Cabecera-v2-web.jpg

phishing.jpeg

El PHISING actualmente consiste en una técnica para captar información bancaria de los usuarios a través de la utilización de la imagen de una la entidad bancaria.

De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que, en realidad, va a parar a manos del estafador.

Existe un amplio abanico de software y aplicaciones de toda í­ndole que quedan clasificados dentro de la categorí­a de robo de información personal o financiera, algunas de ellas realmente complejas.

Uso de nombres de compañí­as ya existentes. En lugar de crear desde cero el sitio web de una compañí­a ficticia, los estafadores adoptan la imagen corporativa y funcionalidad del sitio de web de una empresa existente, con el fin de confundir aún más al receptor del mensaje.

Utilizar el nombre de un empleado real de una empresa para enviar un correo Phishing. De esta manera, si el receptor intenta confirmar la veracidad del correo llamando a la compañí­a, desde ésta le podrán confirmar que la persona que dice hablar en nombre de la empresa trabaja en la misma.

Direcciones web con la apariencia correcta. El correo fraudulento suele conducir al lector hacia sitios web que replican el aspecto de la empresa que está siendo utilizada para robar la información. En realidad, tanto los contenidos como la dirección web son falsos e imitan los contenidos reales. Incluso la información legal y otros enlaces no vitales pueden redirigir al confiado usuario a la página web real.

Factor miedo. La ventana de oportunidad de los defraudadores es muy breve, ya que una vez se informa a la compañí­a de que sus clientes están siendo objeto de este tipo de prácticas, el servidor que aloja al sitio web fraudulento y sirve para la recogida de información se cierra en el intervalo de unos pocos dí­as. Por lo tanto, es fundamental para el defraudador el conseguir una respuesta inmediata por parte del usuario. En muchos casos, el mejor incentivo es amenazar con una pérdida, ya sea económica o de la propia cuenta existente, si no se siguen las instrucciones indicadas en el correo recibido.

Man-in-the-middle (hombre en el medio). En esta técnica, el atacante se sitúa entre el usuario y el sitio web real, actuando a modo de proxy. De esta manera, es capaz de escuchar toda la comunicación entre ambos.

Aprovechamiento de vulnerabilidades de tipo 'Cross-Site Scripting' en un sitio web, que permiten simular una página web segura de una entidad bancaria, sin que el usuario pueda detectar anomalí­as en la dirección ni en el certificado de seguridad que aparece en el navegador.

Aprovechamiento de vulnerabilidades en navegadores

¿Cómo funciona? ¿Cómo se distribuye?

El mecanismo más habitualmente empleado es la generación de un correo electrónico falso que simule proceder de una determinada compañí­a, a cuyos clientes se pretende engañar. Dicho mensaje contendrá enlaces que apuntan a una o varias páginas web que replican en todo o en parte el aspecto y la funcionalidad de la empresa, de la que se espera que el receptor mantenga una relación comercial. Si el receptor del mensaje de correo efectivamente tiene esa relación con la empresa y confí­a en que el mensaje procede realmente de esta fuente, puede acabar introduciendo información sensible en un formulario falso ubicado en uno de esos sitios web.

En cuanto a su distribución, también presentan caracterí­sticas comunes:

  • De la misma manera que el spam, es enviado masiva e indiscriminadamente por correo electrónico o sistemas de mensajerí­a instantánea:
    • El mensaje insta al usuario a pulsar sobre un enlace, que le llevará a una página en la que deberá introducir sus datos confidenciales, con la excusa de confirmarlos, reactivar su cuenta, etc.
    • Se enví­a como una alerta de una entidad financiera advirtiendo de un ataque. Incluye un enlace que se insta a pulsar y en el que se solicitan datos personales.
  • Dado que el mensaje se distribuye masivamente, alguno de los receptores será efectivamente cliente de la entidad. En el mensaje se indica que, debido a algún problema de seguridad es necesario acceder a una dirección web donde debe reconfirmar sus datos: nombre de usuario, contraseña, número de tarjeta de crédito, PIN, número de seguridad social, etc.
  • Por supuesto, el enlace no dirige a ninguna página de la compañí­a, sino más bien a un sitio web (similar al original) desarrollado a propósito por los estafadores y que reproduce la imagen corporativa de la entidad financiera en cuestión. Normalmente la dirección web contiene el nombre de la institución legí­tima por lo que el cliente no sospecha de la falsedad de la misma.
  • Cuando el usuario introduce sus datos confidenciales, éstos se almacenan en una base de datos y lo que ocurre a continuación no necesita de un gran esfuerzo de imaginación: los estafadores utilizan esta información para conectarse a su cuenta y disponer libremente de los fondos.

Los principales daños provocados por el phishing son:

  • Robo de identidad y datos confidenciales de los usuarios (tarjetas de crédito, claves de acceso, etc).
  • Pérdida de productividad.
  • Consumo de recursos de las redes corporativas (ancho de banda, saturación del correo, etc.).


¿Cómo puedo reconocer un mensaje de phishing?

Distinguir un mensaje de phishing de otro legí­timo puede no resultar fácil para un usuario que haya recibido un correo de tales caracterí­sticas, especialmente cuando es efectivamente cliente de la entidad financiera de la que supuestamente proviene el mensaje.

  • El campo De: del mensaje muestra una dirección de la compañí­a en cuestión. No obstante, es sencillo para el estafador modificar la dirección de origen que se muestra en cualquier cliente de correo.
  • El mensaje de correo electrónico presenta logotipos o imágenes que han sido recogidas del sitio web real al que el mensaje fraudulento hace referencia.
  • El enlace que se muestra parece apuntar al sitio web original de la compañí­a, pero en realidad lleva a una página web fraudulenta, en la que se solicitarán datos de usuarios, contraseñas, etc.
  • Normalmente estos mensajes de correo electrónico presentan errores gramaticales o palabras cambiadas, que no son usuales en las comunicaciones de la entidad por la que se están intentando hacer pasar.

Todos los usuarios corremos el riesgo de ser ví­ctimas de estos intentos de estafa. Cabe detallar que es realmente barato el realizar un ataque de este tipo y los beneficios obtenidos pueden ser cuantiosos con tan sólo un pequeñí­simo porcentaje de éxito.

¿Cómo puedo protegerme del phishing?

En caso de que crea que el mensaje recibido pudiera ser legí­timo, algo que de entrada debe ser considerado como altamente improbable, en primer lugar deberí­a contactar con la institución financiera, telefónicamente o a través del medio que utilice habitualmente. Aun en caso afirmativo, verifique siempre los siguientes puntos antes de introducir cualquier clase de datos que puedan llegar a ser utilizados maliciosamente por terceros, para reducir drásticamente el riesgo de sufrir un ataque de phishing:

  • Verifique la fuente de la información. No conteste automáticamente a ningún correo que solicite información personal o financiera. Si tiene dudas sobre si realmente esa entidad necesita el tipo de información que le solicita, basta con telefonear a su contacto habitual para asegurarse de la fuente de la información.
  • Escriba usted mismo la dirección en su navegador de Internet. En lugar de hacer clic en el hiperví­nculo proporcionado en un correo electrónico, escriba la dirección web directamente en el navegador o utilice un marcador que haya creado con anterioridad. Incluso direcciones que aparentan ser correctas en los correos electrónicos pueden ocultar la ruta hacia un sitio web fraudulento.
  • Refuerce su seguridad. Aquellos usuarios que realizan transacciones a través de Internet deberí­an configurar su sistema con suites de seguridad capaces de bloquear estas amenazas, aplicar los últimos parches de seguridad facilitados por los fabricantes y asegurarse de que operan en modo seguro a través de certificados digitales o protocolos de comunicación seguros como https://

Zona Segura

  • Revise periódicamente sus cuentas. Los extractos mensuales son especialmente útiles para detectar transferencias o transacciones irregulares, tanto operaciones que no haya realizado y se vean reflejadas en el extracto, como operaciones realizadas online y que no aparezcan en el extracto.

Cumplidos todos estos requisitos, el usuario puede proporcionar su información con una razonable seguridad de que ésta no será utilizada contra sus intereses.

La mejor manera de protegerse del phishing es entender la manera de actuar de los proveedores de servicios financieros y otras entidades susceptibles de recibir este tipo de ataques.

IMPORTANTE

Si tiene necesidad de realizar una transacciones en lí­nea, tome en cuenta estas recomendaciones:

- Verifique que su ordenador este libre de cualquier tipo de malware (virus, spywares, rootkits, etc.)

- Nunca realice una transacción desde un lugar público, cabina pública o cibercafé.

- La web donde va a realizar la transacción o la 'Pasarela de pagos' debe empezar, en la barra de direcciones, con https:// (encriptación de los datos).

pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11