Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introduccin a la Computacin
Riesgo Informtico
Nueva modalidad a travs de Internet: Phishing
Preparado por Ing. Simn Mario Tenzer, Octubre 20041
Indice:
1) Ojo al timo del phishing : define qu es, procedencia del nombre, cmo funciona, un
ejemplo ocurrido en Espaa, cmo evitarlo tanto en organizaciones como individualmente.
2) Todo lo que debe saber del Phishing: es un artculo de Microsoft, con cinco pasos o
procedimientos para protegerse de este delito.
5) Phishing: fcil y rentable: explica cmo se genera, lista conocidas organizaciones que
han sido afectadas, indica lo fcil y rentable que es y finalmente recomienda mantener los
ojos bien abiertos y no fiarse de imgenes o trminos tcnicos en un mensaje recibido de
e-mail.
Introduccin a la Computacin
2 5- 0 8- 2 0 0 4
Qu es el Phishing? El Phishing hace referencia a las actividades criminales que imitan los
emails, sitios web, llamadas telefnicas u otras vas de comunicacin de compaas legtimas,
para invitar a sus usuarios a proporcionar informacin confidencial como contraseas, nombres de
usuario y nmeros de cuenta. Una vez los criminales se hacen con ellos pueden llegar a arruinar
al usuario.
Procedencia del trmino: El trmino Phishing es un juego fontico acuado por los hackers en el
que se ha sustituido la "f" de Fishing, que en espaol significa salir de pesca, por la "ph". Este timo
tiene sus orgenes en el ao 1960 cuando la comunidad hacker bautiz como Phone Phreaks, la
prctica en la que se defraudaba va telefnica imitando la identidad de usuarios legtimos.
El anzuelo
Los mails que envan los ciber delincuentes, con apariencia de nota oficial, informan al usuario de
la necesidad de actualizar sus datos o cuentas. En algunas ocasiones el mismo mail contiene un
pequeo formulario en el que se pide al usuario que introduzca sus datos financieros.
En otras lo que hacen los delincuentes es poner un enlace a una web falsa creada por ellos y con
aspecto casi idntico al de la entidad empleada como anzuelo, de tal manera que el usuario no
desconfe de ella.
Una vez all se pide al 'cliente' que introduzca, como ha hecho otras veces en la web verdadera (la
que no ha sido copiada), datos como sus contraseas, nmeros de tarjeta de crdito ste es el
momento en el que est perdido. Sus datos ya estn en manos ajenas y listos para ser utilizados
con fines delictivos.
Ver texto Internet, una herramienta para los negocios: Ataques a las contraseas con tcnicas de
ingeniera social.
5
Ver texto Riesgo Informtico- Spyware, Adware y Popup-
Introduccin a la Computacin
Esta asociacin asegura, que es tal la propagacin del Phishing, que las actuaciones crecen a un
ritmo del 50 por ciento al mes, y que el 5 por ciento de las personas que reciben estos emails
pican e introducen sus datos confidenciales.
Pero el Phishing no slo se hace mediante el correo electrnico, tambin se denomina as a la
estafa telefnica, en la que la persona que llama se hace pasar por empleado de una entidad
bancaria o compaa conocida, y engaa al usuario para que le proporcione los datos de su
cuenta.
Los malhechores no slo copian webs o se hacen pasar por entidades bancarias, el usuario ha de
estar alerta ante cualquier peticin de informacin confidencial sea cual sea su procedencia, ya
que por ejemplo el sitio de subastas online eBay es uno de los copiados por los ciberdelincuentes
para pescar en el mar de Internet.
http://www.guardiacivil.es/prensa/notas/noticia.jsp?idnoticia=1519
Introduccin a la Computacin
Consejos a entidades
A las instituciones les recomienda: 1) crear polticas corporativas que sean comunicadas a los
clientes, para que el contenido de un correo electrnico no lleve a error al usuario y confunda un
mensaje legtimo con uno fraudulento, 2) insertar informacin de autenticacin en todo mensaje de
correo electrnico que enva a los consumidores, 3) si las instituciones no pidieran que sus clientes
escribieran datos confidenciales, como sus nmeros de tarjeta de crdito, para acceder a sus sitios
web, sera ms difcil que los estafadores pudieran actuar y 4) recomienda aplicar un buen
antivirus con filtros y soluciones antispam.
