Capacitación
• Phishing• Ingeniería Social
• Métodos de defensa
Phishing
¿Qué es el Phishing ?
• El phishing no es mas ni menos que la técnica de engañar al usuario para robar dinero, en sus orígenes este ataque estaba apuntado a robar credenciales de Home Banking
• Con el correr del tiempo las técnicas fueron evolucionando y se perfeccionaron por lo que se volvieron mucho mas peligrosas y abarcativas (obtención de credenciales de red, e-mails, pcs)
Ejemplo de ataque:
En esta imagen veremos recortada la parte de un correo recibido aparentemente del banco Galicia avisando tareas de actualización en base de datos y solicitando nuevamente que el usuario ingrese sus datos.
Aparentemente nada inseguro…
En esta diapositiva vemos lo mismo que en la anterior, pero sin recortar la parte de la pagina Web a donde llevaba el link supuesto www.e-galicia.com.ar que se mostraba en el correo.
Pagina Web Falsa.
Una vez ingresado al sitio falso sin que el usuario se diera cuenta de eso, vera una pagina “espejo” igual a la de su banco, solo falta que ingrese los datos como el supuesto mail del banco solicitaba.
¿Qué viene después?
Transferencias Bancarias a cuentas de otros bancos que fueron generadas con documentos falsos ,o transferencias bancarias a cuentas “mulas”(cuentas de terceros que cobran en la caja efectivo y se lo pasan a los atacantes luego de quedarse con algún porcentaje)
Países que alojan sitios de phishing
1 PayPal
2 Internal Revenue Service
3 Tibia
4 eBay, Inc.
5 Facebook
6 Bank of America Corporation
7 JPMorgan Chase and Co.
8 HSBC Group
9 Google
10 HSBC
Top 10 de targets para el uso de Phishing
Métodos de defensa
• Evitar el spam ya que es el principal medio de distribución de cualquier mensaje que intente engañarlo.
• Nunca hacer clic en un enlace incluido en un mensaje de correo. Siempre intente ingresar manualmente a cualquier sitio web. Esto se debe tener muy en cuenta cuando es el caso de entidades financieras, o en donde se nos pide información confidencial (como usuario, contraseña, tarjeta, PIN, etc.).
• Sepa que su entidad, empresa, organización, etc., sea cual sea, nunca le solicitará datos confidenciales por ningún medio, ni telefónicamente, ni por fax, ni por correo electrónico, ni a través de ningún otro medio existente. Es muy importante remarcar este punto y en caso de recibir un correo de este tipo, ignórelo y/o elimínelo.
• Otra forma de saber si realmente se está ingresando al sitio original, es que la dirección web de la página deberá comenzar con https y no http, como es la costumbre. La S final, nos da un alto nivel de confianza que estamos navegando por una página web segura.
Ingeniería Social
La "ingeniería social" es la técnica especializada del uso de acciones estudiadas o habilidosas que permiten manipular a las personas para que voluntariamente realicen actos que normalmente no harían.
Para que estas acciones tengan efecto se debe contar el desconocimiento, curiosidad, descuido o negligencia por parte de los usuarios que suelen caer en trampas disfrazadas en mensajes con asuntos o falsos contenidos que despiertan una serie de afectividades logrando actos involuntarios.
Objetivos de la ingeniería social
Ganar acceso no autorizado a los sistemas, redes o a la información para...
• Cometer Fraude
• Entrometerse en las Redes
• Espionaje Industrial
• Robo de Identidad (de moda)
• Irrumpir en los Sistemas o Redes
Métodos de defensa
• Mantenga una actitud cautelosa y revise constantemente sus tendencias de ayudar a personas que no conoce.
• Al teléfono, obtenga nombres e identidades (Nro. De Empleado, por ejemplo). Corrobórelos y llámelos a su pretendida extensión.
• No se deje intimidar o adular para terminar ofreciendo información.
• No le permita a una persona desconocida “descrestarlo” con su aparente conocimiento.
• Ejemplo: Aquellos que conocen detalles técnicos o usan acrónimos o la jerga propia de la empresa o industria
FIN