Riesgo Informático Nueva modalidad a través de Internet: Phishing



Documentos relacionados
Teléfono: Telefax:


FALSOS ANTIVIRUS Y ANTIESPÍAS

Buenas Prácticas en Correo Electrónico

Qué son los s Fraudulentos?

SEGURIDAD INFORMATICA PHISHING: Definición:

Manual Instalación de certificados digitales en Outlook 2000

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones:

Un sistema adecuadamente refrigerado debe mantener una temperatura de grados.

Recomendaciones de Seguridad Red Social Twitter

Información de seguridad en Línea

Seguridad en el Comercio Electrónico. <Nombre> <Institución> < >

POLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA. 1. información que se obtiene la aplicación y su utilización

ACCESO Y MANEJO DEL PANEL DE CONTROL

Correo Electrónico: Webmail: Horde 3.1.1

TECNOLÓGICO NACIONAL DE MÉXICO Instituto Tecnológico De Tijuana SEMESTRE 1 ENERO-JUNIO TI1A. UNIDAD 5.

Qué son y cómo combatirlas

ROBO DE IDENTIDAD. Cuando usted sabe cómo manejar las finanzas de su negocio, tiene una herramienta muy valiosa para proteger su patrimonio.

GESTIÓN DOCUMENTAL PARA EL SISTEMA DE CALIDAD

Preguntas Frecuentes de Servicios en Línea de Tarjetas de Crédito. 1. Tengo que ingresar la información de registro cada vez que inicio una sesión?

REGISTRO DE DOMINIOS CONECTIVIDAD ADSL HOSTING COMPARTIDO RED CORPORATIVA VPN SOPORTE TECNICO PROFESIONAL

Antes de proporcionar información personal verifique la autenticidad de la persona que se la solicita.

Que barato cuesta hacer un Phishing bancario.

GUÍA PRÁCTICA DE FINANZAS PERSONALES ROBO DE IDENTIDAD. Cómo proteger su identidad e información financiera del robo

Ayuda para la instalación Componente Firma Digital INDICE. 1 Configuración previa Configuración Internet Explorer para ActiveX...

12 medidas básicas para la seguridad Informática

ANTIPHISHING: Qué es? Para qué sirve? De qué protege? Escenarios de aplicación. Recomendaciones y buenas prácticas.

Internet como herramientas de comunicación: El correo electrónico

Guía de Obtención de Certificados para la Facturación Electrónica en Adquira Marketplace.

Información destacada para Coordinadores TIC sobre el Portal Educamadrid

Gestió n de Certificadó Digital

GESTOR DE DESCARGAS. Índice de contenido

POLÍTICAS DE SEGURIDAD DE CAJA SMG

FOROS. Manual de Usuario

Cómo registrarse y crear su cuenta de usuario? < IMAGEN 2.1.1: HAZ CLIC SOBRE EL BOTÓN RESALTADO

COMPROBACIONES BÁSICAS PARA EL USO DE FIRMA EN EL RTC

Ayuda básica relativa al interfaz web

Todos los derechos están reservados.

POLITICA DE PRIVACIDAD DE LA PAGINA WEB

Uso de la red telefónica

Seguridad en la banca electrónica. <Nombre> <Institución> < >

DOCENTES FORMADORES UGEL 03 PRIMARIA

Software Criptográfico FNMT-RCM

Introducción a Spamina

(Soluciones ADSL e-comercio) GUIA DE USUARIO. Versión 2.1. Parte 3. Manual del servicio Crea tu Tienda de Telefónica Net, ver 2.

Notas para la instalación de un lector de tarjetas inteligentes.

Proceso de cifrado. La fortaleza de los algoritmos es que son públicos, es decir, se conocen todas las transformaciones que se aplican al documento

No sabe con seguridad qué sistema operativo Windows tiene?

Departamento CERES Área de Tarjetas Inteligentes Manual de Usuario

FRAUDES EN INTERNET 1. PHISHING: ROBO DE DATOS PERSONALES. 2. QUÉ ES EL PHISHING? Ma.Emilia del Barco Abogada

Tendencias del Fraude

Manual Usuario SEDI. Solicitud Electrónica Diseños Industriales (SEDI) Manual de Usuario. Versión: v2.0. Página: 1 de 22

SOLICITUD DEL CERTIFICADO

DOCUMENTOS COMPARTIDOS CON GOOGLE DOCS

DECLARACIÓN DE PRIVACIDAD DE FONOWEB

GUÍA DE REGISTRO PARA PAYPAL

ACCESO AL SERVIDOR EXCHANGE MEDIANTE OWA

Configuración de Firma Electrónica en Mozilla Firefox

Servidor FTP LEECH FTP INDICE PRESENTACIÓN ACERCA DE CTRLWEB MAILING WORD AYUDA : Acceso a Panel de Control. 1.-Panel de control privado.

