u t p l conferencia diadeinternet 2009
TRANSCRIPT
PHISHING
Ing. María José
Meza AyalaDIRECCIÓN GENERAL DE INVESTIGACIÓN
ESPECIAL EN TELECOMUNICACIONES
DEFINICIÓN
• El
Phishing
es
un
tipo
de
delito
incluido
dentro
del ámbito de las estafas, se comete mediante el uso de un
tipo
de
ingeniería
social
caracterizado
por
intentar
adquirir
información
confidencial
de
forma fraudulenta.
El
estafador
se
hace
pasar
por
una
persona
o
empresa
de
confianza
en
una
aparente comunicación
oficial
electrónica;
por
lo
común
un
correo
electrónico,
o
algún
sistema
de
mensajería instantánea.
TÉCNICAS DE PHISHING (I)
• Engaño
en
el
diseño
para
lograr
que
un
enlace
en
un
correo
electrónico parezca una copia de la organización por la cual se hace pasar el impostor. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers.
http://www.nombredetubanco.com.ejemplo.com/.
• Utilización
de
direcciones
que
contengan
el
carácter
arroba
(@),
para posteriormente preguntar el nombre de usuario y contraseña.
http://[email protected]/
La dirección mostrada puede engañar a un observador casual y hacerlo creer que
el
enlace
va
a
abrir
en
la
página
de
www.google.com,
cuando
realmente
el
enlace
envía
al
navegador
a
la
página
de members.tripod.com.
TÉCNICAS DE PHISHING (II)
• Recepción de un mensaje (generalmente un correo electrónico), en el cual se solicita la verificación de cuentas bancarias, seguido por un enlace que aparenta
ser
la
página
web
auténtica;
en
realidad,
el
enlace
está
modificado para dirigir al usuario a iniciar sesión en la página del banco o servicio,
donde
la
URL
y
los
certificados
de
seguridad
parecen
ser
auténticos.
• Otro problema con las URL es el relacionado con el manejo de Nombre de dominio
internacionalizado
(IDN)
en
los
navegadores,
puesto
que
puede
ser
que
direcciones
que
resulten
idénticas
a
la
vista
puedan
conducir
a diferentes
sitios
(por
ejemplo
dominio.com
se
ve
similar
a
dοminiο.com,
aunque
en
el
segundo
las
letras
"o"
hayan
sido
reemplazadas
por
la correspondiente letra griega ómicron, "ο").
DAÑOS CAUSADOS
Este
tipo
de
robo
de
identidad
se
está
haciendo
cada
vez
más popular
por
la
facilidad
con
que
personas
confiadas
normalmente
revelan
información
personal
a
los
phishers,
una vez
esta
información
es
adquirida,
los
phishers
pueden
usarla
para
crear
cuentas
falsas
utilizando
el
nombre
de
la
víctima, gastar
el
crédito
de
la
víctima,
o
incluso
impedir
a
las
víctimas
acceder a sus propias cuentas.
ESTADÍSTICAS (Enero 2008)• Se divulgaron 20,305
páginas Web de “phishing”
• 131
marcas de fábrica fueron “secuestradas”
• 92.4
por
ciento
de
todos
los
ataques
tratan
del
sector
de servicios financieros
• Los Países que alojan páginas Web de “phishing”:#1: Estados Unidos (37.25 por ciento)#2: Rusia (11.66 por ciento)#3: China (10.3 por ciento)
EJEMPLOS (I)
EJEMPLOS (II)
EJEMPLOS (III)
EJEMPLOS (IV)
EJEMPLOS (V)
http://www.jangsunlu.co.kr/da/chase/actualizacion/s
ervicios/produbanco/persona/produbancopersona...
https://www.produbanco.com/GFPNetSeguro/
PISHING EN MSN
• Dos
de
los
ejemplos
más recientes
son
las
páginas
quienteadmite.com
y noadmitido.com
destinadas
a
robar
el
nombre
y
contraseña de
los
usuarios
de
MSN
a
cambio
de
mostrarle
a
los visitantes
que
las
utilicen,
quien
los
ha
borrado
de
su lista de contactos.
• El
servicio
que
brindan
puede obtenerse
fácilmente
desde
la
solapa
"privacidad"
del
menú opciones
desde
el
Msn
messenger.
MÉTODOS DE PREVENCIÓN (I)
• Un
usuario
al
que
se
le
contacta
mediante
un
mensaje electrónico
y
se
le
hace
mención
sobre
la
necesidad
de
"verificar"
una
cuenta
electrónica
puede
escribir
la
dirección web
en
la
barra
de
direcciones
de
su
navegador
para
evitar
usar
el
enlace
que
aparece
en
el
mensaje
sospechoso
de phishing.
• Muchas compañías se dirigen a sus clientes por su nombre de usuario
en
los
correos
electrónicos,
de
manera
que
si
un
correo electrónico se dirige al usuario de una manera genérica como ("Querido miembro de XXXX") es probable que se trate de un intento de phishing.
MÉTODOS DE PREVENCIÓN (II)• Uso de software anti‐phishing.
• El uso de filtros de spam.
• Muchas
organizaciones
han
introducido
la
característica
denominada pregunta
secreta,
en
la
que
se
pregunta
información
que
sólo
debe
ser
conocida por el usuario y la organización. Las páginas de Internet también han
añadido
herramientas
de
verificación
que
permite
a
los
usuarios
ver
imágenes
secretas
que
los
usuarios
seleccionan
por
adelantado;
sí
estas imágenes no aparecen, entonces el sitio no es legítimo.
• Muchas
compañías
ofrecen
a
bancos
y
otras
entidades
que
sufren
de ataques
de
phishing,
servicios
de
monitoreo
continuos,
analizando
y
utilizando medios legales para cerrar páginas con contenido phishing.
MÉTODOS DE PREVENCIÓN (III)
• Informar
enlaces
sospechosos haciendo
click
en
ayuda
y
pulsando
en
"Informar
de falsificación web":
• Los
servidores
de
correo
más populares
también
cuentan
con
opciones para
denunciar
intentos de phishing:
LEGISLACIONCÓDIGO PENAL
“……
Artículo 202.‐
...
Artículo ...‐
El que empleando cualquier medio electrónico, informático o afín, violentare claves o sistemas de
seguridad,
para
acceder
u
obtener
información
protegida,
contenida
en
sistemas
de
información;
para
vulnerar
el
secreto,
confidencialidad
y
reserva,
o
simplemente
vulnerar
la
seguridad,
será
reprimido
con
prisión
de
seis
meses
a
un
año
y
multa
de
quinientos
a
mil
dólares
de
los
Estados
Unidos
de
Norteamérica.
“……
……”
Artículo
...‐
Obtención
y
utilización
no
autorizada
de
información.‐
La
persona
o
personas
que
obtuvieren
información
sobre
datos
personales
para
después
cederla,
publicarla,
utilizarla
o
transferirla
a
cualquier
título, sin la autorización de su titular o titulares, serán sancionadas con pena de prisión de dos meses a
dos años y multa de mil a dos mil dólares de los Estados Unidos de Norteamérica.
Nota:
Artículo
agregado
por
Ley
No.
67,
publicada
en
Registro
Oficial
Suplemento
557
de
17
de
Abril
del
2002.
……”
OBSERVACIONES• Tanto
los
servicios
de
correo
como
cualquier
otro
servicio
(bancos,
cuentas
para
compras
por
internet,
actualizaciones
de
antivirus,
etc.)
nunca
piden
información sensible del usuario a través del correo electrónico.
• Para
defenderse
de
estos
ataques
es
recomendable
utilizar
el
escepticismo
inteligente
en
cualquier
relación
en
la
que
se
solicite
al
usuario
que
divulgue
datos personales, por otro lado, siempre que se tenga que hablar
con el banco,
se
lo
debe
hacer
a
través
de
los
números
de
teléfono
oficiales,
y
no
facilitar
datos personales ni financieros a través de correos electrónicos.
• Si
se
recibe
un
correo
con
un
enlace
que
sospechemos
que
es
de
phishing,
además
de
informarlo
a
la
web,
se
lo
debe
notificar
también
al
Centro
de
Información y Reclamos de la SUPERTEL, comunicándose sin costo al 1800 567
567. Para que de este modo la SUPERTEL pueda interceder para que la
página
sea bloqueada y evitar que nuevas víctimas sean engañadas.
• La
SUPERTEL
se
está
preparando
técnicamente
para
desarrollar
técnicas
de
detección frente a este nuevo tipo de fraude, las cuales nos permitirán no solo
prevenir sino corregir técnicamente este tipo de estafas.
Acciones realizadas por la SUPERTEL