PHISHING TEMAS. Qué es Phishing (pesca de información)? Cómo operan los ciberdelincuentes? Que hacer para evitarlo? Buenas prácticas Corporativas

Transcripción

1 PHISHING TEMAS Qué es Phishing (pesca de información)? Cómo operan los ciberdelincuentes? Que hacer para evitarlo? Buenas prácticas Corporativas Buenas prácticas para los Clientes Ante quien denunciar? Algunas estadísticas Fuentes

2 PHISHING (Pesca de Información) Ante la férrea seguridad que tienen los bancos online, los delincuentes decidieron atacar por el lado más débil, el Cliente. Los estafadores crean direcciones de correo disfrazadas como notas oficiales procedentes de bancos, comercio electrónico y compañías de tarjetas de crédito. Parecerá una trampa algo tonta, pero si algo caracteriza al phishing (pesca de información) es su alto grado de efectividad Todos los involucrados en el comercio electrónico en Internet se verán afectados por una falta de confianza del consumidor en sus transacciones si los fraudes no son reducidos en forma significativa de los niveles en que actualmente se encuentran. Qué es Phishing (pesca de información)? Los ataques por Internet tipo Phishing (pesca de información) utilizan correos electrónicos mal intencionados con mensajes inquietantes para llamar la atención y sitios en Internet URLs para engañar a las personas de manera que divulguen su información financiera como el número de cuenta, números tarjeta de crédito, nombre y contraseña de su cuenta, número de cédula, etc.. Al utilizar falsamente marcas conocidas como las de bancos, tiendas y compañías de tarjetas de crédito, los estafadores pueden llegar a convencer a una gran cantidad de cibernautas para que compartan su información confidencial y posteriormente se transfiere todo el dinero de estas cuentas a la de mafias o el causante de este fraude. Esta nueva modalidad de fraude se ha hecho presente en Internet, los denominados spoofed e- mails o falsos correos. Procedencia del término El término Phishing (pesca de información) es un juego fonético acuñado por los hackers en el que se ha sustituido la "f" de Fishing, que en español significa salir de pesca, por la "ph". Este timo tiene sus orígenes en el año 1960 cuando la comunidad hacker bautizó como Phone Phreaks, la práctica en la que se defraudaba vía telefónica imitando la identidad de usuarios legítimos. Tirando el anzuelo Esta técnica es la más reciente de robo de cuentas y números de tarjetas de crédito para lo cual el fraude es cometido de la siguiente forma: Los usuarios de bancos reciben a su en formato html, un correo que replica la forma tradicional en que el banco de la víctima presenta su página en Internet. Lo ingenioso de está modalidad es que para ganar la confianza del destinatario del y para lograr que éste lo responda, le informan: que personas inescrupulosas están haciendo uso de información que pertenece a los usuarios de las cuentas del banco, por lo cual algunas cuentas han sido desactivadas y que si dicho usuario desea verificar si su cuenta está aun activa, se requiere que digite sus datos ID y password.

3 El receptor del procede a digitar en los espacios correspondientes el número de cuenta y su password y lo reenvía. Lo que no sabe el usuario es que el es falso y que lo esta enviando no al banco sino a un link o vinculo en donde los datos son tomados y obviamente pueden ser usados para cometer fraudes y robos. Aún más ingeniosa es la modalidad que más éxito ha tenido para quienes cometen el fraude y que consiste en enviar el , y dentro del mismo colocar in link o vinculo que aparenta direccionar al usuario al web site original pero que en realidad lo transporta a una pagina falsa del banco (una replica exacta o página espejo) en donde le piden que ingrese su password y datos de cuenta o usuario. Técnicamente ninguna de las dos modalidades de fraude presenta un mayor esfuerzo para los delincuentes, pero lo cierto es que por la forma en que son presentados, se podrían denominar el moderno paquete chileno en Internet. En algunas ocasiones el mismo mail contiene un pequeño formulario en el que se pide al usuario que introduzca sus datos financieros. Cómo operan los ciberdelincuentes? Para aumentar el número de respuestas, los ciberdelincuentes incluyen declaraciones emocionantes o desconcertantes en sus mensajes de correo electrónico. Quieren que las personas reaccionen de manera inmediata y respondan con la información deseada sin pensarlo. Encabezados: Los encabezados más usuales son: "Su cuenta se debe confirmar" "Usuarios del banco advierten" "Actualización de la seguridad de Banco XX" Pretextos observados incluyen: Necesitan actualizar tu información en sus sistemas Medida de seguridad, la información es necesaria como medida de prevención de fraude Necesitan confirmar alguna cuenta Ocurrió un error en alguna transacción y la información es necesaria para corregirlo Ocurrió un error en alguna orden y la información es necesaria para corregirlo, entre muchos otros

