Phishing: el riesgo para las empresas Sophos Diciembre de 2004 RESUMEN Este monográfico habla del fraude online conocido como phishing. Estudia cómo amenaza a las empresas y examina el aumento espectacular del número de ataques durante los últimos años. Se describen los métodos y artimañas de esta técnica de pesca de información y se tratan las medidas de protección de ordenadores y redes contra este tipo de ataques. Definición La técnica de phishing, un tipo de fraude online cada vez más frecuente, consiste en engañar a usuarios para que concedan el control de sus cuentas bancarias online, normalmente mediante una combinación de mensajes y sitios Web falsificados. El término “phishing” fue acuñado por hackers y procede del paralelismo de este timo con la pesca (“fishing” en inglés), siendo los mensajes y sitios Web falsos el “cebo” y las cuentas de las víctimas los peces o “phish”.* Esta técnica de pesca de información se lleva a cabo enviando mensajes aparentemente legítimos que afirman proceder de conocidas instituciones financieras o de comercio por Internet, tales como Citibank, PayPal, e-Bay o America Online. Estos email contienen diferentes mensajes, pero normalmente siguen la misma fórmula: se pide al destinatario hacer clic en un enlace que aparece en el mensaje y que le llevará a lo que parece ser una página Web auténtica. En realidad, el sitio Web es una falsificación de lo más ingeniosa, a menudo prácticamente indistinguible de la página auténtica. La mayoría de usuarios hará caso omiso de los mensajes de phishing. No obstante, tan sólo unas pocas víctimas bastan para hacer que el timo sea rentable. Los remitentes de estos ataques de phishing saben que la gran mayoría de destinatarios no tendrá trato con la organización que aparece en el email y por tanto hará caso omiso. Sin embargo, para estos delincuentes la probabilidad de que un pequeño porcentaje de destinatarios disponga de una cuenta en esa organización hace que el ataque merezca la pena. Aunque sólo unos pocos caigan en la trampa, los atacantes pueden ganar bastante dinero mientras la página esté activa; la mayor parte de páginas falsas están activas sólo durante unos días. Teniendo en cuenta el bajo coste de crear una página Web y enviar miles de mensajes, sólo unas cuantas víctimas bastan para convertir este truco en un plan rentable. Según Anti-Phishing Working Group, una asociación formada para luchar contra la pesca de información y falsificación de mensajes, estos timadores llegan a convencer a casi un 5% de los destinatarios a que respondan. Un crimen internacional Una vez que la víctima ha introducido sus datos en la página Web falsa, los delincuentes pueden hacer de ellos lo que quieran. Normalmente, el objetivo es vaciar la cuenta, pero este timo tiene otras muchas utilidades. Dependiendo del tipo de cuenta implicada, ésta puede usarse para ayudar a los timadores a cometer más fraudes o a ganar acceso no autorizado a redes. Los timadores internacionales *El dígrafo “ph” proviene de la terminología de los hackers, cuando en los 70 empezaron a introducirse en el sistema telefónico estadounidense para hacer llamadas gratis, una actividad que se llamó “Phone Phreaking” (piratería telefónica). © 2004 Sophos Plc. Ninguna parte de esta publicación se puede reproducir, almacenar o transmitir de ningún modo, ni por ningún medio, sin la previa autorización escrita del propietario. 2 MONOGRÁFICO DE SOPHOS pueden tener dificultades para retirar dinero robado de un país sin dejar rastro, así que es posible que envíen más mensajes de spam para ayudarles a reclutar “cómplices”, usuarios informáticos que cobrarán una suma por dejar que entre dinero en sus cuentas. Sophos advirtió de un timo en el que se pedía a personas inocentes ayudar a delincuentes a transferir sus fondos, bajo el pretexto de ser una oportunidad lucrativa. Por qué las empresas son vulnerables La técnica de phishing representa un aspecto de las amenazas de seguridad cada vez más complejas y convergentes que afrontan las empresas hoy