Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Seguridad en Sistemas de información Master en...

Pedro Lorenzo RiveirosPedro Lorenzo Riveiros22 mayo 2008, La Coruña22 mayo 2008, La Coruña

Seguridad en Sistemas de informaciónSeguridad en Sistemas de informaciónMaster en InformáticaMaster en Informática

Universidad de La CoruñaUniversidad de La Coruña


• IntroducciónIntroducción

• HistoriaHistoria

• DefiniciónDefinición

• Proceso de PhishingProceso de Phishing

• Tipos de phishingTipos de phishing

• Recomendaciones de seguridadRecomendaciones de seguridad

• Casos RealesCasos Reales

ÍndiceÍndice



IntroducciónIntroducción

Aumento de fraudes y estafas financieras a través de InternetAumento de fraudes y estafas financieras a través de Internet

Creciente popularización de servicios de banca electrónica y comercio basado en WebCreciente popularización de servicios de banca electrónica y comercio basado en Web

Este tipo de ataques se ha acuñado con el terminoEste tipo de ataques se ha acuñado con el termino

““Phishing”Phishing”

Nueva generaciónNueva generaciónde ataquesde ataques

Acceder al sistema con intenciones maliciosasAcceder al sistema con intenciones maliciosas

Introducir un virusIntroducir un virus

Destruir datos personales o equiposDestruir datos personales o equipos

Recopilar información personalRecopilar información personal

Realizar operaciones fraudulentasRealizar operaciones fraudulentas

Realizar estafas electrónicasRealizar estafas electrónicas



• “ “Phishing” se encuentra relacionado con el denominado “Phreaking”Phishing” se encuentra relacionado con el denominado “Phreaking”

• Acuñado a mediados de los años noventa por los crackers que Acuñado a mediados de los años noventa por los crackers que intentaban robar las cuentas de los clientes de AOLintentaban robar las cuentas de los clientes de AOL

− El timador se presentaba como empleado de la empresa El timador se presentaba como empleado de la empresa

− El timador enviaba un correo a la víctima, solicitando que relevara su contraseñaEl timador enviaba un correo a la víctima, solicitando que relevara su contraseña

− Una vez que la víctima entregaba las claves, el atacante podría tener Una vez que la víctima entregaba las claves, el atacante podría tener acceso a la cuenta de éstaacceso a la cuenta de ésta

− 1997, AOL reforzó su política respecto al “phishing”1997, AOL reforzó su política respecto al “phishing”

• Añadir un sistema de mensajería instantáneaAñadir un sistema de mensajería instantánea

• “ “no one working at AOL will ask for your password or billing information”no one working at AOL will ask for your password or billing information”

• Sistema que desactivaba de forma automática Sistema que desactivaba de forma automática una cuenta involucrada en “phishing”una cuenta involucrada en “phishing”

HistoriaHistoria



• 10 años después los casos de phishing se han extendido, 10 años después los casos de phishing se han extendido, afectando a numerosas entidadesafectando a numerosas entidades

• 90% de las campañas de phishing esta orientadas hacia el sector financiero90% de las campañas de phishing esta orientadas hacia el sector financiero

• Los otros tipos de ataques están orientados:Los otros tipos de ataques están orientados:• Comercio electrónicoComercio electrónico• Servicios de reservacionesServicios de reservaciones• Almacenes comercialesAlmacenes comerciales

HistoriaHistoria



Modalidad de estafa caracterizada por suplantar la identidad Modalidad de estafa caracterizada por suplantar la identidad

con el fin de apropiarse de datos confidenciales de los usuarioscon el fin de apropiarse de datos confidenciales de los usuarios

Phishing se trata de un término similar al de la palabra inglesa “fish” (pescar)Phishing se trata de un término similar al de la palabra inglesa “fish” (pescar)