4 Que hacer para evitarlo? Buenas prácticas Corporativas Qué estrategia es la mejor para un banco? La respuesta probablemente es una combinación apropiada de tácticas que serán determinadas en gran parte por el banco que percibe y sabe sus niveles de vulnerabilidad, los cuales son; sus recursos tecnológicos, sus capacidades de servicio para los Clientes y de su presupuesto. Se espera que la mayoría de los bancos tomen una acción inmediata para prevenir o para disminuir los efectos de phishing (pesca de información). Algunas de las soluciones son: Establecer políticas corporativas y comunicarlas a los usuarios finales: crear políticas corporativas para el contenido de correo electrónico de manera de que no se confunda un mensaje legítimo con uno fraudulento. Comunicar estas políticas a los clientes y acatarlas. Entregar al destinatario una forma de verificar que se trata de un mensaje de correo electrónico legítimo: el destinatario debe ser capaz de identificar que el mensaje es de la institución y no de un estafador. Para esto, la institución emisora debe establecer una política para insertar información de autenticación en todo mensaje de correo electrónico que envía a los consumidores. Autenticación más confiable para sitios Web: si las instituciones no solicitaran información importante a los usuarios finales cuando ingresan a un sitio Web, por ejemplo los números de seguridad social o claves, sería más difícil que los estafadores obtengan dicha información del usuario. Monitorear Internet por posibles sitios Web fraudulentos: el sitio Web fraudulento generalmente aparece en alguna parte de Internet anterior al lanzamiento de los mensajes engañosos. Estos sitios a menudo se apropian de marcas corporativas para parecer legítimos.! Aplicar un antivirus de buena calidad: que contenga filtro y soluciones antispam en el punto de enlace de Internet: el escáner de antivirus en el punto de enlace provee una capa adicional de defensa, complementario al escáner de antivirus del escritorio. Filtrar y bloquear sitios fraudulentos conocidos en el punto de enlace. Los filtros antispam en el punto de enlace ayudan a los usuarios finales a prevenir el spam no deseado y los mensajes engañosos.! Entrenamiento de los funcionarios del Call Center / Cantac Center: si ocurre un evento de este tipo, la mejor línea de defensa para una institución financiera es su Call Center, pues serán la primera línea de defensa para investigar con los Clientes sobre casos de phishing (pesca de información). Los funcionarios del Call Center, así como otros funcionarios deben ser educados para reconocer los casos de phishing (pesca de información). Para los bancos es de vital importancia tener esquemas para el manejo de reclamaciones e inferir y reconocer los casos de phishing (pesca de información) a tiempo y limitar el daño adicional al banco. Estos funcionarios deben también saber atender ataques phishing (pesca de información) una vez que sucedan y comunicar con eficacia los planes de la acción a los clientes en cuestión de minutos, para que no caigan en la trampa.

