Jueves, 16 de julio de 2009

VideoCurso e-Commerce: Phishing C?mo Protegernos





Video curso e-Commerce - Episodio 23 - Phishing cómo protegernos

Definición de Phishing:

Phishing es un delito mediante el cual se intenta adquirir información confidencial de forma fraudulenta tal como:

o Usuarios y contraseñas

o Información detallada sobre tarjetas de crédito

o Otra información bancaria. 

El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza (generalmente una entidad financiera) en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

La persona engañada al ingresar al sitio falso para autenticarse o actualizar información entrega la información confidencial al phisher.

El phisher utiliza esta información para realizar compras electrónicas como si fuera la persona estafada.

De las amenazas vistas hasta ahora es decir virus y spyware, el Phishing representa una mayor amenaza para las personas que compran por Internet. Lo anterior debido a que los antivirus existentes apenas están empezando a trabajar en el tema.


Técnicas de phishing:


La mayoría de los métodos de phishing utilizan una copia del sitio Web real con características idénticas creada por el impostor.

El phisher envía un e-mail a sus víctimas solicitando actualización de información o ingresar a su cuenta de manera urgente para evitar pérdida de información. Todo lo anterior con un enlace en el mail dirigiendo al usuario al sitio falso.

URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers.

Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL legítima.

En otro método popular de phishing, el atacante utiliza contra la víctima el propio código de programa del banco o servicio por el cual se hace pasar.

ste tipo de ataque resulta particularmente problemático, ya que dirige al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque (conocido como Cross Site Scripting) los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace está modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios.

Otro problema con las URL es el relacionado con el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dοminiο.com, aunque en el segundo las letras "o" hayan sido reemplazadas por la correspondiente letra griega ómicron, "ο"). Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homógrafos, ningún ataque conocido de phishing lo ha utilizado.

Otra forma de Phishing es el lavado de dinero. Actualmente empresas ficticias intentan reclutar tele trabajadores por medio de e-mails, chats y otros medios, ofreciéndoles no sólo trabajar desde casa sino también otros jugosos beneficios. Aquellas personas que aceptan la oferta se convierten automáticamente en víctimas que incurren en un grave delito sin saberlo: el blanqueo de dinero obtenido a través del acto fraudulento de phishing.

Para que una persona pueda darse de alta con esta clase de empresas debe rellenar un formulario en el cual indicará, entre otros datos, su número de cuenta bancaria. Esto tiene la finalidad de ingresar en la cuenta del trabajador-víctima el dinero procedente de estafas bancarias realizadas por el método de phishing. Una vez contratada, la víctima se convierte automáticamente en lo que se conoce vulgarmente como mulero.

Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su cuenta bancaria y la empresa le notifica del hecho. Una vez recibido este ingreso, la víctima se quedará un porcentaje del dinero total, pudiendo rondar el 10%-20%, como comisión de trabajo y el resto lo reenviará a través de sistemas de envío de dinero a cuentas indicadas por la seudo-empresa.

Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad económica) ésta se ve involucrada en un acto de estafa importante, pudiendo ser requerido por la justicia previa denuncia de los bancos. Estas denuncias se suelen resolver con la imposición de devolver todo el dinero sustraído a la víctima.


Daños causados por el phishing


Los daños causados por el phishing oscilan entre la pérdida del acceso al correo electrónico a pérdidas económicas sustanciales.

Este tipo de robo de identidad se está haciendo cada vez más popular por la facilidad con que personas confiadas o mal informadas normalmente revelan información personal a los phishers, incluyendo números de tarjetas de crédito y débito, información de correos electrónicos, etc.

Una vez esta información es adquirida, los phishers pueden usar datos personales para crear cuentas falsas utilizando el nombre de la víctima, utilizar el crédito de la víctima, gastar el dinero en las cuentas de la víctima o incluso impedir a las víctimas acceder a sus propias cuentas.


Cómo protegerse de los phishing 

Existen varias técnicas diferentes para combatir el phishing, incluyendo la legislación y la creación de tecnologías específicas que tienen como objetivo evitarlo.