en día. Los métodos que usan los spammers se han vuelto más sofisticados y cada vez más a menudo el spam se combina con programas maliciosos y se usa como una herramienta para fraudes online o para propagar código malintencionado. La pesca de información es sólo una de las varias amenazas de seguridad de email que puede comprometer la seguridad de una red. El uso de código malicioso por estos delincuentes pone de manifiesto esta convergencia. Sophos informó de un ejemplo en Brasil, donde se arrestó a 53 personas sospechosas de instalar troyanos en ordenadores sin el conocimiento de los usarios. Los troyanos se ejecutaban en un segundo plano, monitorizaban los datos de acceso de los usuarios cuando visitaban los sitios Web de ciertos bancos online y se los facilitaban en secreto a los delincuentes.2 Éste es un ejemplo de phishing sin el uso de una página Web falsificada. Todo lo que se necesita es un email de spam que intente instalar código malicioso de forma secreta. Otra técnica de pesca de información, denunciada también en Brasil, era mediante el uso de un troyano instalado de forma secreta para redirigir el navegador del usuario a una página falsa, incluso introduciendo la dirección auténtica del banco online en la barra del navegador.3 La técnica de phishing puede considerarse, pues, como un ataque combinado dentro de las complejas y cambiantes amenazas a las que se enfrentan las redes corporativas y puede incluir spam y varios tipos de programas maliciosos. No obstante, en sí mismo es una amenaza para las empresas. Aunque los ataques de phishing generalmente se dirigen al gran público, las PYMES podrían correr peligro, sobre todo si las cuentas de la empresa están controladas por una o dos personas con pocos conocimientos informáticos. Es menos probable que organizaciones de mayor tamaño se conviertan en víctimas de un timo por email, pero es preferible proteger a los empleados contra fraudes procedentes de sus buzones de correo mediante la protección de la red de la empresa. Por esta razón, es importante que las empresas dispongan de una solución sólida e integrada para defender su gateway contra spam, como ataques de pesca de información y otras amenazas de seguridad de email. Una amenaza en aumento Se ha producido un repentino aumento en el número de denuncias de ataques de phishing. Según la asociación Anti-Phishing Working Group, el número de incidentes aumentó más de un 4.000% entre noviembre de 2003 y mayo de 2004. Una encuesta publicada por el grupo de investigación Gartner en mayo de 2004 puso de manifiesto que al menos 1,8 millones de personas han sido víctimas de ataques de phishing, la mayoría de ellos el año pasado.4 Otro informe realizado por IDC en octubre de 2004 mencionó que el phishing era uno de los crímenes no violentos que crece más rápido en la zona pacífico-asiática.5 © 2004 Sophos Plc. Ninguna parte de esta publicación se puede reproducir, almacenar o transmitir de ningún modo, ni por ningún medio, sin la previa autorización escrita del propietario. DICIEMBRE DE 2004 PHISHING: EL RIESGO PARA LAS EMPRESAS 3 Consejos para evitar que le “pesquen” Hay varias maneras de minimizar las probabilidades de que un ataque de phishing tenga éxito en la red de una empresa o en un ordenador personal. Es vital mantener un control exhaustivo y extremar la precaución al utilizar cuentas bancarias online. Evite responder a mensajes que solicitan información confidencial Las empresas acreditadas no solicitan a sus usuarios contraseñas o datos bancarios por email. Aunque crea que el email es auténtico, no responda. Póngase en contacto con la empresa por teléfono o visitando la página Web. Tenga cuidado a la hora de abrir archivos adjuntos y descargar archivos de mensajes, independientemente de quién los envíe. Muchas artimañas se usan para engañar a los usuarios a creer que están leyendo un email auténtico. Es habitual el uso de gráficos, fuentes y logotipos procedentes de mensajes legítimos de la organización en cuestión. Estas estratagemas están diseñadas