Consejos a consumidores
Para los usuarios particulares, McAfee sugiere bloquear automticamente los mensajes de correo
electrnico maliciosos o fraudulentos (teniendo en cuenta que el software anti spam puede ayudar
a filtrar esos mensajes como correo no deseado). Tambin aconseja borrar automticamente
programas maliciosos, como podran ser los spyware7, y bloquear automticamente el envo de
informacin importante a terceros con intenciones maliciosas. Recomienda al consumidor que sea
precavido, y que si duda de la legitimidad de un mensaje, llame a compaa que figure en el correo
para verificar su autenticidad.
Publicado: 27/05/04
Fuente: http://www.microsoft.com/latam/seguridad/hogar/spam/phishing.mspx
Si crea que su buzn estaba seguro, recuerde que hay una nueva fo rma de
correo no deseado al acecho. Este tipo de correo basura no slo es inesperado
y molesto, sino que tambin facilita el robo de sus nmeros de tarjetas de
crdito, contraseas, informacin de cuentas y otra informacin personal.
Qu es el "phishing"?
El "phishing" es una modalidad de estafa diseada con la finalidad de robarle la identidad. El delito
consiste en obtener informacin tal como nmeros de tarjetas de crdito, contraseas, informacin
de cuentas u otros datos personales por medio de engaos. Este tipo de fraude se recibe
habitualmente a travs de mensajes de correo electrnico o de ventanas emergentes.
Cmo funciona el "phishing"?
En esta modalidad de fraude, el usuario malintencionado enva millones de mensajes falsos que
parecen prove nir de sitios Web reconocidos o de su confianza, como su banco o la empresa de su
tarjeta de crdito. Dado que los mensajes y los sitios Web que envan estos usuarios parecen
oficiales, logran engaar a muchas personas hacindoles creer que son legtimos. La gente
confiada normalmente responde a estas solicitudes de correo electrnico con sus nmeros de
tarjeta de crdito, contraseas, informacin de cuentas u otros datos personales.
Para que estos mensajes parezcan aun ms reales, el estafador suele incluir un vnculo falso que
parece dirigir al sitio Web legtimo, pero en realidad lleva a un sitio falso o incluso a una ventana
emergente que tiene exactamente el mismo aspecto que el sitio Web oficial. Estas copias se
denominan "sitios Web piratas". Una vez que el usuario est en uno de estos sitios Web, introduce
informacin personal sin saber que se transmitir directamente al delincuente, que la utilizar para
realizar compras, solicitar una nueva tarjeta de crdito o robar su identidad.
7
Introduccin a la Computacin
2.
3.
4.
5.
Comunique los posibles delitos relacionados con su informacin personal a las autoridades
competentes.
Paso 1:
Nunca responda a solicitudes de informacin personal a travs de correo electrnico
Microsoft y las empresas de prestigio supuestamente nunca solicitan contraseas, nmeros de
tarjeta de crdito u otro tipo de informacin personal por correo electrnico. Si recibe un mensaje
que le solicita este tipo de informacin, no responda. Si piensa que el mensaje es legtimo,
comunquese con la empresa por telfono o a travs de su sitio Web para confirmar la informacin
recibida. Consulte el Paso 2 para obtener informacin sobre las prcticas ms adecuadas para
acceder a un sitio Web si cree que ha sido vctima de una maniobra de "phishing".
Para obtener una lista de ejemplos de correo electrnico de "phishing" conocidos visite
http://www.antiphishing.org/phishing_archive.htm
Paso 2: para visitar sitios Web, introduzca la direccin URL en la barra de direcciones
Si sospecha de la legitimidad de un mensaje de correo electrnico de la empresa de su tarjeta de
crdito, banco o servicio de pagos electrnicos, no siga los enlaces que lo llevarn al sitio Web
desde el que se envi el mensaje. Estos enlaces pueden conducirlo a un sitio falso que enviar
toda la informacin ingresada al estafador que lo ha creado.