Manual de iniciación a

Aspectos relevantes relacionados con la seguridad

Accede a su DISCO Virtual del mismo modo como lo Hace a su disco duro, a través de:

MANUAL DE USUARIO CMS- PLONE

UAM MANUAL DE EMPRESA. Universidad Autónoma de Madrid

DE PEKEÑAJOS SOCIEDAD CIVIL

Portal Del Emisor MANUAL DEL USUARIO. Plataforma de Facturación Electrónica

GUIA APLICACIÓN DE SOLICITUDES POR INTERNET. Gestión de Cursos, Certificados de Aptitud Profesional y Tarjetas de Cualificación de Conductores ÍNDICE

Manual de usuario de la aplicación de envío telemático de partes de accidente y enfermedad profesional

Descarga de Firma Electrónica Simple o Mipyme.

Consejería de Economía, Innovación, Ciencia y Empleo

MANUAL DE SPYBOT PARA NOVATOS SpyBot - Search & Destroy 1.4 Versión del Manual: 1.0

Unidad Didáctica 12. La publicación

Detectar y solucionar infecciones en un sitio web

El e-commerce de Grupo JAB es una herramienta que permite a los clientes del Grupo, realizar un amplio conjunto de servicios de consulta, petición y

INSTRUCTIVO CORREOS ELECTRÓNICOS

Para poder enviar un Correo Electrónico necesitamos de una cuenta. Esta es una dirección de

Capítulo 1: Empezando...3

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Correo basura, fraude, autenticación y privacidad Traducción de Textos Curso 2007/2008

Qué es el Phishing. Consejos para evitar el Phishing

Que hacer en caso de detección de virus? Elaborado por: Lic. Roberto David Viveros Fong-Choy Julio / 2001

REDES DE ÁREA LOCAL. APLICACIONES Y SERVICIOS EN WINDOWS

Escudo Movistar Guía Rápida de Instalación Dispositivos Symbian

APLICATECA. Guía para la contratación y gestión de Respaldo Cloud

Preguntas frecuentes. Page 1 of 7

PHISHING: FRAUDE EN INTERNET

Creación del comercio electrónico para la empresa Donegear.com. Anexo F Características de los Sistemas de Pago

Guía de Instalación. Seguridad Esencial PC Tools

Seguridad en el ordenador

10. El entorno de publicación web (Publiweb)

MANUAL DE USUARIO DE CUENTAS DE CORREO

MANUAL MS OUTLOOK EXPRESS

Guía de seguridad informática Buenas prácticas para el Nuevo Año

(Soluciones ADSL e-comercio) GUIA DE USUARIO Versión 2.0

Manual de uso de Moodle para alumnos

Índice. Página 2 de 14

OBTENCIÓN Y RENOVACIÓN (*) DEL CERTIFICADO ELECTRÓNICO DE EMPLEADO PÚBLICO DE LA FÁBRICA NACIONAL DE MONEDA Y TIMBRE (FNMT)

Unos dicen que es peligroso comprar en Internet, otros que más peligroso es comprar en la calle hay algún tipo de asesoría?

Transcripción:

Riesgo Informático Nueva modalidad a través de Internet: Phishing Preparado por Ing. Simón Mario Tenzer, Octubre 2004 1 La Informática está en permanente expansión y evolución. Más personas acceden a las computadoras, cuyos costos son cada vez menores y sus facilidades de uso mayores. Estos son hechos continuos, y seguirán ocurriendo en el futuro, democratizándose la informática. La vida de la sociedad se facilita y también surgen nuevas formas de delitos, que se expanden tanto o más rápido que el uso de las computadoras en las organizaciones e individualmente. Por lo tanto, es necesario aprender cada vez más sobre los avances de los sistemas de información, recursos informáticos, comercio electrónico y otros aspectos, como así también sobre cómo se deben utilizar las computadoras para minimizar los riesgos de todo tipo 2. A los efectos de aprender sobre un nuevo tipo de riesgo informático que existe a través de Internet, el phishing se presentan varios artículos breves. Estos han sido obtenidos de Internet, presentándose la correspondiente dirección (fuente), con mínimas adaptaciones sólo con fines docentes. Se invita al lector a consultar Internet, donde hay abundante literatura sobre el tema. 3 Indice: 1) Ojo al timo del phishing : define qué es, procedencia del nombre, cómo funciona, un ejemplo ocurrido en España, cómo evitarlo tanto en organizaciones como individualmente. 2) Todo lo que debe saber del Phishing : es un artículo de Microsoft, con cinco pasos o procedimientos para protegerse de este delito. 3) Caso de phishing a clientes del banco Banesto: presenta un ejemplo comprobado. 4) Clientes de Visa Internacional víctimas de "phishing": presenta otro ejemplo verificado 5) Phishing: fácil y rentable: explica cómo se genera, lista conocidas organizaciones que han sido afectadas, indica lo fácil y rentable que es y finalmente recomienda mantener los ojos bien abiertos y no fiarse de imágenes o términos técnicos en un mensaje recibido de e-mail. 1 Con la colaboración de Cra. Beatriz Pereyra y demás integrantes de la Cátedra Introducción a la Computación. 2 Ver Introducción a Riesgo Informático. 3 También ver Internet, una herramienta para los negocios. 1