para que el destinatario se confíe, pero incluso para el usuario más precavido puede ser difícil distinguir un email falsificado. En una prueba a 200.000 usuarios de email, menos del 10% pudo distinguir los mensajes de phishing del email legítimo en todos los casos.6 Las artimañas que se usan para embaucar a los destinatarios van desde avisos sobre la seguridad de sus cuentas hasta invitaciones para recoger premios. Aparte del aspecto del email, estos delincuentes usan sofisticadas técnicas de ingeniería social para bajar la guardia del destinatario. Los mensajes suelen incluir mensajes que buscan una reacción inmediata, afirmando por ejemplo que “personas no autorizadas pueden haber accedido a su cuenta” o afirmando que el destinatario ha ganado un premio. Algunos mensajes incluso muestran un aviso sobre la técnica de phishing. La figura 1 es un ejemplo de este tipo de avisos, dirigidos a personas con una cuenta en el banco HSBC. Figura 1: Parte de un email de pesca de información dirigido a clientes de HSBC. Visite las páginas Web de bancos y empresas de comercio online escribiendo la dirección en el navegador Muchas empresas acreditadas, incluida Sophos, contienen enlaces en sus mensajes a clientes, por ejemplo enlaces a artículos de prensa. En estos ataques de pesca de información hay que estar especialmente atento a la solicitud de datos personales confidenciales. No obstante, si cree que un mensaje de su banco o empresa de © 2004 Sophos Plc. Ninguna parte de esta publicación se puede reproducir, almacenar o transmitir de ningún modo, ni por ningún medio, sin la previa autorización escrita del propietario. 4 MONOGRÁFICO DE SOPHOS comercio online es falso, no haga clic en ninguno de los enlaces que contiene. En cambio, escriba la dirección auténtica en el navegador. Existen varios trucos para engañar al usuario a hacer clic en un enlace de un mensaje de phishing. Una de las artimañas más sencillas es hacer que la dirección del mensaje de phishing sea muy parecida a la auténtica, añadiendo por ejemplo un guión, un punto o usando un nombre de dominio distinto. Otra técnica consiste en hacer que el enlace falsificado sea idéntico al enlace legítimo. En un mensaje HTML esto es relativamente sencillo. Un código estándar HTML puede usarse para hacer que el texto del mensaje diga cualquier cosa, independientemente de adónde lleve. Una manera de comprobar que un enlace no es falso es verificar la dirección que aparece en la parte inferior del marco del navegador (barra de estado). Sin embargo, se muestran tan sólo unos cuantos caracteres. Esto significa que si se usa una dirección lo suficientemente larga puede ocultarse si se empieza con lo que parece ser la dirección legítima y se coloca la parte "activa" (que normalmente conduce al navegador a la página Web falsa) al final de la dirección y oculta a la vista. Un ejemplo es www.anybank.comabcdef123456789etc@phishingsite.com, donde lo único que sería visible en la barra de estado sería www.anybank.com seguido de algunos de los caracteres adicionales. Una actualización crítica de Microsoft en febrero de 2004 trató estas cuestiones, pero los navegadores no actualizados todavía son vulnerables. En algunos navegadores Internet Explorer y Mozilla también existe una vulnerabilidad que, sin el parche correspondiente, permite que la dirección del sitio Web legítimo aparezca en la dirección, incluso cuando se visualiza la Web falsa.7 Por lo tanto, es muy importante mantener el software actualizado con parches de seguridad. De cualquier modo, incluso los navegadores actualizados podrían tener fallos o agujeros de seguridad por el momento desconocidos pero de los que los delincuentes se podrían beneficiar. Hay varios tests visuales que pueden ayudar a determinar si la página Web que está visitando es auténtica. Asegúrese de que la página Web que visita es segura y auténtica Antes de dar sus datos bancarios o cualquier otra información confidencial, hay un par de comprobaciones que puede realizar. Por ejemplo, para asegurarse de