5 ! Empleo de métodos mejores para la autenticación del los bancos pueden elegir autenticar sus s para ofrecer a sus clientes el aseguramiento que un enviado del banco es legítimo. Pueden utilizar firmas digitales, contraseñas o códigos secretos para hacerlo. Mientras que la industria ha establecido un estándar seguro de la mensajería para permitir las firmas digitales (es decir, S/MIME), la adopción de este estándar ha sido lenta. Otro tema de inquietud es que algunos criminales han estado utilizando Javascript para falsificar la presencia de un certificado digital legítimo en línea entrando un icono falso del padlock. la alternativa? Contraseñas secretas que utilizan cookies seguras como manera de reconocer a clientes y de exhibir el mensaje apropiado que indica que el cliente tiene una conexión directa y segura con el banco.! Establecer protocolos de comunicación estrictos: muchas instituciones financieras indican que nunca solicitarán la información personal, sin embargo, algunas de estas mismas instituciones han creando confusión, enviado más adelante s donde solicitaban la información personal de sus clientes. Por lo tanto, las instituciones financieras deben tener cuidado en su fraseología y evitar el envío de mensajes contradictorios. Las instituciones financieras que incluyen simplemente un acoplamiento conveniente de la "conexión" en sus s de comercialización, deben tener cuidado, pues esos s se pueden copiar y utilizar fácilmente para propósitos de phishing (pesca de información).! Buscar por abusos del dominio: Supervisar las URLs para detectar problemas de phishing (pesca de información) u otros, tales como abusos del copyright o de la marca registrada. Tales abusos pueden indicar que los esquemas y las medidas de phishing (pesca de información) se pueden entonces tomar para evitar el ataque, puesto que estos esquemas toman poco tiempo para crearse, desplegarse y terminarse. Las instituciones financieras necesitan ser rápidas en actuar y no pueden confiar solamente en descubrir un o un Web site falso.! Salvaguardar la información del cliente: desafortunadamente, muchos clientes no protegen su propia información personal tan bien como deben. Eligen a menudo las identificaciones y las claves que son demasiado comunes, y terminan entregándoselas a los criminales. Como protección adicional, los bancos pueden pedir al cliente un cierto tipo de pregunta única, la respuesta a la cual solamente el cliente sabrá. Dado la progresión lenta hacia certificados digitales, tarjetas inteligentes y biometría, las firmas están comenzando a utilizar autenticación basada en pregunta como alternativa.! Supervisión de cuentas: Como con muchos fraudes, una de las mejores defensas que un banco puede tomar es vigilancia constante de las transacciones. Efectuar monitoreos permanentes y manejo de alertas para ver irregularidades en el manejo de las cuentas para notifica a los clientes inmediatamente. Buenas prácticas para los Clientes Bloquear automáticamente los mensajes de correo electrónico maliciosos o fraudulentos: los detectores de spam pueden prevenir que el cliente abra los mensajes sospechosos, pero no son a toda prueba. Detectar y borrar automáticamente software malicioso: los spyware son generalmente parte de un ataque de fraude electrónico, pero pueden eliminarse por medio de muchos programas comerciales.

6 Bloquear automáticamente el envío de información importante a terceros con intenciones maliciosas: aún si el consumidor no puede identificar visualmente el sitio Web verdadero que recibirá la información importante, hay productos de software que sí pueden hacerlo. Ser precavido: si no está seguro de que un mensaje es legítimo, llame a la supuesta institución emisora para verificar la autenticidad. El mecanismo de protección más elemental para evitar que los clientes caigan en uno de estos spoofed s es hacer campañas de concientización a fin de indicarles que no suministren vía correo electrónico ningún tipo de información confidencial, numero de cuenta, passwords etc. Otro aspecto que se le debe indicar a los clientes es recomendarles que al realizar transacciones a través de Internet, como transferencias bancarias, cambios de claves, consultas de cuentas, pagos de servicios públicos y obligaciones bancarias, sólo lo hagan digitando directamente la dirección de la entidad Bancaria en el browser de su navegador y no haciendo clic a los links recomendados en correos. Lo anterior implica incluso indicarles a los clientes tener mucho cuidado al digitar la dirección, pues la transliteración de direcciones en Internet ya esta siendo utilizada para la comisión de delitos. La transliteración consiste en intercambiar el orden de una o más letras de una palabra, error frecuente del que ya se ha sacado ventajas por los delincuentes para fines de pornografía y que bien podría ser utilizada para fraudes bancarios también. John Zuccarini, un hombre de 56 años se declaró el pasado 10 de diciembre, culpable de haber registrado más de 3000 nombres de dominio en donde transliteraba o alteraba el orden de nombres de dominio de reconocidas compañías ( por ) para que los niños quienes son los que con más frecuencia comenten errores al escribirlos, fueran transportados a páginas porno. Por este servicio las compañías en cuestión le pagaban 5 centavos de dólar por cada hit, lo cual le produjo réditos por cerca de un millón de dólares. Tomado de Se le debe recomendar a los clientes que para protegerse de estas personas sin escrúpulos, debe tomarse su tiempo para analizar los pedidos incluidos en el mensaje de correo electrónico. Si recibe un mensaje en el que se le solicita información confidencial, verifique su autenticidad poniéndose en contacto con la entidad que aparece como remitente del mensaje. Al hacer esta verificación fíjese de llamar a los números registrados en el directorio telefónico y no a los enunciados en el texto del correo. Recomendarles que por su seguridad, no deben compartir nunca el número de identificación personal, contraseña, claves, número de cuenta o de tarjetas de crédito. Indicarles a los clientes: Su entidad financiera nunca enviará a sus clientes correos electrónicos pidiendo sus números de identificación, nombres de usuario, claves de acceso, números de cuenta, números de tarjeta, por lo que si recibe algún mensaje de ese tipo, debe desconfiar y no responder. Su entidad Financiera no enviará correos electrónicos con enlaces dirigidos a páginas web que soliciten esa información (sus números de identificación, nombres de usuario, claves de