1) Estafa por email con la que consiguen tus datos bancarios. Ojo al timo del Phishing! Fuente: http://www.terra.es/tecnologia/articulo/html/tec11600.htm 25-08-2004 Terra - Tecnología / Ana Bedia Una estafa se está extendiendo en Internet, se trata del timo del Phishing. Los estafadores mandan emails simulando ser un Banco u otra compañía de reconocido prestigio, para luego llevar al usuario a una web falsa y hacerse con el número de su tarjeta de crédito u otros datos bancarios. Es una forma de ingeniería social 4. Al spyware y al adware 5 se les ha unido una nueva amenaza informática, se trata del Phishing, lo único que en este caso la información que se obtiene es tan personal y tan delicada como los números de las tarjetas de crédito del usuario, contraseñas y otros datos financieros que en manos malignas pueden llevar a arruinar a una persona. Se trata de una práctica fraudulenta que está en expansión y la mejor arma para combatirla es estar informado de su existencia y de cómo funciona. El modus operandi de las mentes criminales que realizan este timo se asemeja al del pescador que lanza el anzuelo esperando que algún pez pique. Es decir envían emails masivos haciéndose pasar por una reconocida compañía, en la mayoría de los casos entidades bancarias o de tarjetas de crédito, y esperan a que alguien muerda el anzuelo. Qué es el Phishing? El Phishing hace referencia a las actividades criminales que imitan los emails, sitios web, llamadas telefónicas u otras vías de comunicación de compañías legítimas, para invitar a sus usuarios a proporcionar información confidencial como contraseñas, nombres de usuario y números de cuenta. Una vez los criminales se hacen con ellos pueden llegar a arruinar al usuario. Procedencia del término: El término Phishing es un juego fonético acuñado por los hackers en el que se ha sustituido la "f" de Fishing, que en español significa salir de pesca, por la "ph". Este timo tiene sus orígenes en el año 1960 cuando la comunidad hacker bautizó como Phone Phreaks, la práctica en la que se defraudaba vía telefónica imitando la identidad de usuarios legítimos. El anzuelo Los mails que envían los ciber delincuentes, con apariencia de nota oficial, informan al usuario de la necesidad de actualizar sus datos o cuentas. En algunas ocasiones el mismo mail contiene un pequeño formulario en el que se pide al usuario que introduzca sus datos financieros. En otras lo que hacen los delincuentes es poner un enlace a una web falsa creada por ellos y con aspecto casi idéntico al de la entidad empleada como anzuelo, de tal manera que el usuario no desconfíe de ella. Una vez allí se pide al 'cliente' que introduzca, como ha hecho otras veces en la web verdadera (la que no ha sido copiada), datos como sus contraseñas, números de tarjeta de crédito Éste es el momento en el que está perdido. Sus datos ya están en manos ajenas y listos para ser utilizados con fines delictivos. 4 Ver texto Internet, una herramienta para los negocios : Ataques a las contraseñas con técnicas de ingeniería social. 5 Ver texto Riesgo Informático- Spyware, Adware y Popup - 2