Respuesta social


o Una estrategia para combatir el phishing adoptada por algunas empresas es la de entrenar a las personas y empleados de modo que puedan reconocer posibles ataques phishing. Una nueva táctica de phishing donde se envían correos electrónicos de tipo phishing a una compañía determinada, conocido como spear Phishing.

o Un usuario al que se le contacta mediante un mensaje electrónico y se le hace mención sobre la necesidad de "verificar" una cuenta electrónica puede:

Contactar con la compañía que supuestamente le envía el mensaje

Escribir la dirección web de un sitio web seguro en la barra de direcciones de su navegador para evitar usar el enlace que aparece en el mensaje sospechoso de phishing.

o En los países de habla hispana es común que las entidades financieras emitan comerciales de televisión y radio informando que nunca solicitan actualización de información por correo electrónico, esto con el fin de evitar que sus clientes caigan en el Phishing.


Respuestas técnicas


o Hay varios programas anti-phishing disponibles. La mayoría de estos programas trabajan identificando contenidos phishing en sitios web y correos electrónicos

o Las suite de seguridad comerciales recomendadas en los videos anteriores Norton Antivirus y Zone Alarm también tienen sistema anti-phishing.

o El Internet Explorer 7 viene con filtro para evitar fraudes tipo Phishing.

o Los filtros de spam también ayudan a proteger a los usuarios de los phishers, ya que reducen el número de correos electrónicos relacionados con el phishing recibidos por el usuario.

o Muchas organizaciones han introducido la característica denominada pregunta secreta, en la que se pregunta información que sólo debe ser conocida por el usuario y la organización.

o Las páginas de Internet también han añadido herramientas de verificación que permite a los usuarios ver imágenes secretas que los usuarios seleccionan por adelantado; sí estas imágenes no aparecen, entonces el sitio no es legítimo. Estas y otras formas de autentificación mutua continúan siendo susceptibles a ataques.

o Muchas compañías ofrecen a bancos y otras entidades que sufren de ataques de phishing, servicios de monitoreo continuos, analizando y utilizando medios legales para cerrar páginas con contenido phishing.

o Algunas entidades financieras en los países de habla hispana están ofreciendo dispositivos físicos para autenticar a las personas y las empresas en el momento de hacer la transacción electrónica, para evitar que sean suplantadas por haber sido víctimas de Phishing. Varias instituciones a nivel internacional están haciendo uso del Sistema e-Token, un dispositivo móvil parecido a una memoria USB, que integra la información del usuario a través de un sistema de encriptación definido desde fábrica, motivo por el cual ese aparato está registrado bajo un número único e integrado en una base de datos que la empresa tiene bajo su resguardo a fin de verificar la legalidad de los movimientos. La autenticación digital ha proliferado en su uso, los gobiernos de México y Chile emitieron una ley que promueve los certificados digitales para realizar declaraciones fiscales utilizando como medio Internet.


Respuestas legislativas y judiciales


o El 26 de enero de 2004, la FTC (Federal Trade Commission, "Comisión Federal de Comercio") de Estados Unidos llevó a juicio el primer caso contra un phisher sospechoso.

o El acusado, un adolescente de California, supuestamente creó y utilizó una página web con un diseño que aparentaba ser la página de América Online para poder robar números de tarjetas de crédito.

o Otros países de Europa y Brasil siguieron la práctica de los Estados Unidos, rastreando y arrestando a presuntos phishers.


En el sitio VCecommerce.com encontrará además de todos los videos de este curso, la mejor selección de videos en español sobre el tema de e-Commerce.


Comentarios

Añadir un comentario

Autor: Gabriel
Fecha: Viernes, 22 de enero de 2010
Hora: 20:07

Hola quisiera saber si me pueden borrar la ultima pregunta que hice sobre el concurso de la WII, Es que los datos, mi hermano los puso mal, la pregunta esta bien solo que puso mi DNI con su nombre i el email lo escribio mal i eso queria arreglar, La pregunta equivocada es de Sergio Secolo, yo me llamo Gabriel Secolo.Gracias espero su respuesta.