Pishing
18
PHISHING Ing. María José Meza Ayala DIRECCIÓN GENERAL DE INVESTIGACIÓN ESPECIAL EN TELECOMUNICACIONES
-
Upload
radiocomunicaciones-utpl -
Category
Technology
-
view
1.303 -
download
0
Transcript of Pishing
PHISHING
Ing. María José Meza AyalaDIRECCIÓN GENERAL DE INVESTIGACIÓN
ESPECIAL EN TELECOMUNICACIONES
DEFINICIÓN
• El Phishing es un tipo de delito incluido dentro del ámbito de las estafas, se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta. El estafador se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica; por lo común un correo electrónico, o algún sistema de mensajería instantánea.
TÉCNICAS DE PHISHING (I)• Engaño en el diseño para lograr que un enlace en un correo electrónico
parezca una copia de la organización por la cual se hace pasar el impostor. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers.
http://www.nombredetubanco.com.ejemplo.com/.
• Utilización de direcciones que contengan el carácter arroba (@), para posteriormente preguntar el nombre de usuario y contraseña.
http://[email protected]/
La dirección mostrada puede engañar a un observador casual y hacerlo creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com.
TÉCNICAS DE PHISHING (II)• Recepción de un mensaje (generalmente un correo electrónico), en el cual
se solicita la verificación de cuentas bancarias, seguido por un enlace que aparenta ser la página web auténtica; en realidad, el enlace está modificado para dirigir al usuario a iniciar sesión en la página del banco o servicio, donde la URL y los certificados de seguridad parecen ser auténticos.
• Otro problema con las URL es el relacionado con el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dοminiο.com, aunque en el segundo las letras "o" hayan sido reemplazadas por la correspondiente letra griega ómicron, "ο").
DAÑOS CAUSADOS
Este tipo de robo de identidad se está haciendo cada vez más popular por la facilidad con que personas confiadas normalmente revelan información personal a los phishers, una vez esta información es adquirida, los phishers pueden usarla para crear cuentas falsas utilizando el nombre de la víctima, gastar el crédito de la víctima, o incluso impedir a las víctimas acceder a sus propias cuentas.
ESTADÍSTICAS (Enero 2008)
• Se divulgaron 20,305 páginas Web de “phishing”
• 131 marcas de fábrica fueron “secuestradas”
• 92.4 por ciento de todos los ataques tratan del sector de servicios financieros
• Los Países que alojan páginas Web de “phishing”:#1: Estados Unidos (37.25 por ciento)#2: Rusia (11.66 por ciento)#3: China (10.3 por ciento)
EJEMPLOS (I)
EJEMPLOS (II)
EJEMPLOS (III)
EJEMPLOS (IV)
EJEMPLOS (V)
http://www.jangsunlu.co.kr/da/chase/actualizacion/servicios/produbanco/persona/produbancopersona...
https://www.produbanco.com/GFPNetSeguro/
PISHING EN MSN
• Dos de los ejemplos más recientes son las páginas quienteadmite.com y noadmitido.com destinadas a robar el nombre y contraseña de los usuarios de MSN a cambio de mostrarle a los visitantes que las utilicen, quien los ha borrado de su lista de contactos.
• El servicio que brindan puede obtenerse fácilmente desde la solapa "privacidad" del menú opciones desde el Msn messenger.
MÉTODOS DE PREVENCIÓN (I)• Un usuario al que se le contacta mediante un mensaje
electrónico y se le hace mención sobre la necesidad de "verificar" una cuenta electrónica puede escribir la dirección web en la barra de direcciones de su navegador para evitar usar el enlace que aparece en el mensaje sospechoso de phishing.
• Muchas compañías se dirigen a sus clientes por su nombre de usuario en los correos electrónicos, de manera que si un correo electrónico se dirige al usuario de una manera genérica como ("Querido miembro de XXXX") es probable que se trate de un intento de phishing.
MÉTODOS DE PREVENCIÓN (II)• Uso de software anti-phishing. • El uso de filtros de spam.
• Muchas organizaciones han introducido la característica denominada pregunta secreta, en la que se pregunta información que sólo debe ser conocida por el usuario y la organización. Las páginas de Internet también han añadido herramientas de verificación que permite a los usuarios ver imágenes secretas que los usuarios seleccionan por adelantado; sí estas imágenes no aparecen, entonces el sitio no es legítimo.
• Muchas compañías ofrecen a bancos y otras entidades que sufren de ataques de phishing, servicios de monitoreo continuos, analizando y utilizando medios legales para cerrar páginas con contenido phishing.
MÉTODOS DE PREVENCIÓN (III)
• Informar enlaces sospechosos haciendo click en ayuda y pulsando en "Informar de falsificación web":
• Los servidores de correo más populares también cuentan con opciones para denunciar intentos de phishing:
LEGISLACIONCÓDIGO PENAL
“……Artículo 202.- ... Artículo ...- El que empleando cualquier medio electrónico, informático o afín, violentare claves o sistemas de seguridad, para acceder u obtener información protegida, contenida en sistemas de información; para vulnerar el secreto, confidencialidad y reserva, o simplemente vulnerar la seguridad, será reprimido con prisión de seis meses a un año y multa de quinientos a mil dólares de los Estados Unidos de Norteamérica.
“…………”
Artículo ...- Obtención y utilización no autorizada de información.- La persona o personas que obtuvieren información sobre datos personales para después cederla, publicarla, utilizarla o transferirla a cualquier título, sin la autorización de su titular o titulares, serán sancionadas con pena de prisión de dos meses a dos años y multa de mil a dos mil dólares de los Estados Unidos de Norteamérica.Nota: Artículo agregado por Ley No. 67, publicada en Registro Oficial Suplemento 557 de 17 de Abril del 2002.……”
OBSERVACIONES• Tanto los servicios de correo como cualquier otro servicio (bancos, cuentas para
compras por internet, actualizaciones de antivirus, etc.) nunca piden información sensible del usuario a través del correo electrónico.
• Para defenderse de estos ataques es recomendable utilizar el escepticismo inteligente en cualquier relación en la que se solicite al usuario que divulgue datos personales, por otro lado, siempre que se tenga que hablar con el banco, se lo debe hacer a través de los números de teléfono oficiales, y no facilitar datos personales ni financieros a través de correos electrónicos.
• Si se recibe un correo con un enlace que sospechemos que es de phishing, además de informarlo a la web, se lo debe notificar también al Centro de Información y Reclamos de la SUPERTEL, comunicándose sin costo al 1800 567 567. Para que de este modo la SUPERTEL pueda interceder para que la página sea bloqueada y evitar que nuevas víctimas sean engañadas.
• La SUPERTEL se está preparando técnicamente para desarrollar técnicas de detección frente a este nuevo tipo de fraude, las cuales nos permitirán no solo prevenir sino corregir técnicamente este tipo de estafas.
Acciones realizadas por la SUPERTEL