Una estafa que se expande velozmente El Phishing es una estafa que se está extendiendo en la Red y que afecta a muchísimas personas. Ha llegado hasta tal punto que se ha creado una asociación que lucha contra él, se trata del Anti- Phishing Working Group http://www.antiphishing.org/ que lo componen alrededor de 636 miembros. Esta asociación asegura, que es tal la propagación del Phishing, que las actuaciones crecen a un ritmo del 50 por ciento al mes, y que el 5 por ciento de las personas que reciben estos emails pican e introducen sus datos confidenciales. Pero el Phishing no sólo se hace mediante el correo electrónico, también se denomina así a la estafa telefónica, en la que la persona que llama se hace pasar por empleado de una entidad bancaria o compañía conocida, y engaña al usuario para que le proporcione los datos de su cuenta. Los malhechores no sólo copian webs o se hacen pasar por entidades bancarias, el usuario ha de estar alerta ante cualquier petición de información confidencial sea cual sea su procedencia, ya que por ejemplo el sitio de subastas online ebay es uno de los copiados por los ciberdelincuentes para pescar en el mar de Internet. Fraude superior a los 500.000 euros en España En España hubo un relevante caso de phishing en mayo de 2004. La Guardia Civil desarticuló, la 'Operación Phesca' 6, una red con conexiones en Estados Unidos, Reino Unido, Australia, Nueva Zelanda y Rusia que llegó a defraudar a través de Internet más de 500.000 euros. En la Operación fueron detenidas seis personas (tres rusos, dos estonios y un dominicano). La investigación se inició a raíz de una denuncia presentada por una entidad bancaria, ante el inicio de una campaña indiscriminada de envío de correos electrónicos, que inducían a error a sus clientes de banca electrónica. El objetivo de este ataque era que sus clientes facilitasen los datos de acceso y control de sus cuentas corrientes y de esta forma poder ser utilizados por los miembros de la red para sus operaciones. Cómo evitarlo La forma más infalible de prevenir el Phishing, como otras muchas amenazas de la Red, es estar informado de su existencia, ya que no existen programas que lo eliminen totalmente. Las entidades financieras ya informan a sus clientes de que ellos nunca pedirán que se les proporcionen datos confidenciales por estos medios (vía email o telefónicamente). Utiles son las recomendaciones de la compañía de seguridad informática MacAfee, publicadas recientemente bajo el título "Anti-Phishing: buenas prácticas para instituciones y usuarios". 6 http://www.guardiacivil.es/prensa/notas/noticia.jsp?idnoticia=1519 3

Consejos a entidades A las instituciones les recomienda: 1) crear políticas corporativas que sean comunicadas a los clientes, para que el contenido de un correo electrónico no lleve a error al usuario y confunda un mensaje legítimo con uno fraudulento, 2) insertar información de autenticación en todo mensaje de correo electrónico que envía a los consumidores, 3) si las instituciones no pidieran que sus clientes escribieran datos confidenciales, como sus números de tarjeta de crédito, para acceder a sus sitios web, sería más difícil que los estafadores pudieran actuar y 4) recomienda aplicar un buen antivirus con filtros y soluciones antispam. Consejos a consumidores Para los usuarios particulares, McAfee sugiere bloquear automáticamente los mensajes de correo electrónico maliciosos o fraudulentos (teniendo en cuenta que el software anti spam puede ayudar a filtrar esos mensajes como correo no deseado). También aconseja borrar automáticamente programas maliciosos, como podrían ser los spyware 7, y bloquear automáticamente el envío de información importante a terceros con intenciones maliciosas. Recomienda al consumidor que sea precavido, y que si duda de la legitimidad de un mensaje, llame a compañía que figure en el correo para verificar su autenticidad. 2) Todo lo que debe saber acerca del "phishing" Publicado: 27/05/04 Fuente: http://www.microsoft.com/latam/seguridad/hogar/spam/phishing.mspx Si creía que su buzón estaba seguro, recuerde que hay una nueva fo rma de correo no deseado al acecho. Este tipo de correo basura no sólo es inesperado y molesto, sino que también facilita el robo de sus números de tarjetas de crédito, contraseñas, información de cuentas y otra información personal. Qué es el "phishing"? El "phishing" es una modalidad de estafa diseñada con la finalidad de robarle la identidad. El delito consiste en obtener información tal como números de tarjetas de crédito, contraseñas, información de cuentas u otros datos personales por medio de engaños. Este tipo de fraude se recibe habitualmente a través de mensajes de correo electrónico o de ventanas emergentes. Cómo funciona el "phishing"? En esta modalidad de fraude, el usuario malintencionado envía millones de mensajes falsos que parecen prove nir de sitios Web reconocidos o de su confianza, como su banco o la empresa de su tarjeta de crédito. Dado que los mensajes y los sitios Web que envían estos usuarios parecen oficiales, logran engañar a muchas personas haciéndoles creer que son legítimos. La gente confiada normalmente responde a estas solicitudes de correo electrónico con sus números de tarjeta de crédito, contraseñas, información de cuentas u otros datos personales. Para que estos mensajes parezcan aun más reales, el estafador suele incluir un vínculo falso que parece dirigir al sitio Web legítimo, pero en realidad lleva a un sitio falso o incluso a una ventana emergente que tiene exactamente el mismo aspecto que el sitio Web oficial. Estas copias se denominan "sitios Web piratas". Una vez que el usuario está en uno de estos sitios Web, introduce información personal sin saber que se transmitirá directamente al delincuente, que la utilizará para realizar compras, solicitar una nueva tarjeta de crédito o robar su identidad. 7 Ver texto Riesgo informático- Spyware, Adware y Popup. 4

