¿Cómo funciona un phishing?

Anuncio
Este documento y todos su contenido, incluyendo los textos, imágenes, sonido y cualquier otro
material, son propiedad de ISMS Forum o de algún organismo vinculado a ésta, o de terceros
que hayan autorizado el uso de estos contenidos a ISMS Forum.
Todos los derechos están reservados.
PDF: Tema 2. ¿Cómo funciona un phishing?
El phishing es una de las amenazas más sencillas técnicamente que existen, pero aún así,
puede llegar a ser igual de efectivo que amenazas más complejas.
Un phishing es un ataque de ingeniería social que simula ser una empresa u organismo
(generalmente una entidad financiera) para robar datos personales.
Generalmente, la identidad usurpada es de una entidad financiera, aunque también es normal
encontrar ataques de phishing a cualquier entidad que pudiera estar relacionada con alguna
actividad económica (subastas y pagos online, la Agencia Tributaria, Correos y Telégrafos, el
Banco de España, etc.) o también puede estar orientada al robo de información personal
(redes sociales).
En cada incidente de phishing, habitualmente se envían hasta millones de correos
electrónicos a direcciones de correo electrónico que han podido ser obtenidas de diferentes
maneras, por lo que no es un ataque dirigido. La probabilidad de recibir un correo de phishing
es igual a la probabilidad de que tu dirección de correo electrónico haya sido capturada en
algún foro, cadena de correos, web u ordenador infectado.
Aunque la forma más común de recibir un phishing es mediante el correo electrónico, también
existe phishing mediante otros medios, como puede ser SMS en los teléfonos móviles,
llamadas por teléfono o incluso llamadas por voz sobre IP (VoIP).
Una vez que se envían los millones de correos electrónicos suplantando a una entidad
financiera (recomendamos repasar el tema del código malicioso donde comentamos que son
los propios ordenadores infectados los que mandan estos correos de phishing), es necesario
disponer de alguna infraestructura web en Internet que aloje la página falsa que será la que
nos pida nuestros datos. En el cuerpo del correo se utilizará algún tipo de excusa para provocar
que el usuario pulse en el enlace (motivos de seguridad, alguien ha accedido a su cuenta y
tenemos que comprobar que todo está bien, puede ganar un premio, etc.), y al pinchar será
redirigido a esta página web falsa.
Estas páginas web falsas están alojadas generalmente en servidores totalmente normales,
pero que, por algún fallo de seguridad que tienen, han sido comprometidos y los estafadores
han podido alojar dichas páginas falsas en sus servidores. Estos servidores pueden ser páginas
web personales, de empresas o, incluso, de organismos oficiales.
Existe otra opción a la hora de alojar las páginas falsas que se denomina alojamiento “a
prueba de balas”. En este caso, el propio proveedor de páginas web suele tener algo que ver
con los atacantes y proporciona alojamiento para sus negocios ilegales.
Una vez que el usuario se conecta a una de estas páginas falsas e introduce los datos que le
piden, se guardan estos datos para poder realizar el fraude. Generalmente, los datos que se
piden son los accesos a la banca online, pero también es posible que se pidan datos como el
número de la tarjeta de crédito y su fecha de caducidad para poder realizar compras online.
Tanto las entidades financieras como los navegadores, disponen de sistemas de seguridad para
buscar todas las páginas falsas que estén en Internet y erradicarlas tan pronto como sea
posible. De hecho, es probable que si alguna vez intenta acceder sin querer a alguna de ellas,
el propio navegador le avisará de que está accediendo a un sitio fraudulento.
Los datos que se roban no se suelen utilizar de forma inmediata, con lo que si después de
meter los datos nos damos cuenta de que era una página de phishing, tenemos que cambiar
nuestras contraseñas o dar de baja nuestras tarjetas para que no puedan ser usadas lo antes
posible.
Los atacantes, según van recopilando todos los datos de acceso a la banca online,
dependiendo de la campaña en la que estén inmersos, utilizarán esas credenciales para
realizar una o varias transferencias a las mulas (que hemos comentado anteriormente) y así
poder sacar el dinero de la entidad financiera.
Como hemos visto, un ataque de phishing es bastante sencillo de ejecutar, pero a la vez, muy
fácil de detectar, puesto que hay que desconfiar de cualquier petición de entrega de nuestras
claves de acceso a cualquier sitio web, ya venga la petición por correo electrónico, SMS, o
incluso si alguien nos llama por teléfono solicitando las mismas.
Descargar