7 acceso, números de cuenta, números de tarjeta), por lo que si ese fuera el caso igualmente se debe desconfiar y no responder. Si en algún momento piensa que ha recibido un correo electrónico de su entidad financiera solicitándole este tipo de información, contáctese con su entidad financiera llamando a los números telefónicos registrados en el directorio telefónico de su ciudad, ya que puede tratarse de un acto fraudulento. Para tener la seguridad de que está accediendo a la página Web de su entidad financiera, teclee directamente en su navegador la dirección correspondiente Y verifique la seguridades que le indica su entidad. También es importante estar atento a que, en la página en cuestión, aparezca la dirección en lugar de la habitual (la S (secure) que indica que la página está albergada en un servidor seguro). Si sospecha que una página web no se ajusta a lo que se espera de ella salga de dicha página. No siga ninguna de las instrucciones que le pueda dar. Pregúntese en todo momento si la información que le piden tiene sentido para lo que pretenden hacer. Por ejemplo, una página de un almacén o una tienda online no debería pedir la clave de su tarjeta de crédito o debito. Si un sitio de Internet pide información atípica, no responda en ningún caso, solo lo puede hacer en la pagina oficial de su entidad financiera. Además, hay que confirmar que en la parte baja del navegador se vea un candado entero (no roto), que indica un certificado de autenticidad. Clickeando sobre el candado se muestran los datos del certificado, donde se debe comprobar que no está caducado, y que el propietario del mismo corresponde a la página que estamos viendo y no a otro. Proteja su computador mediante el uso de algún programa antivirus y mantenga éste actualizado a sus últimas versiones. Otras recomendaciones generales para proteger tu información en la Internet: Verifica, al hacer transacciones que el navegador muestre el símbolo del candado cerrado en la parte inferior de la pantalla; el mismo certifica que estás en una página electrónica segura. Memoriza tu contraseña y PIN. No los compartas con nadie ni los escribas en ningún lugar. Verifique sus estados de cuenta regularmente. Si sospechas que hay transacciones no autorizadas en sus cuentas, llama inmediatamente a su entidad financiera Recuerda oprimir Salir cuando termines de utilizar el servicio de tu entidad financiera, especialmente si no vas a usar más la computadora o si utilizas una computadora compartida. Los puntos flojos del computador El phishing (pesca de información) aprovecha la oportunidad que ofrecen la gran proliferación de virus y Spywares (softwares espías) que al estar insertos en gran cantidad de computadores