Procedimientos para protegerse del "phishing" Al igual que en el mundo físico, los estafadores continúan desarrollando nuevas y más siniestras formas de engañar a través de Internet. Si sigue estos cinco sencillos pasos podrá protegerse y preservar la privacidad de su información. 1. Nunca responda a solicitudes de información personal a través de correo electrónico. Si tiene alguna duda, póngase en contacto con la entidad que supuestamente le ha enviado el mensaje. 2. Para visitar sitios Web, introduzca la dirección URL en la barra de direcciones. 3. Asegúrese de que el sitio Web utiliza cifrado. 4. Consulte frecuentemente los saldos bancarios y de sus tarjetas de crédito. 5. Comunique los posibles delitos relacionados con su información personal a las autoridades competentes. Paso 1: Nunca responda a solicitudes de información personal a través de correo electrónico Microsoft y las empresas de prestigio supuestamente nunca solicitan contraseñas, números de tarjeta de crédito u otro tipo de información personal por correo electrónico. Si recibe un mensaje que le solicita este tipo de información, no responda. Si piensa que el mensaje es legítimo, comuníquese con la empresa por teléfono o a través de su sitio Web para confirmar la información recibida. Consulte el Paso 2 para obtener información sobre las prácticas más adecuadas para acceder a un sitio Web si cree que ha sido víctima de una maniobra de "phishing". Para obtener una lista de ejemplos de correo electrónico de "phishing" conocidos visite http://www.antiphishing.org/phishing_archive.htm Paso 2: para visitar sitios Web, introduzca la dirección URL en la barra de direcciones Si sospecha de la legitimidad de un mensaje de correo electrónico de la empresa de su tarjeta de crédito, banco o servicio de pagos electrónicos, no siga los enlaces que lo llevarán al sitio Web desde el que se envió el mensaje. Estos enlaces pueden conducirlo a un sitio falso que enviará toda la información ingresada al estafador que lo ha creado. Si utiliza Windows como sistema operativo: Aunque la barra de direcciones muestre la dirección correcta, no se arriesgue a que lo engañen. Los piratas conocen muchas formas para mostrar una dirección URL falsa en la barra de direcciones del navegador. Las nuevas versiones de Internet Explorer hacen más difícil falsificar la barra de direcciones, por lo que es una buena idea visitar Windows Update 8 regularmente y actualizar su software. Si cree que podría olvidarse o prefiere que la instalación se realice sin su intervención, puede configurar la computadora para que realice actualizaciones automáticas. Paso 3: asegúrese de que el sitio Web utiliza cifrado Si no se puede confiar en un sitio Web por su barra de direcciones, cómo se sabe que será seguro? Existen varias formas: En primer lugar, antes de ingresar cualquier tipo de información personal, compruebe si el sitio Web utiliza cifrado para transmitir la información personal. En Internet Explorer puede comprobarlo con el icono de color amarillo situado en la barra de estado, tal como se muestra en la figura adjunta. Icono de candado de sitio seguro. Si el candado está cerrado, el sitio utiliza cifrado. 8 http://windowsupdate.microsoft.com/ 5