que la página usa un sistema de codificación para proteger sus datos personales: Compruebe la dirección Web en el navegador. Si la página Web que está visitando se encuentra en un servidor seguro debe empezar con “https://” (“s” de seguridad) en vez de la habitual “http://”. En la barra de estado del navegador asegúrese de que aparece un icono en forma de candado. Puede comprobar el nivel de codificación, expresado en bits, si coloca el cursor sobre el icono. De cualquier modo, es importante recalcar que estos dos indicadores tan sólo demuestran que los datos se codifican antes de transmitirse; no son una garantía de que la página Web es legítima. Los sitios Web de phishing también pueden crearse en servidores seguros. También puede comprobar que la dirección que aparece en el navegador coincide con la dirección auténtica de la página que está visitando si visualiza las propiedades. Para hacer esto en Internet Explorer, haga clic con el botón derecho en la página Web, seleccione “Propiedades” y compare la dirección que aparece en la ventana con la que aparece en el navegador. Al asegurarse de que las dos direcciones coinciden, también estará protegiéndose contra otra de las artimañas favoritas usadas en las páginas de phishing: la página falsa se abre en una pequeña © 2004 Sophos Plc. Ninguna parte de esta publicación se puede reproducir, almacenar o transmitir de ningún modo, ni por ningún medio, sin la previa autorización escrita del propietario. DICIEMBRE DE 2004 PHISHING: EL RIESGO PARA LAS EMPRESAS 5 ventana con la página Web auténtica detrás. Cuando se han introducido los datos solicitados, se transfiere a la víctima a la página Web auténtica, de modo que parezca que no se ha producido nada ilegal. Compruebe regularmente sus cuentas bancarias En la página Web de su banco online, compruebe con regularidad su cuenta bancaria. Si ve cualquier operación sospechosa, notifíqueselo a su banco. Sea precavido con sus mensajes y datos personales La mayoría de bancos tiene una página segura en su sitio Web con información sobre la realización de transacciones seguras, así como las recomendaciones habituales acerca de los datos personales: no dar nunca a conocer los números PIN o contraseñas, no anotarlos y no usar la misma contraseña para todas las cuentas online. Evite abrir o responder a mensajes de spam, ya que de ese modo le confirmará al remitente que su dirección está activa. Use el sentido común a la hora de leer sus mensajes. Si alguno de ellos parece inverosímil o demasiado bueno para ser verdad, es probable que así sea. Notifique siempre cualquier actividad sospechosa Si recibe un email y cree que no es auténtico, envíelo a la organización cuya Web ha sido falsificada. Muchas empresas disponen de una dirección de email específica para notificar este tipo de ataques. La legislación contra estos criminales online está surgiendo efecto: personas sospechosas de ataques de phishing han sido arrestadas en varios países, incluyendo Reino Unido y Brasil, y en Australia un timador que robó millones de euros en un fraude por email fue condenado a cinco años de cárcel.8 Medidas de seguridad informática La amenaza del uso de troyanos en ataques de phishing aumenta la posibilidad de que se abra un “troyano de puerta trasera” para permitir a hackers acceder al ordenador o red en cuestión. Para evitar que esto suceda, la instalación de un cortafuegos personal proporcionará una mayor protección. Tal como hemos visto, mantener actualizados los sistemas operativos con los últimos parches de seguridad también es importante para contrarrestar algunos de los trucos de phishing de los que hemos hablado, como ocultar cabeceras de texto y direcciones. Sin embargo, los cortafuegos y parches no evitarán que los usuarios introduzcan sus datos en páginas falsas ni tampoco impedirán a estos delincuentes descubrir otras vulnerabilidades en el futuro. El uso de tecnologías de autenticación de remitente también puede ayudar a reducir el efecto de los ataques de phishing. Uno de estos métodos