8 los dejan a merced de hackers y delincuentes que se apoderan de los datos de las cuentas de los usuarios. Uno de los métodos más usuales es "apoderarse" del browser o buscador del computador del usuario, de modo que éste es enviado a un falso sitio de la institución bancaria o financiera, y allí se dejarán los datos de cuenta o contraseñas necesarias para realizar la estafa. Para esto, se aprovecha una falla de Internet Explorer, que permite visualizar una URL o dirección del sitio en el navegador, cuando en realidad se está visitando otro diferente, lo cual hace vulnerable a gran parte de los clientes bancarios que realizan sus operaciones financieras online. Esta simulación es detectable si se siguen algunos pasos descritos en esta dirección: Ante quien denunciar? Bueno, en materia internacional existe una organización llamada patrocinada nada menos y nada más que por Tumbleweed cuyos clientes son nueve de los diez más grandes Bancos de Estados Unidos. Anti-phishing.org recibe todo tipo de denuncias asociadas con spoofed s a la vez que agrupa instituciones financieras, entidades crediticias, asociaciones de consumidores etc. cuyo único propósito es compartir información sobre modalidades de spoofed s, evitarlas y generar políticas y directrices que acaben con este mal. Una lista y ejemplos de los casos ocurridos y reportados hasta ahora puede ser encontrada en En Colombia, si usted ha sido víctima de esta modalidad o cree que lo ha sido debe denunciarlo a la entidad financiera en forma inmediata, para que ésta proceda a verificar si se ha cometido o no algún fraude y en caso afirmativo deberá formularse la denuncia correspondiente. Finalmente es recomendable que no se borren los s recibidos y los enviados si es que los ha contestado, pues ellos constituyen evidencia significativa en cualquier investigación. Algunas estadísticas Los intentos de fraude contra consumidores en Internet, mejor conocidos como phishing (pesca de información)*, se han vuelto tan comunes que se estima que 57 millones de estadounidenses han recibido algún tipo de correo fraudulento, de acuerdo con un nuevo estudio presentado por Gartner. Las pérdidas directas del fraude de identidad contra estas víctimas relacionadas con ataques tipo phishing (pesca de información), costaron a los bancos y compañías de tarjetas de crédito alrededor de 1,200 millones de dólares el año pasado. Basados en una encuesta aplicada a 5,000 adultos que usan Internet, los analistas de Gartner estiman que aproximadamente 30 millones de adultos usuarios de la Web creen que definitivamente han experimentado un ataque phishing (pesca de información), mientras que otros 27 millones creen que han observado lo que parece ser un intento de fraude. Los intentos de ataques phishing (pesca de información) no son nuevos, pero se han vuelto más comunes. De acuerdo con la encuesta de la firma consultora, 76% de los ataques sospechosos ocurrieron en el último año (desde octubre del 2003) y otro 16% ocurrió hace seis meses o antes. Por lo tanto, los resultados combinados sugieren que 92% de los intentos de fraude han tenido lugar en el último año.

9 La encuesta de Gartner, completada en abril, mostró un alto grado de éxito por parte de los defraudadores. Basándose en los resultados de la encuesta, Gartner estima que alrededor del 19% de los atacados o casi 11 millones de estadounidenses adultos que usan Internet, han dado clic a un correo de intento de fraude. Peor aún, 3% de los atacados o un estimado de 1.78 millones de adultos, reportan haber dado a los defraudadores su información financiera o personal. Cifras del delito Según la organización Anti-phishing, un grupo de trabajo creado hace sólo un año por sectores empresariales y financieros, estos delincuentes consiguen que un 5 por ciento de quienes reciben el "anzuelo" respondan, ingresen a los sitios falsos y dejen sus datos. Según investigaciones de Brightmail, compañía con sede en San Francisco dedicada a filtrar millones de correos basura, en el pasado mes de abril los s fraudulentos sobrepasaron los millones de mensajes. En tanto que para Gartner, consultora estadounidense que investiga y analiza la tecnología informática, únicamente en Estados Unidos los ataques fueron contra 57 millones de consumidores online. Durante el año pasado, las pérdidas directas ocasionadas a los bancos y compañías de tarjetas de crédito fueron de millones de dólares. En el último mes de abril y después de hacer una de las primeras detenciones por este delito (un joven de 21 años), la policía británica dijo que los bancos del país fueron estafados en unos 88 millones de euros en el último año. Al parecer, el engaño estaría por ahora concentrado en los países de habla inglesa como Gran Bretaña, Estados Unidos o Australia, pero ya se reportaron grandes pérdidas en Brasil y se esperan denuncias desde distintos territorios en todo el mundo. Fuente: De acuerdo con el Informe de tendencias de los ataques de fraude electrónico de enero de 2004 por el Anti-phishing Working Group (APWG), los ataques de fraude electrónico han aumentado rápidamente. Ciento setenta y seis ataques nuevos de este tipo se denunciaron en enero de 2004, aumentando a 5,7 nuevos ataques por día. Esto corresponde a un aumento del 52% con respecto a diciembre de Aunque los artistas del fraude y los timadores existen hace siglos, generalmente necesitan de la confianza del usuario para tener éxito, señala Gregg Talley, gerente del Grupo de Defensa contra Códigos Maliciosos de McAfee Research en Network Associates. Con los fraudes electrónicos, estos ataques son generalmente a gran escala, afectando a más de mil usuarios en cada intento. Al educar tanto a las empresas como a los consumidores sobre los diferentes tipos de técnicas de fraude, podemos ayudarlos a entender cómo reducir al mínimo estos tipos de ataques y disminuir el riesgo de exposición. Fuente: MOUNTAIN VIEW, California de julio de VeriSign, Inc. (Nasdaq: VRSN), proveedor líder en servicios de infraestructura crítica para redes de telecomunicaciones e Internet, ha publicado la tercera edición del Informe en materia de inteligencia de la seguridad en Internet de VeriSign. Esta edición destaca las tendencias en el uso de Internet, los patrones de amenazas y seguridad y los métodos óptimos para mejorar la seguridad en la empresa. El informe presenta una sección dedicada al análisis de los ataques de phishing (pesca de información), un tipo de estratagemas delictivas de rápido crecimiento, que consisten en engañar a los usuarios de Internet para revelar información personal, con objeto de usurpar la identidad del usuario.

10 Puntos vulnerables de Internet, otros sucesos de seguridad y fraude. A destacar sobre Phishing (pesca de información) El informe subraya el problema creciente de esta tendencia, proporcionando ejemplos de los ataques de phishing (pesca de información) así como la orientación sobre los pasos necesarios para la prevención, detección, reacción y recuperación de estos ataques. En una muestra de 490 correos electrónicos de phishing (pesca de información), que se dirigían a clientes de 16 empresas, VeriSign encontró que el 93% fueron enviados desde direcciones de correo electrónico falsificadas o similares a otras, el 5% procedía de sitios que no tenían intención de ocultar su destino, y el 2% venía desde sitios "primos", que imitaban el sitio de una empresa por la que pretendían hacerse pasar. El 37% de los correos electrónicos de phishing (pesca de información) dirigían a los usuarios a hacer link con sitios ubicados fuera de los EE.UU., con especial incidencia en Corea, China, Polonia, Brasil, Taiwan, Singapur, Australia e Indonesia. VeriSign descubrió que la mayoría de los ataques de phishing (pesca de información) se iniciaron entre las 21:00 y las 4:00 horas, cuando los empleados encargados de la seguridad informática están de guardia o en menor número. El informe también apunta que los intentos de phishing (pesca de información) son especialmente difíciles de detectar debido a su sofisticación y capacidad de imitar sistemas de comunicación para empresas legítimos. Los correos electrónicos con phishing (pesca de información) atraen a sus víctimas falsificando direcciones de correo electrónico y utilizando técnicas de camuflaje para los navegadores, como hacer flotar una ventana de JavaScript sobre una barra de dirección. Además, las ventanas de JavaScript pueden continuar instaladas en el navegador de un usuario para grabar información enviada y recibida mientras que el navegador está activo. El informe, está basado en datos exhaustivos recopilados a través del funcionamiento de infraestructura clave de inteligencia para Internet de VeriSign. El informe proporciona a los gestores de tecnología de la empresa y a la comunidad de Internet en general un mayor entendimiento de las tendencias más importantes de uso, seguridad y fraude en Internet. Fuente: Fuentes: mayo 5 del