− Un pescador lanza un sedal en el agua repetidamente con un cebo Un pescador lanza un sedal en el agua repetidamente con un cebo − El cebo es una pieza de un aparejo de pesca que parece un sabroso pez El cebo es una pieza de un aparejo de pesca que parece un sabroso pez más pequeño, pero en realidad es un desagradable anzuelomás pequeño, pero en realidad es un desagradable anzuelo

− Al final, el cebo capta la atención de un pez que picaAl final, el cebo capta la atención de un pez que pica

− El pez engañado se engancha al anzuelo y se encuentra con la muerteEl pez engañado se engancha al anzuelo y se encuentra con la muerte

DefiniciónDefinición



Los ataques de “phishing” causan mayores estragos entre los usuarios principiantesLos ataques de “phishing” causan mayores estragos entre los usuarios principiantes

de servicios de comercio y banca electrónica, quienes podrían considerar 'normal' de servicios de comercio y banca electrónica, quienes podrían considerar 'normal'

el recibir un correo electrónico solicitándoles ir a una Web para ingresar su informaciónel recibir un correo electrónico solicitándoles ir a una Web para ingresar su información

Ataque phishing puede producirse de varias formas:Ataque phishing puede producirse de varias formas:

– Mensaje a un teléfono móvilMensaje a un teléfono móvil– Llamada telefónicaLlamada telefónica– Aplicación Web que simula una entidadAplicación Web que simula una entidad– Ventana emergenteVentana emergente– Recepción de un correo electrónicoRecepción de un correo electrónico

DefiniciónDefinición



Paso 0:− Phisher identifica la identidad financiera a clonar mediante herramientas informáticas− Phisher procede a instalar la página clonada de la entidad en un servidor Web

Extensión del dominio original del servidor WebExtensión del dominio original del servidor Web

Creado especialmente para este finCreado especialmente para este finEl dominio usado

Proceso PhishingProceso Phishing



Paso 1:Paso 1:− Dar a conocer a la mayor cantidad de personas el link fraudulentoDar a conocer a la mayor cantidad de personas el link fraudulento− El medio preferido para difundir el portal fraudulento es el SPAMEl medio preferido para difundir el portal fraudulento es el SPAM




Paso 2:Paso 2:− La víctima hace clic sobre el link direcionandolo a la página Web fraudulentaLa víctima hace clic sobre el link direcionandolo a la página Web fraudulenta




Paso 3:Paso 3:− La víctima ingresa los datos requeridos comprometiendo información confidencial La víctima ingresa los datos requeridos comprometiendo información confidencial en el sitio fraudulentoen el sitio fraudulento




Paso 4:Paso 4:− La información capturada es guardada o enviada a otro servidorLa información capturada es guardada o enviada a otro servidor para poder ser usado en transacciones ilegalespara poder ser usado en transacciones ilegales




Paso 5:Paso 5:− El phisher con la información confidencial capturada procede a robar el dineroEl phisher con la información confidencial capturada procede a robar el dinero




Phishing engañosoPhishing engañoso

Tipos de PhishingTipos de Phishing

• Forma primitiva de “phishing”Forma primitiva de “phishing”

• La herramienta de comunicación utilizada es mediante el correo electrónicoLa herramienta de comunicación utilizada es mediante el correo electrónico

• Los ejemplos de llamada a la acción son muy diversosLos ejemplos de llamada a la acción son muy diversos

• Los correo y los sitios falsos son diseñados con mucha atención en el detalleLos correo y los sitios falsos son diseñados con mucha atención en el detalle

Dos variantes:Dos variantes:

• VishingVishing

– Utiliza el teléfono como herramientaUtiliza el teléfono como herramienta– Basado en un software denominado “war dialers”Basado en un software denominado “war dialers”

• SmashingSmashing

– Utiliza mensajes de texto a móvilesUtiliza mensajes de texto a móviles



Phishing basado en software maliciosoPhishing basado en software malicioso

• Implica la ejecución de un software malicioso en el ordenador de la víctimaImplica la ejecución de un software malicioso en el ordenador de la víctima

• La propagación de este tipo de “phishing” puede depender:La propagación de este tipo de “phishing” puede depender:

Técnicas de ingeniería socialTécnicas de ingeniería social

− El ataque debe conseguir que el El ataque debe conseguir que el usuario usuario realice alguna actuación que realice alguna actuación que permita la permita la ejecución del malware en su ejecución del malware en su ordenadorordenador

Explotar vulnerabilidad del sistemaExplotar vulnerabilidad del sistema

– Aprovechan fallos en la seguridad Aprovechan fallos en la seguridad del sistema de un sitio Web legítimo del sistema de un sitio Web legítimo para introducir software maliciosopara introducir software malicioso





• Keyloggers y ScreenloggersKeyloggers y Screenloggers

• Secuestradores de sesiónSecuestradores de sesión

• Troyanos WebTroyanos Web

• Ataques de reconfiguración del sistemaAtaques de reconfiguración del sistema

• Robo de datosRobo de datos





• Keyloggers y ScreenloggersKeyloggers y Screenloggers

− Programas que registran las pulsaciones que se realizan en el tecladoProgramas que registran las pulsaciones que se realizan en el teclado− Las Aplicaciones están programadas para ponerse en funcionamiento Las Aplicaciones están programadas para ponerse en funcionamiento al acceder a alguna Web registradaal acceder a alguna Web registrada− Los datos son grabados y enviados al delincuenteLos datos son grabados y enviados al delincuente− Versiones más avanzadas capturan movimientos de ratónVersiones más avanzadas capturan movimientos de ratón− Los “Screenloggers” capturan imágenes de la pantalla que son remitidos al atacanteLos “Screenloggers” capturan imágenes de la pantalla que son remitidos al atacante





• Secuestradores de sesiónSecuestradores de sesión

− El ataque se produce una vez que el usuario ha accedido a alguna WebEl ataque se produce una vez que el usuario ha accedido a alguna Web− No roba datos, directamente actúa cuando la víctima ha accedido No roba datos, directamente actúa cuando la víctima ha accedido a su cuenta corrientea su cuenta corriente− Los programas suelen ir “disfrazados” como un componente del propio navegadorLos programas suelen ir “disfrazados” como un componente del propio navegador





• Troyanos WebTroyanos Web

− Programas maliciosos en forma de ventanas emergentesProgramas maliciosos en forma de ventanas emergentes− Hacer creer al usuario que está introduciendo la información en el sitio Web realHacer creer al usuario que está introduciendo la información en el sitio Web real





• Ataques de reconfiguración del sistemaAtaques de reconfiguración del sistema

− Modificar los parámetros de configuración del sistema del usuarioModificar los parámetros de configuración del sistema del usuario

Modificar el sistema de nombres de dominioModificar el sistema de nombres de dominio

Instalación de un “proxy” para canalizar la informaciónInstalación de un “proxy” para canalizar la informaciónDos tipos de modificación





• Robo de datosRobo de datos

− Códigos maliciosos que recaban información confidencial de la máquina Códigos maliciosos que recaban información confidencial de la máquina en la que esta instaladoen la que esta instalado




Phishing basado en el DNS o “Pharming”Phishing basado en el DNS o “Pharming”

• Este delito supone un peligro mayorEste delito supone un peligro mayor− Menor colaboración de la víctimaMenor colaboración de la víctima− El “disfraz” parece más realEl “disfraz” parece más real

• Modificar fraudulentamente la resolución del nombre de dominio enviando Modificar fraudulentamente la resolución del nombre de dominio enviando

al usuario a una dirección IP distintaal usuario a una dirección IP distinta

• Táctica consistente en cambiar los contenidos del DNSTáctica consistente en cambiar los contenidos del DNS




Phishing mediante introducción de contenidosPhishing mediante introducción de contenidos

• Introducir contenido fraudulento dentro de un sitio Web legítimoIntroducir contenido fraudulento dentro de un sitio Web legítimo

3 categorías:3 categorías:

– Asaltar el servidor aprovechando una vulnerabilidadAsaltar el servidor aprovechando una vulnerabilidad– Introducir contenido malicioso a través del “cross-site scripting Introducir contenido malicioso a través del “cross-site scripting – Aprovechar la falta de mecanismos de filtrado en los campos de entradaAprovechar la falta de mecanismos de filtrado en los campos de entrada




Phishing mediante la técnica del intermediarioPhishing mediante la técnica del intermediario

• El delincuente se posiciona entre el ordenador y el servidorEl delincuente se posiciona entre el ordenador y el servidor

• Posibilidad de escuchar toda la comunicación entre ambosPosibilidad de escuchar toda la comunicación entre ambos

• El usuario no detecta que está siendo víctima de un delitoEl usuario no detecta que está siendo víctima de un delito

Phishing de motor de búsquedaPhishing de motor de búsqueda

• Los delincuentes crean páginas Web para productos o servicios falsosLos delincuentes crean páginas Web para productos o servicios falsos• Introducen la página en los índices de los motores de búsqueda Introducen la página en los índices de los motores de búsqueda • Normalmente las falsas ofertas tienen condiciones sensiblemente mejoresNormalmente las falsas ofertas tienen condiciones sensiblemente mejores




Recomendaciones de seguridadRecomendaciones de seguridad

1.1. Comprobación del Certificado Digital del servidor Web antes Comprobación del Certificado Digital del servidor Web antes de confiar en su contenidode confiar en su contenido

Certificado Digital de servidorCertificado Digital de servidor

Certificado de seguridad (mail.ucv.udc)Certificado de seguridad (mail.ucv.udc)



2.2. Las direcciones de las páginas Web seguras empiezan por Las direcciones de las páginas Web seguras empiezan por https://

3.3. Reforzar la seguridadReforzar la seguridad

4.4. Cerrar expresamente las conexiones seguras haciendo clic en la Cerrar expresamente las conexiones seguras haciendo clic en la

correspondiente opción habilitada por la empresa en la página Webcorrespondiente opción habilitada por la empresa en la página Web

5.5. Nunca se debe acceder a un formulario de autenticación a través de un Nunca se debe acceder a un formulario de autenticación a través de un

enlace desde otra página Web o desde el texto de un correo electrónicoenlace desde otra página Web o desde el texto de un correo electrónico

6.6. Desconfiar de un mensaje de correo recibido en nombre de la entidadDesconfiar de un mensaje de correo recibido en nombre de la entidad

financiera con una solicitud para entregar datos personalesfinanciera con una solicitud para entregar datos personales

7.7. No establecer conexiones a este tipo de Websites desde lugares públicosNo establecer conexiones a este tipo de Websites desde lugares públicos

8.8. Comprobar que la dirección URL de acceso no incluye Comprobar que la dirección URL de acceso no incluye

elementos sospechososelementos sospechosos




9.9. No instalar nuevos programas y controles en el navegador No instalar nuevos programas y controles en el navegador

sin antes comprobar su autenticidadsin antes comprobar su autenticidad

10.10. Guardar de forma segura los datos y claves de accesoGuardar de forma segura los datos y claves de acceso

11.11. Habilitar la función del navegador que permite advertir del cambio entre Habilitar la función del navegador que permite advertir del cambio entre

el contenido seguro (conexión SSL) y el no seguroel contenido seguro (conexión SSL) y el no seguro

Cambio entre conexión segura y no seguraCambio entre conexión segura y no segura




12.12. Las aplicaciones Web deben estar programadas para utilizar páginas Las aplicaciones Web deben estar programadas para utilizar páginas

de autenticación independientesde autenticación independientes

13.13. Revisar periódicamente las cuentasRevisar periódicamente las cuentas

14.14. Utilizar nuevas alternativas propuestas por algunos bancos para Utilizar nuevas alternativas propuestas por algunos bancos para

evitar tener que teclear las contraseñasevitar tener que teclear las contraseñas

15.15. Comunicar los posibles delitos relacionados con la información personal Comunicar los posibles delitos relacionados con la información personal

a las autoridades competentesa las autoridades competentes

Teclado virtualTeclado virtual




Caso RealCaso Real

Banco Santander Central HispanoBanco Santander Central Hispano

Características de seguridad:Características de seguridad:

− Autoridad CertificaciónAutoridad Certificación

− Conexiones Seguras SSLConexiones Seguras SSL

− PrivacidadPrivacidad

Como actuar en caso de phishingComo actuar en caso de phishing

Banco Santander permite ponerse en contacto:Banco Santander permite ponerse en contacto:

− Teléfono 902 24 24 24 Teléfono 902 24 24 24

− Buzón Superlinea SantanderBuzón Superlinea Santander

A mayores proporciona un enlace a la página:A mayores proporciona un enlace a la página:

− http://www.nomasfraude.com/spain

““1º Campaña contra el robo1º Campaña contra el roboDe identidad y el fraude on-line”De identidad y el fraude on-line”


http://www.nomasfraude.com/spain



Ejemplo de un caso real de ataque phishing detectado en InternetEjemplo de un caso real de ataque phishing detectado en Internet

Pasos del ataque phishingPasos del ataque phishing

1.1. Recepción del correo fraudulentoRecepción del correo fraudulento

2.2. Acceder a la página fraudulentaAcceder a la página fraudulenta

3.3. Completar el formularioCompletar el formulario

Caso RealCaso Real




1.1. Recepción del correo fraudulentoRecepción del correo fraudulento

Correo phishing Banco SantanderCorreo phishing Banco Santander

Características del correo:Características del correo:

Nombres de compañía ya existente:Nombres de compañía ya existente:

−Banco SantanderBanco Santander

Factor miedo:Factor miedo:

− Instalar nuevo sistema de seguridadInstalar nuevo sistema de seguridad

Enlace:Enlace:

− Página fraudulentaPágina fraudulenta

Caso RealCaso Real




1.1. Acceder a la página fraudulentaAcceder a la página fraudulenta

Página fraudulenta creada por los estafadores:Página fraudulenta creada por los estafadores:Página oficial del banco:Página oficial del banco:

– El diseño de la página esta muy bien logradaEl diseño de la página esta muy bien lograda– La página fraudulenta solicita la información de acceso a la cuentaLa página fraudulenta solicita la información de acceso a la cuenta

Caso RealCaso Real




1.1. Completar el formularioCompletar el formulario

Rellenar los datos personales del usuario:Rellenar los datos personales del usuario:– NifNif– Clave de accesoClave de acceso

Entrar en la aplicación:Entrar en la aplicación:

− Se muestra un mensaje de errorSe muestra un mensaje de error− La información ingresada es enviada a los estafadoresLa información ingresada es enviada a los estafadores

Mensaje de errorMensaje de error

Caso RealCaso Real



Banco Caja MadridBanco Caja Madrid

Características de seguridad:

− Autoridad Certificación

− Sistemas informáticos protegidos del exterior por un sistema de firewalls

− Monitorización continua de todas las aplicaciones

− Seguimiento inmediato de cualquier incidencia del servicio de Internet

− Información almacenada aislada con las máximas medidas de seguridad

Como actuar en caso de phishingComo actuar en caso de phishing

Caja Madrid permite ponerse en contacto:Caja Madrid permite ponerse en contacto:

− Teléfono 902 24 68 10Teléfono 902 24 68 10

Caso RealCaso Real



Caso RealCaso Real

Banco Caja MadridBanco Caja Madrid

Correo phishing Caja MadridCorreo phishing Caja Madrid



Universidad de La CoruñaUniversidad de La Coruña

Muchas Gracias por vuestra atenciónMuchas Gracias por vuestra atención

¿Alguna Pregunta?¿Alguna Pregunta?

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Seguridad en Sistemas de información Master en...

Documents

Transcript of Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Seguridad en Sistemas de información Master en...