es el Marco de Políticas de Remitente (Sender Policy Framework o SPF). Bajo este marco, organizaciones publican listas de servidores que pueden enviar mensajes en su nombre. Cualquier email que afirme proceder de una organización pero no tenga su origen en un servidor de la lista “aprobada” puede ser rechazado. Mientras SPF y otras tecnologías de autenticación de remitente sean relativamente nuevas, tienen el potencial de dificultar los ataques de pesca de información puesto que, al menos en teoría, los delincuentes sólo podrán enviar sus mensajes de spam desde servidores “no aprobados”. El desafío que constituye la autenticación sola es que mientras un destinatario puede verificar que una dirección de un remitente no es falsa, también necesita saber si su empresa permite mensajes desde ese dominio y que no es un sitio Web que, por ejemplo, es usado por un grupo conocido de spammers. © 2004 Sophos Plc. Ninguna parte de esta publicación se puede reproducir, almacenar o transmitir de ningún modo, ni por ningún medio, sin la previa autorización escrita del propietario. 6 MONOGRÁFICO DE SOPHOS Las organizaciones con una solución antivirus y anti-spam respaldada por una red global de laboratorios de investigación son las que mejor se protegen contra amenazas combinadas en constante evolución como el phishing y otros ataques. El paso más importante que puede tomar una empresa es usar una solución integrada de seguridad en su gateway para proteger su infraestructura informática. Sophos PureMessage salvaguarda el gateway mediante una reconocida tecnología que ofrece una protección contra virus, spam y troyanos usados en ataques de phishing. PureMessage también proporciona un servicio de cumplimiento de políticas de email, ofreciendo a las organizaciones protección contra ataques de programas maliciosos. A su vez, limita la responsabilidad legal de una empresa, lo que permite que cumpla con la legislación y aumente la productividad. Un conjunto de herramientas administrativas permiten que Sophos PureMessage se instale y actualice fácilmente y todas las licencias cuentan con un servicio de soporte técnico las 24 horas. Asimismo, la red global de laboratorios de investigación de Sophos trabaja sin descanso para garantizar una respuesta inmediata a las amenazas en cualquier lugar del mundo e independientemente de la zona horaria. Para más información sobre cómo Sophos puede proteger su empresa, visite www.esp.sophos.com. Bibliografía 1 www.esp.sophos.com/pressoffice/pressrel/phishrecruit.html [“Phishers reclutan a usuarios informáticos para operaciones de blanqueo de dinero” 3 de noviembre de 2004]. 2 www.esp.sophos.com/pressoffice/pressrel/brazilarrest.html [“Desmantelada en Brasil una red que creaba troyanos de 'pesca de información'” 21 de octubre de 2004]. 3 msnbc.msn.com/id/6416723 [“A new, more sneaky phishing attack”. De Bob Sullivan, 5 de noviembre de 2004]. 4 msnbc.msn.com/id/5184077 [“Survey: 2 million bank accounts robbed”. De Bob Sullivan, 14 de junio de 2004]. 5 www.idc.com/getdoc.jsp?containerId=AP223108L [“Security Threats in Asia/Pacific (Excluding Japan) 2004”]. 6 www.informationweek.com/showArticle.jhtml?articleID=48800408 [Deceptive E-Mail Could Cost Consumers $500 Million, Study Finds”. De Thomas Claburn, 30 de septiembre de 2004]. 7 www.millersmiles.co.uk/identitytheft/phishing.html [“Spoof Email Phishing Scams and Fake Web Pages or Sites”. De Mat Bright, 23 de febrero de 2004]. 8 www.esp.sophos.com/pressoffice/pressrel/marinellis.html [“Condenado un timador por email que robó más de 3 millones de euros” 8 de noviembre de 2004]. Más información Anti-Phishing Working Group (APWG) es una asociación cuyo objetivo es eliminar el robo y fraude de identidad resultantes del phishing, un problema cada vez más frecuente. Para más información, visite www.antiphishing.org. Boston, EE.UU. • Mainz, Alemania • Milán, Italia • Oxford, GB • París, Francia Singapur • Sydney, Australia • Vancouver, Canadá • Yokohama, Japón Todas las marcas registradas reconocidas por Sophos.