenazas de Internet Se trata de phishing y pharming, dos
técnicas cada vez más utilizadas por los creadores de malware para obtener un
beneficio económico.
El phishing consiste en el robo de datos bancarios por medio de Internet. El
método más habitual es el empleo del correo electrónico para contactar con
usuarios y convencerles de que visiten páginas que imitan las de la entidad
suplantada y en las que, además, deben introducir datos personales (número
de cuenta, PIN, etc.,), que quedan así registrados. Es habitual que después de
la introducción de los datos se muestre una página de error, para que la víctima
piense que no se ha podido realizar la conexión y así no sospeche nada.
Otra técnica para robar datos bancarios consiste en la introducción en el
ordenador a espiar de un ejemplar de malware de tipo troyano, con
funcionalidades de keylogger (o programa que registra las pulsaciones del
teclado de un ordenador). En la práctica, cuando el troyano detecta que el
usuario está visitando la URL de una entidad bancaria, el keylogger se activa y
recoge todas las pulsaciones del usuario, que normalmente incluirán logins,
passwords, números de cuenta y otros datos bancarios.
Además de los citados métodos, últimamente se ha reportado un método
nuevo, más sofisticado y con el mismo fin, llamado pharming. En este caso, el
ataque se realiza al ordenador del usuario o al proveedor de servicio de
Internet, de modo que cuando el usuario solicita -como hace normalmente- una
página de su entidad bancaria, se le redirecciona a otro sitio web que imita la
página original.
En la actualidad, la detección de las citadas amenazas que persiguen el fraude
electrónico está supeditada al uso que hacen de las técnicas de malware
tradicionales. En el caso del phishing, tanto si se utilizan técnicas de spam en
su difusión, como si se emplean keyloggers conocidos, o si se explota la
vulnerabilidad del navegador que permite mostrar una dirección falsa en la
barra de direcciones del explorador, la detección es posible. En el pharming, la
neutralización es más compleja, máxime si el ataque lo llevan a cabo usuarios
malintencionados desde el exterior y no algún tipo de malware introducido.
Descargar