PHISHING, PHARMING, KEYLOGGERS,.. SU REPERCUSIÓN EN LA BANCA ONLINE José Manuel COLODRÁS Responsable de prevención del fraude ING Direct España PHISING: EL FRAUDE A LOS BANCOS -PHISHING: -El phishing constituye un Tipo de Fraude que afecta a gran número de usuarios. Objetivo.- Engañar a los clientes para conseguir sus datos confidenciales y ordenar operaciones no autorizadas por el usuario legítimo. Medios.- Uso de enlaces fraudulentos, Págs. Falsas que suplantan las oficiales - web spoofing. Presentación: Correo electrónico en el que el remitente aparenta ser una entidad de prestigio. PHISING: EL FRAUDE A LOS BANCOS - FASE INICIAL: Correo electrónico mediante el envío masivo e indiscriminado a múltiples direcciones: -Obtenidas por emails con cadenas de chistes..., los usuarios no suelen ocultar sus direcciones, que son almacenadas en webs y recuperadas mediante programas robots... -Obtenidas mediante solicitudes para acceder a un servicio o descarga -Remitidas aleatoriamente (ensayo-error):método conocido hacer listas de dominios agregando prefijos, labor que se puede automatizar con un programa. FRAUDE EXTERNO: phishing - FRAUDE EXTERNO: phishing FRAUDE EXTERNO: phishing FRAUDE EXTERNO: phishing FRAUDE EXTERNO: phishing PHISING: EL FRAUDE A LOS BANCOS -RECOPILACIÓN DE LA INFORMACIÓN. - Mediante una aplicación PHP se envía la información recogida en los formularios de las web falsas a la cuenta de correo de los estafadores PHISING: EL FRAUDE A LOS BANCOS PHISING: EL FRAUDE A LOS BANCOS PHISING: EL FRAUDE A LOS BANCOS - TRANSFERENCIAS Y “BLANQUEO” DE FONDOS. - La participación de las mulas o intermediarios: - Recibe un porcentaje que oscila entre el 5 y el 15% por recibir en sus cuentas una transferencia y remitirla mediante uan “remesadora” o “agencia de envío de efectivo” a un país generalmente del este. Allí es recogida a su vez por otra mula.... - Intentan dar la apariencia de un negocio lícito, incluso con enlaces a páginas falsas que aparentan muy bien un negocio financiero lícito. - ¿Están comentiendo un delito?. Sí, pueden ser detenidos y encartados en un proceso penal. - Es difícil, pero no imposible, detectarlo mediante las herramientas automáticas de detección de blanqueo y fraude. *** Los nigerianos y otros estafadores utilizan este mismo sistema. FRAUDE EXTERNO: Phishing-mulas ¿POR QUÉ COMBATIR EL PHISHING? - Coste económico: escaso o moderado - Coste reputacional: muy importante pero cada vez más amortizado -Coste operacional. -Equipos de seguridad, operaciones y prevención de los bancos. -Contactos con la policía y con la Autoridad Judicial: - ¿Es una ventaja competitiva? - Es un delito público... ¿QUÉ ES FRAUDE? En sentido jurídico o estricto -Estafa o fraude del art. 248 y ss. - 1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno. -2. También se consideran reos de estafa los que, con ánimo de lucro, y valiéndose de alguna manipulación informática o artificio semejante consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero. -3. La misma pena se aplicará a los que fabricaren, introdujeren, poseyeren o facilitaren programas de ordenador específicamente destinados a la comisión de las estafas previstas en este artículo. PHISHING:MEDIDAS REACTIVAS -PROTOCOLO ANTIPHISHING - Rápido conocimiento de los hechos, por parte de la entidad afectada. - Investigación interna preliminar. - Salvaguarda de las evidencias. - Comunicación a las FF.CC.S.E y/o Autoridad Judicial. - Medidas cautelares: Bloqueo de IP´s y nombre de dominio. - Vigilancia ante el cambio de hospedaje. - Comunicación externa: - Clientes. - Medios de comunicación. PHARMING - - Consiste en suplantar el sistema de resolución de nombres de dominio (DNS) para conducir al usuario a una página web falsa. - En red: ataque a los servidores DNS en Internet: muy difícil. - En local: mediante un virus Aunque es una amenaza creciente y peligrosa, la solución pasa por la prevención: - Un antivirus eficaz. KEYLOGGERS Son una variedad de virus que se instalan en el equipo de la víctima. - Bajo ciertas condiciones (v.g.: cuando se accede a la web de un banco) se activan, registrando todas las pulsaciones del teclado: las primeras serán el usuario y el password. - La información recogida se envía por cualquier medio al atacante: IRC, email... - La utilización de botnets hace este tipo de ataques muy graves. - También existen Keyloggers que recopilan imágenes. - Gran amenaza para el desarrollo del e-commerce. - Especialmente grave en países en vías de desarrollo por la utilización generalizada de los cyberlocales. - MEDIDAS PREVENTIVAS: - Uso de pin pads. - OTP´s, PIN PAD FRAUDE EXTERNO - MEDIDAS PREVENTIVAS CONTRA ESTAS CONDUCTAS: - Utilización de firma digital (sistema de clave asimétrica), no implementado. Nuevo DNI digital, firmas ya exsitentes, pero de uso no los suficientemente generalizado. - OTP´s (efectivo pero vulnerable) - Personalización de la pantalla de acceso - Lo esencial: - La formación al cliente: utilización segura de Internet (antivirus, firewalls, sentido común). - La información al cliente (la banca directa es con mucho un medio más seguro que la banca tradicional) MUCHAS GRACIAS POR SU ATENCIÓN José Manuel COLODRÁS LOZANO Responsable de prevención del fraude ING DIRECT Sucursal de España jose.manuel.colodras@ingdirect.es Tel: 91 211 92 12