- Objetivos y
Alcances - Definición
- Historia
- Procedimiento para la
protección - Links de
Interés - Conclusiones
- Bibliografía
El objetivo de
este trabajo es
conocer una técnica llamada Phishing, la cual trata de
vulnerar la seguridad
informática, conociendo lo que es el phishing vamos a
poder ser
capaces de evitar que esta técnica maliciosa nos ataque y
vamos a saber como prevenirnos de ella.
Entre los alcances, en este trabajo nos interesa
puntualmente saber en que consiste esta técnica llamada
phishing, sus orígenes y además conocer algunos
procedimientos
para protegernos de estos ataques.
Es la capacidad de duplicar una
página web para hacer creer al
visitante que se encuentra en la página original en lugar
de la copiada. Normalmente se utiliza con fines delictivos
duplicando páginas
web de bancos conocidos
y enviando indiscriminadamente correos para que se acceda a esta
página a actualizar los datos de acceso
al banco.
En ocasiones, el término "phishing" se
dice que es la contracción de "password harvesting
fishing" (cosecha y pesca
de
contraseñas), aunque esto probablemente
es un
acrónimo retroactivo.
De forma más general, el nombre phishing
también se aplica al acto de adquirir, de forma
fraudulenta y a través de engaño, información personal como
contraseñas o detalles de una tarjeta de crédito, haciéndose pasar por
alguien digno de confianza con una necesidad verdadera de tal
información en un e-mail parecido al oficial, un mensaje
instantáneo o cualquier otra forma de comunicación. Es una forma de ataque de la
ingeniería social.
El término phishing fue creado a mediados
de los
años 90 por los crackers
que procuraban robar las cuentas de
AOL. Un atacante se presentaría
como empleado de AOL y enviaría un mensaje inmediato a una
víctima potencial.
El mensaje pediría que la víctima revelara
su contraseña, con variadas excusas como la
verificación de la cuenta o confirmación de la
información de la facturación. Una vez que la
víctima entregara la contraseña, el atacante
podría tener acceso a la cuenta de la víctima y
utilizarla para cualquier otro propósito, tales
como Spamming.
Hay también una red irlandesa del IRC
llamada Phishy, aunque más antigua del uso de ese
término para cualquier cosa ilegal
En esta modalidad de fraude, el
usuario malintencionado envía millones de mensajes falsos
que parecen provenir de sitios Web reconocidos o
de su confianza, como su banco o la empresa de su
tarjeta de crédito.
Dado que los mensajes y los sitios Web que envían
estos usuarios parecen oficiales, logran engañar a muchas
personas haciéndoles creer que son legítimos. La
gente confiada normalmente responde a estas solicitudes de
correo
electrónico con sus números de tarjeta de
crédito, contraseñas, información de cuentas
u otros datos personales.
Para que estos mensajes parezcan aun más reales,
el estafador suele incluir un vínculo falso que parece
dirigir al sitio Web legítimo, pero en realidad lleva a un
sitio falso o incluso a una ventana emergente que tiene
exactamente el mismo aspecto que el sitio Web oficial. Estas
copias se denominan "sitios Web piratas". Una vez que el usuario
está en uno de estos sitios Web, introduce
información personal sin saber que se transmitirá
directamente al delincuente, que la utilizará para
realizar compras,
solicitar una nueva tarjeta de crédito o robar su identidad.
Phishing –
Procedimiento
para la protección
Al igual que en el mundo físico, los estafadores
continúan desarrollando nuevas y más siniestras
formas de engañar a través de Internet. Si sigue estos
cinco sencillos pasos podrá protegerse y preservar la
privacidad de su información.
1. Nunca responda a solicitudes de información
personal a través de correo electrónico. Si tiene
alguna duda, póngase en contacto con la entidad que
supuestamente le ha enviado el mensaje.
2. Para visitar sitios Web, introduzca la dirección URL en la barra de
direcciones.
3. Asegúrese de que el sitio Web utiliza
cifrado.
4. Consulte frecuentemente los saldos bancarios y de sus
tarjetas de
crédito.
5. Comunique los posibles delitos
relacionados con su información personal a las
autoridades competentes.
Paso 1: nunca responda a solicitudes de
información personal a través de correo
electrónico
Las empresas de
prestigio nunca solicitan contraseñas, números de
tarjeta de crédito u otro tipo de información
personal por correo electrónico. Si recibe un mensaje que
le solicita este tipo de información, no
responda.
Si piensa que el mensaje es legítimo,
comuníquese con la empresa por
teléfono o a través de su sitio Web
para confirmar la información recibida. Consulte el Paso 2
para obtener información sobre las prácticas
más adecuadas para acceder a un sitio Web si cree que ha
sido víctima de una maniobra de "phishing".
Para obtener una lista de ejemplos de correo
electrónico de "phishing" recibidos por algunos usuarios,
consulte el Archivo
del grupo antiphishing.