Este símbolo significa que el sitio Web utiliza cifrado para proteger la información personal que introduzca: números de tarjetas de crédito, número de la seguridad social o detalles de pagos. Haga doble clic sobre el icono del candado para ver el certificado de seguridad del sitio. El nombre que aparece a continuación de Enviado a debe coincidir con el del sitio en el que se encuentra. Si el nombre es diferente, puede que se encuentre en un sitio falso. Si no está seguro de la legitimidad de un certificado, no introduzca ninguna información personal. Sea prudente y abandone el sitio Web. Para conocer otras formas de determinar si un sitio es seguro, consulte Seguridad de datos en Internet Explorer. 9 Paso 4: consulte frecuentemente los saldos bancarios y de sus tarjetas de crédito Incluso si sigue los tres pasos anteriores, puede convertirse en víctima de las usurpaciones de identidad. Si consulta sus saldos bancarios y de sus tarjetas de crédito al menos una vez al mes, podrá sorprender al estafador y detenerlo antes de que provoque daños significativos. Paso 5: comunique los posibles delitos relacionados con su información personal a las autoridades competentes Si cree que ha sido víctima de "phishing", proceda del siguiente modo: Informe inmediatamente del fraude a la empresa afectada. Si no está seguro de cómo comunicarse con la empresa, visite su sitio Web para obtener la información de contacto adecuada. Algunas empresas tienen una dirección de correo electrónico especial para informar de este tipo de delitos. Recuerde que no debe seguir ningún vínculo que se ofrezca en el correo electrónico recibido. Debe introducir la dirección del sitio Web conocida de la compañía directamente en la barra de direcciones del navegador de Internet. Proporcione los detalles del estafador, como los mensajes recibidos, a la autoridad competente a través del Centro de denuncias de fraude en Internet 10. Este centro trabaja en todo el mundo en colaboración con las autoridades legales para clausurar con celeridad los sitios Web fraudulentos e identificar a los responsables del fraude. 9 http://www.microsoft.com/windows/ie/using/articles/browsingsafety.mspx El sitio está en inglés. 10 http://www.ifccfbi.gov/index.asp 6

Si cree que su información personal ha sido robada o puesta en peligro, también debe comunicarlo a la FTC (Federal Trade Commisssion) http://www.ftc.gov/ y visitar el sitio Web de robo de identidades de la FTC http://www.consumer.gov/idtheft/ para saber cómo minimizar los daños. La página principal se despliega en inglés o en español. Algunas otras también, así como documentos.pdf como ser cómo hacer la declaración jurada de robo de identidad (7 págs.) 3) Caso de 'phishing' a clientes del banco Banesto 25/09/2004 Fuente: http://www.hispasec.com/unaaldia/2163 Bernardo Quintero, bernardo@hispasec.com Se ha detectado en la fecha del título un envío masivo e indiscriminado de e-mails simulando ser un mensaje de Banesto. El mensaje solicita a los clientes se dirijan a una dirección del sitio web de Banesto para reactivar la cuenta con un nuevo sistema de seguridad que evitará las estafas. El remite falso del mensaje aparece con el nombre de "Banesto Banca" con dirección <serv.atension@banesto.es>, y en el campo de asunto el texto "Banesto Banca:Estimado cliente!". El cuerpo del e-mail, en formato HTML, incluye una cabecera gráfica con el logotipo y elementos gráficos de la imagen corporativa de Banesto, en un intento de hacer más creíble el engaño. Sin embargo, en la redacción del texto del mensaje pueden observarse varias faltas de ortografías e incoherencias, no propias de un comunicado serio de cualquier entidad, y que deben hacer sospechar a los usuarios. Este extremo también apuntaría al origen extranjero de la estafa. En cuanto al apartado técnico, todos los elementos gráficos del mensaje son descargados desde el servidor http://www.tedfahn.com/, donde también pueden encontrarse numerosos logs de otros ataques. El formulario falso, donde se solicita al cliente de Banesto sus datos, se encuentra hospedado en el servidor http://www.fischers.nu/ En ambos casos es más que probable que se traten de servidores webs legítimos que han sido comprometidos y utilizados por los atacantes para llevar a cabo la estafa. En el mensaje la URL de la web de Banesto aparece a simple vista correctamente escrita, en un gráfico, que al ser pinchado redirige realmente a la web http://www.fischers.nu/ donde se encuentra el formulario falso. 7