Si utiliza Windows como sistema operativo: Aunque la barra de direcciones muestre la direccin
correcta, no se arriesgue a que lo engaen. Los piratas conocen muchas formas para mostrar una
direccin URL falsa en la barra de direcciones del navegador. Las nuevas versiones de Internet
Explorer hacen ms difcil falsificar la barra de direcciones, por lo que es una buena idea visitar
8
Windows Update regularmente y actualizar su software. Si cree que podra olvidarse o prefiere
que la instalacin se realice sin su intervencin, puede configurar la computadora para que realice
actualizaciones automticas.
http://windowsupdate.microsoft.com/
Introduccin a la Computacin
Este smbolo significa que el sitio Web utiliza cifrado para proteger la informacin personal que
introduzca: nmeros de tarjetas de crdito, nmero de la seguridad social o detalles de pagos.
Haga doble clic sobre el icono del candado para ver el certificado de seguridad del sitio. El nombre
que aparece a continuacin de Enviado a debe coincidir con el del sitio en el que se encuentra. Si
el nombre es diferente, puede que se encuentre en un sitio falso. Si no est seguro de la
legitimidad de un certificado, no introduzca ninguna informacin personal. Sea prudente y
abandone el sitio Web. Para conocer otras formas de determinar si un sitio es seguro, consulte
9
Seguridad de datos en Internet Explorer.
Paso 5: comunique los posibles delitos relacionados con su informacin personal a las
autoridades competentes
Si cree que ha sido vctima de "phishing", proceda del siguiente modo:
Informe inmediatamente del fraude a la empresa afectada. Si no est seguro de cmo
comunicarse con la empresa, visite su sitio Web para obtener la informacin de contacto
adecuada. Algunas empresas tienen una direccin de correo electrnico especial para
informar de este tipo de delitos. Recuerde que no debe seguir ningn vnculo que se
ofrezca en el correo electrnico recibido. Debe introducir la direccin del sitio Web
conocida de la compaa directamente en la barra de direcciones del navegador de
Internet.
Proporcione los detalles del estafador, como los mensajes recibidos, a la autoridad
10
competente a travs del Centro de denuncias de fraude en Internet . Este centro trabaja
en todo el mundo en colaboracin con las autoridades legales para clausurar con celeridad
los sitios Web fraudulentos e identificar a los responsables del fraude.
10
http://www.ifccfbi.gov/index.asp
Introduccin a la Computacin
Si cree que su informacin personal ha sido robada o puesta en peligro, tambin debe comunicarlo
a la FTC
(Federal Trade Commisssion) http://www.ftc.gov/ y visitar el sitio Web de robo de
identidades de la FTC http://www.consumer.gov/idtheft/ para saber cmo minimizar los daos.
La pgina principal se
despliega en ingls o
en espaol. Algunas
otras tambin, as
como documentos
.PDF como ser cmo
hacer la declaracin
jurada de robo de
identidad (7 pgs.)
25/09/2004
Fuente: http://www.hispasec.com/unaaldia/2163
Bernardo Quintero, bernardo@hispasec.com
Introduccin a la Computacin
11
en el cdigo
Con este formato los atacantes intentan aprovechar una vulnerabilidad de Internet Explorer para
que el usuario visualice una URL concreta en la barra de direcciones, cuando en realidad est
visitando un sitio web diferente. Esta vulnerabilidad ya fue corregida en un parche de Microsoft en
febrero de este ao, y los usuarios con Internet Explorer actualizado no se encuentran afectados ni
podrn ser vctimas de la estafa en esta ocasin.
Recordamos a los usuarios que en ningn caso deben utilizar enlaces a los sitios web de banca
electrnica que provengan de mensajes, mecanismo habitual de los ataques "phishing", as como
la necesidad de mantener su sistema puntualmente actualizado.
27/12/2003
Una nueva modalidad de estafa con mensajes y sitios web falsificados, est atacando esta vez a
usuarios de la popular tarjeta de crdito Visa, una de las ms utilizadas para transacciones va
Internet. El falso sitio est especialmente diseado para obtener los nmeros de cuenta de cliente
y sus nmeros personales de identificacin (PIN, etc.).