Paso 2: para visitar sitios Web, introduzca la
dirección URL en la barra de direcciones
Si sospecha de la legitimidad de un mensaje de correo
electrónico de la empresa de su tarjeta de crédito,
banco o servicio de
pagos electrónicos, no siga los enlaces que lo
llevarán al sitio Web desde el que se envió el
mensaje.
Estos enlaces pueden conducirlo a un sitio falso que
enviará toda la información ingresada al estafador
que lo ha creado.
Aunque la barra de direcciones muestre la
dirección correcta, no se arriesgue a que lo
engañen. Los piratas conocen muchas formas para mostrar
una dirección URL falsa en la barra de direcciones del
navegador. Las nuevas versiones de los navegadores
hacen más difícil falsificar la barra de
direcciones. Para obtener más información, consulte
la información que se ofrece en el sitio
Proteja su equipo.
Paso 3: asegúrese de que el sitio Web utiliza
cifrado
Si no se puede confiar en un sitio Web por su barra de
direcciones, ¿cómo se sabe que será seguro? Existen
varias formas: En primer lugar, antes de ingresar cualquier tipo
de información personal, compruebe si el sitio Web utiliza
cifrado para transmitir la información personal. En los
navegadores puede comprobarlo con el icono de color amarillo
situado en la barra de estado, tal
como se muestra en la
figura 1.
Para ver el gráfico seleccione la
opción "Descargar" del menú superior
Figura 1. Icono de candado de sitio
seguro. Si el candado está cerrado, el sitio utiliza
cifrado.
Este símbolo significa que el sitio Web utiliza
cifrado para proteger la información personal que
introduzca: números de tarjetas de crédito,
número de la seguridad
social o detalles de pagos.
Haga doble clic sobre el icono del candado para ver el
certificado de seguridad del
sitio. El nombre que aparece a continuación de Enviado
a debe coincidir con el del sitio en el que se
encuentra.
Si el nombre es diferente, puede que se encuentre en un
sitio falso. Si no está seguro de la legitimidad de un
certificado, no introduzca ninguna información personal.
Sea prudente y abandone el sitio Web.
Existen otras formas de determinar si un sitio es
seguro, como por ejemplo ver si la página posee un
certificado de seguridad de algunas de las empresas proveedoras
del mismo como por ejemplo Verisign.
Paso 4: consulte frecuentemente los saldos bancarios
y de sus tarjetas de crédito
Incluso si sigue los tres pasos anteriores, puede
convertirse en víctima de las usurpaciones de identidad.
Si consulta sus saldos bancarios y de sus tarjetas de
crédito al menos una vez al mes, podrá sorprender
al estafador y detenerlo antes de que provoque daños
significativos.
Paso 5: comunique los posibles delitos relacionados
con su información personal a las autoridades
competentes
Si cree que ha sido víctima de "phishing",
proceda del siguiente modo:
Informe inmediatamente del fraude a la empresa afectada.
Si no está seguro de cómo comunicarse con la
empresa, visite su sitio Web para obtener la información
de contacto adecuada. Algunas empresas tienen una
dirección de correo electrónico especial para
informar de este tipo de delitos.
Recuerde que no debe seguir ningún vínculo
que se ofrezca en el correo electrónico recibido. Debe
introducir la dirección del sitio Web conocida de la
compañía directamente en la barra de direcciones
del navegador de Internet.
Proporcione los detalles del estafador, como los
mensajes recibidos, a la autoridad
competente a través del Centro de denuncias de fraude en
Internet. Este centro trabaja en todo el mundo
en colaboración con las autoridades legales para clausurar
con celeridad los sitios Web fraudulentos e identificar a los
responsables del fraude.
Si cree que su información personal ha sido
robada o puesta en peligro, también debe comunicarlo a
la FTC
y visitar el sitio Web de robo de
identidades de la FTC para saber cómo
minimizar los daños.
A continuación se detallan algunos links de
interés
relacionados al tema.
http://www.ifccfbi.gov/index.asp
En esta dirección nos encontramos con una
organización que se dedica a recibir todos
los reportes de delitos
informáticos llevados a cabo a alguna persona, la
victima lo único que tiene que hacer es denunciar que ha
sido víctima de un delito y ellos lo
registran en sus archivos.
Aquí podemos encontrar un grupo de
trabajo dedicado a controlar y llevar estadísticas del phishing, para así
proteger el e-commerce, y
otras actividades relacionadas con las transacciones monetarias
en Internet.
En este gráfico podemos encontrar una
estadística con la cantidad de sitios que
han sido reportados realizando phishing, esta estadística
es semanal, y va desde Diciembre del 2004 hasta Marzo del
2005.
Una vez que ya hemos conocido lo que es el phishing, a
parte de saber su existencia y significado, también
gracias a este trabajo pudimos conocer un procedimiento para
protegernos de caer en esta trampa, que sabemos que puede traer
consecuencias muy negativas, como la entrega de datos personales,
números de tarjetas de créditos con demasiadas consecuencias
negativas para el propietario y además la pérdida
de privacidad.
Internet:
http://es.wikipedia.org
http://www.microsoft.com/latam/seguridad/hogar/spam/phishing.mspx
Autor:
Marcelo Aguilera