El enlace que utilizan internamente para la falsificación se encuentra ofuscado 11 en el código HTML como: [* http: //extranet.banesto.es.npage.loginparticulares.htm%01 @www.%66%69%73%63%68%65%72%73%2e%6e%75 *] Con este formato los atacantes intentan aprovechar una vulnerabilidad de Internet Explorer para que el usuario visualice una URL concreta en la barra de direcciones, cuando en realidad está visitando un sitio web diferente. Esta vulnerabilidad ya fue corregida en un parche de Microsoft en febrero de este año, y los usuarios con Internet Explorer actualizado no se encuentran afectados ni podrán ser víctimas de la estafa en esta ocasión. Recordamos a los usuarios que en ningún caso deben utilizar enlaces a los sitios web de banca electrónica que provengan de mensajes, mecanismo habitual de los ataques "phishing", así como la necesidad de mantener su sistema puntualmente actualizado. 4) Clientes de Visa Internacional víctimas de "phishing" 27/12/2003 http://www.vsantivirus.com/ev-phishing-visa.htm VSantivirus No. 1268 Año 8 Una nueva modalidad de estafa con mensajes y sitios web falsificados, está atacando esta vez a usuarios de la popular tarjeta de crédito Visa, una de las más utilizadas para transacciones vía Internet. El falso sitio está especialmente diseñado para obtener los números de cuenta de cliente y sus números personales de identificación (PIN, etc.). Es notorio el aumento de este tipo de estafas, y los expertos prevén un aumento cuantitativo para el 2004. Una de las razones, es que las recientes fallas detectadas en navegadores de Internet como Internet Explorer y otros, permite utilizar técnicas de engaños más difíciles de identificar como falsas. En el caso de esta estafa a usuarios de tarjetas Visa, no se han hecho públicos aún comentarios de Visa Internacional, a pesar de haber sido consultada. El mensaje que se distribuye como spam, simula ser enviado por Visa Internacional, y reclaman que la compañía ha aplicado un nuevo sistema de seguridad para evitar las posibles acciones de fraude. Por ello, le pide al usuario que pinche en un enlace en el mismo mensaje, para reactivar su cuenta. La estafa ha sido advertida primero en "Full-Disclosure", una lista frecuentada por expertos de seguridad. El mensaje contiene un enlace a un sitio Web que simula llevar al usuario al sitio "www.visa.com", el sitio oficial de Visa Internacional. Sin embargo, examinando el código fuente del mensaje, se puede identificar que la conexión es redirigida a una página web de una dirección de Internet que no pertenece a Visa. Aunque actualmente el sitio ha sido desactivado, esto debe servir de advertencia ante situaciones similares, que seguramente no tardarán en repetirse. En el pasado reciente, clientes de BBVAnet, Citibank, Wells Fargo y otros han sido víctimas de estafas semejantes. Según algunas compañías de seguridad, en periodos de fiestas y vacaciones, como éstas, este tipo de estafas puede aumentar en un 400 por ciento respecto al resto del año. Sólo en 60 días, se han detectado 90 mensajes que utilizan algún tipo de spam. Eso incluye los ya clásicos con estafas al estilo nigeriano (alguien desea utilizar nuestra cuenta bancaria para transferir millones de dólares de un país africano o del oriente medio), o grandes premios en loterías foráneas (que nos pide un "pequeño" adelante de 100 a 300 euros "por gastos de envío"). Muchos de esos mensajes se valen de técnicas de phishing para obligar al usuario a ingresar sus datos en un sitio o formulario que se asemeja al original. En ningún momento debemos aceptar ingresar datos en sitios a los que nos conduce un enlace en un correo electrónico. 11 El término ofuscado es el correcto, dado que NO está ocultado, sino trastornando la idea original, turbando la vista. 8