Es notorio el aumento de este tipo de estafas, y los expertos prevn un aumento cuantitativo para
el 2004. Una de las razones, es que las recientes fallas detectadas en navegadores de Internet
como Internet Explorer y otros, permite utilizar tcnicas de engaos ms difciles de identificar
como falsas.
En el caso de esta estafa a usuarios de tarjetas Visa, no se han hecho pblicos an comentarios
de Visa Internacional, a pesar de haber sido consultada.
El mensaje que se distribuye como spam, simula ser enviado por Visa Internacional, y reclaman
que la compaa ha aplicado un nuevo sistema de seguridad para evitar las posibles acciones de
fraude. Por ello, le pide al usuario que pinche en un enlace en el mismo mensaje, para reactivar su
cuenta. La estafa ha sido advertida primero en "Full-Disclosure", una lista frecuentada por expertos
de seguridad.
El mensaje contiene un enlace a un sitio Web que simula llevar al usuario al sitio "www.visa.com",
el sitio oficial de Visa Internacional.
Sin embargo, examinando el cdigo fuente del mensaje, se puede identificar que la conexin es
redirigida a una pgina web de una direccin de Internet que no pertenece a Visa. Aunque
actualmente el sitio ha sido desactivado, esto debe servir de advertencia ante situaciones
similares, que seguramente no tardarn en repetirse.
En el pasado reciente, clientes de BBVAnet, Citibank, Wells Fargo y otros han sido vctimas de
estafas semejantes.
Segn algunas compaas de seguridad, en periodos de fiestas y vacaciones, como stas, este
tipo de estafas puede aumentar en un 400 por ciento respecto al resto del ao.
Slo en 60 das, se han detectado 90 mensajes que utilizan algn tipo de spam. Eso incluye los
ya clsicos con estafas al estilo nigeriano (alguien desea utilizar nuestra cuenta bancaria para
transferir millones de dlares de un pas africano o del oriente medio), o grandes premios en
loteras forneas (que nos pide un "pequeo" adelante de 100 a 300 euros "por gastos de envo").
Muchos de esos mensajes se valen de tcnicas de phishing para obligar al usuario a ingresar sus
datos en un sitio o formulario que se asemeja al original. En ningn momento debemos aceptar
ingresar datos en sitios a los que nos conduce un enlace en un correo electrnico.
11
El trmino ofuscado es el correcto, dado que NO est ocultado, sino trastornando la idea original, turbando
la vista.
Introduccin a la Computacin
Introduccin a la Computacin
Y es que, cada vez menos, son necesarias grandes dosis de conocimientos tcnicos para hacerse
con una contrasea. Un poco de conocimientos de HTML para construir un correo que se hace
pasar por el de otra empresa, un programa para enviar correos masivos que cambie las
cabeceras, y sobre todo, mucha jerga fatalista, o en cualquier otro tono posible pero ms que
nada, creble, es lo nico necesario para llevar a cabo este plan. Salir de pesca en Internet, en
busca de incautos a los que no les importe en absoluto rellenar un par de cuadros de dilogo con
su contrasea, algo equivalente a declarar ante cualquier desconocido nuestra clave personal.
Ya he indicado en muchos artculos que la desconfianza es la base de la seguridad, y nunca se
debe proporcionar la clave o ningn otro dato confidencial a nadie, ni por telfono ni por Internet.
Ninguna empresa seria nos la pedir, y en el caso de desastre o causa mayor, nos la modificar y
comunicar personalmente, pero jams nos pedir que rellenemos un recuadro con nuestros
datos para confirmar o para asegurar nada.
A nivel personal nos queda mantener los ojos bien abiertos, y no fiarnos de un par de imgenes o
palabras tcnicas en un correo, que no garantizan en absoluto la autora del mismo.
A nivel organizacional es prioritaria la administracin y el anlisis de riesgo informtico, apropiado
12
a las caractersticas de cada institucin o empresa.
12
10