5) Phishing: fácil y rentable Fuente: http://www.lcu.com.ar/phishing.php Sergio de los Santos Phishing: Qué? Pedir los datos? Así de simple? Pues sí, prácticamente. Se prepara un correo HTML, con algunas imágenes robadas (botón derecho, salvar como...) de la web de un banco y se envía un correo con las cabeceras cambiadas (por ejemplo info@banco.es) explicando que para adaptar los datos de sus clientes y ofrecer un mejor servicio, se está realizando una confirmación de la información relativa al usuario almacenada en sus bases de datos, lo que requiere confirmación expresa del cliente, que debe pulsar sobre un enlace e introducir en él su nombre de usuario y contraseña. Opcionalmente su número de la seguridad social y tarjeta de crédito. Todo esto con un lenguaje más o menos correcto y unos bonitos colorines. (Lo que habitualmente se llama, web spoofing pero traducida al correo). El enlace sobre el que pulsa el confiado usuario, por supuesto, no es más que un servidor web de los malvados estafadores, que quizás han alquilado un dominio relativamente parecido a la firma a la que pretenden suplantar, por ejemplo http://w3.grupobbvanet.com/. Este ejemplo claro se dio en España durante todo Mayo de 2003, se intentó (y nadie sabe cuántos picarían) cometer un fraude entre los clientes del banco BBVA. Consistía en enviar indiscriminadamente correos que simulaban proceder de BBVA en el que se les pedía introducir sus contraseñas en el formulario de un servidor, para poder acceder a ciertos servicios. La web donde introducían las claves resultaba ser asombrosamente parecida a la original. La página, en realidad, estaba alojada en uno de los miles de sitios web que ofrecen espacio gratuito o de pago, y permite la posesión de un subdominio, que en este caso, habían aprovechado los estafadores para denominarlo "grupobbvanet", en un intento de despiste y aparentar pertenecer a uno de los servidores oficiales de BBVA que, por supuesto, nada tiene que ver con ellos. En E.E.U.U., los clientes de Ebay, Halyfax, Lloyds, FirstUnion, PayPal y muchos otros grandes han sido víctimas de este tipo de engaños. Ya se sabe, la buena fe del Hombre (y la Mujer), (y en especial los americano/as, pues son los que más pican en estafas digitales) hacen posible todo este tipo de basura cibernética. El caso del grupo BBVA ha sido de los pocos detectados en España, pero se ha podido detectar la insistencia de sus creadores, (enviaron varias "oleadas" de correos) imitadores de una moda que en E.E.U.U. lleva ya años practicándose. Y esto es rentable? Que se lo pregunten a un tal Kenneth (sólo un apodo), que con 22 años se jacta de haber estafado, junto a un compañero, cientos de miles de dólares. Confesó haberse enganchado a las estafas especializándose en usuarios de ebay. Enviaba estos correos a unas 1000 personas un día, afirmando que su cuenta iba a caducar, y necesitaba confirmar los datos. Al siguiente obtenía unas 200 respuestas, que se traducían en el nombre y contraseña de 200 usuarios reconocidos de ebay. Una vez podía hacerse pasar por alguno de ellos, muchos reputados usuarios del servicio de subastas, elegía a algún otro usuario enzarzado en alguna interesante apuesta, y se dirigía a él personalmente a través del sistema de mensajería privada de ebay ofreciéndole un precio inigualable por el mismo artículo por el que pujaba, pero sin los riesgos propios de la subasta. Muchos, revisando los históricos de la identidad robada que le ofrecía tal chollo, comprobaban que hasta ahora, había mantenido una actitud irreprochable, y no constaba que dejara sin pagar ningún artículo adquirido. De esta manera, el tal Kenneth ganaba la confianza del estafado, e inventaba mil fórmulas para que pagara por adelantado, a través de una transferencia bancaria a la que nunca res pondía. Si el incauto se resistía a realizar grandes pagos a través de transferencia, Kenneth argumentaba rápidamente que, si quería más seguridad, podía realizar el traspaso a través de una agencia que ofrecía su servicio vía web. Así engañaba una vez más a los pobres usuarios, que insertaban su número de tarjeta de crédito en una página inventada y fabricada por el propio Kenneth. En realidad, no era tan sencillo, grandes dosis de ingeniería social eran necesarias para crear algún tipo de complicidad con sus víctimas y hacerles picar el anzuelo. Les hablaba del miedo a ser estafado él mismo, se ofendía ante las acusaciones o sospechas de posible estafa, trataba de dar la mayor pena posible, mostrándose necesitado del dinero, desesperado por vender el producto anunciado en ebay, con el fin de destinarlo a la mejor causa humanitaria del mundo. 9

Y es que, cada vez menos, son necesarias grandes dosis de conocimientos técnicos para hacerse con una contraseña. Un poco de conocimientos de HTML para construir un correo que se hace pasar por el de otra empresa, un programa para enviar correos masivos que cambie las cabeceras, y sobre todo, mucha jerga fatalista, o en cualquier otro tono posible pero más que nada, creíble, es lo único necesario para llevar a cabo este plan. Salir de pesca en Internet, en busca de incautos a los que no les importe en absoluto rellenar un par de cuadros de diálogo con su contraseña, algo equivalente a declarar ante cualquier desconocido nuestra clave personal. Ya he indicado en muchos artículos que la desconfianza es la base de la seguridad, y nunca se debe proporcionar la clave o ningún otro dato confidencial a nadie, ni por teléfono ni por Internet. Ninguna empresa seria nos la pedirá, y en el caso de desastre o causa mayor, nos la modificará y comunicará personalmente, pero jamás nos pedirá que rellenemos un recuadro con nuestros datos para confirmar o para asegurar nada. A nivel personal nos queda mantener los ojos bien abiertos, y no fiarnos de un par de imágenes o palabras técnicas en un correo, que no garantizan en absoluto la autoría del mismo. A nivel organizacional es prioritaria la administración y el análisis de riesgo informático, apropiado a las características de cada institución o empresa. 12 12 Ver texto Introducción al Riesgo Informático. 10

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback