- Objetivos y Alcances
- Definición
- Historia
- Procedimiento para la protección
- Links de Interés
- Conclusiones
- Bibliografía
El objetivo de este trabajo es conocer una técnica llamada Phishing, la cual trata de vulnerar la seguridad informática, conociendo lo que es el phishing vamos a poder ser capaces de evitar que esta técnica maliciosa nos ataque y vamos a saber como prevenirnos de ella.
Entre los alcances, en este trabajo nos interesa puntualmente saber en que consiste esta técnica llamada phishing, sus orígenes y además conocer algunos procedimientos para protegernos de estos ataques.
Es la capacidad de duplicar una página web para hacer creer al visitante que se encuentra en la página original en lugar de la copiada. Normalmente se utiliza con fines delictivos duplicando páginas web de bancos conocidos y enviando indiscriminadamente correos para que se acceda a esta página a actualizar los datos de acceso al banco.
En ocasiones, el término "phishing" se dice que es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo.
De forma más general, el nombre phishing también se aplica al acto de adquirir, de forma fraudulenta y a través de engaño, información personal como contraseñas o detalles de una tarjeta de crédito, haciéndose pasar por alguien digno de confianza con una necesidad verdadera de tal información en un e-mail parecido al oficial, un mensaje instantáneo o cualquier otra forma de comunicación. Es una forma de ataque de la ingeniería social.
El término phishing fue creado a mediados de los años 90 por los crackers que procuraban robar las cuentas de
AOL. Un atacante se presentaría como empleado de AOL y enviaría un mensaje inmediato a una víctima potencial.
El mensaje pediría que la víctima revelara su contraseña, con variadas excusas como la verificación de la cuenta o confirmación de la información de la facturación. Una vez que la víctima entregara la contraseña, el atacante podría tener acceso a la cuenta de la víctima y utilizarla para cualquier otro propósito, tales como Spamming.
Hay también una red irlandesa del IRC llamada Phishy, aunque más antigua del uso de ese término para cualquier cosa ilegal
En esta modalidad de fraude, el usuario malintencionado envía millones de mensajes falsos que parecen provenir de sitios Web reconocidos o de su confianza, como su banco o la empresa de su tarjeta de crédito.
Dado que los mensajes y los sitios Web que envían estos usuarios parecen oficiales, logran engañar a muchas personas haciéndoles creer que son legítimos. La gente confiada normalmente responde a estas solicitudes de correo electrónico con sus números de tarjeta de crédito, contraseñas, información de cuentas u otros datos personales.
Para que estos mensajes parezcan aun más reales, el estafador suele incluir un vínculo falso que parece dirigir al sitio Web legítimo, pero en realidad lleva a un sitio falso o incluso a una ventana emergente que tiene exactamente el mismo aspecto que el sitio Web oficial. Estas copias se denominan "sitios Web piratas". Una vez que el usuario está en uno de estos sitios Web, introduce información personal sin saber que se transmitirá directamente al delincuente, que la utilizará para realizar compras, solicitar una nueva tarjeta de crédito o robar su identidad.
Phishing – Procedimiento para la protección
Al igual que en el mundo físico, los estafadores continúan desarrollando nuevas y más siniestras formas de engañar a través de Internet. Si sigue estos cinco sencillos pasos podrá protegerse y preservar la privacidad de su información.
1. Nunca responda a solicitudes de información personal a través de correo electrónico. Si tiene alguna duda, póngase en contacto con la entidad que supuestamente le ha enviado el mensaje.
2. Para visitar sitios Web, introduzca la dirección URL en la barra de direcciones.
3. Asegúrese de que el sitio Web utiliza cifrado.
4. Consulte frecuentemente los saldos bancarios y de sus tarjetas de crédito.
5. Comunique los posibles delitos relacionados con su información personal a las autoridades competentes.
Paso 1: nunca responda a solicitudes de información personal a través de correo electrónico
Las empresas de prestigio nunca solicitan contraseñas, números de tarjeta de crédito u otro tipo de información personal por correo electrónico. Si recibe un mensaje que le solicita este tipo de información, no responda.
Si piensa que el mensaje es legítimo, comuníquese con la empresa por teléfono o a través de su sitio Web para confirmar la información recibida. Consulte el Paso 2 para obtener información sobre las prácticas más adecuadas para acceder a un sitio Web si cree que ha sido víctima de una maniobra de "phishing".
Para obtener una lista de ejemplos de correo electrónico de "phishing" recibidos por algunos usuarios, consulte el Archivo del grupo antiphishing.
Paso 2: para visitar sitios Web, introduzca la dirección URL en la barra de direcciones
Si sospecha de la legitimidad de un mensaje de correo electrónico de la empresa de su tarjeta de crédito, banco o servicio de pagos electrónicos, no siga los enlaces que lo llevarán al sitio Web desde el que se envió el mensaje.
Estos enlaces pueden conducirlo a un sitio falso que enviará toda la información ingresada al estafador que lo ha creado.
Aunque la barra de direcciones muestre la dirección correcta, no se arriesgue a que lo engañen. Los piratas conocen muchas formas para mostrar una dirección URL falsa en la barra de direcciones del navegador. Las nuevas versiones de los navegadores hacen más difícil falsificar la barra de direcciones. Para obtener más información, consulte la información que se ofrece en el sitio Proteja su equipo.
Paso 3: asegúrese de que el sitio Web utiliza cifrado
Si no se puede confiar en un sitio Web por su barra de direcciones, ¿cómo se sabe que será seguro? Existen varias formas: En primer lugar, antes de ingresar cualquier tipo de información personal, compruebe si el sitio Web utiliza cifrado para transmitir la información personal. En los navegadores puede comprobarlo con el icono de color amarillo situado en la barra de estado, tal como se muestra en la figura 1.
Para ver el gráfico seleccione la opción "Descargar" del menú superior
Figura 1. Icono de candado de sitio seguro. Si el candado está cerrado, el sitio utiliza cifrado.
Este símbolo significa que el sitio Web utiliza cifrado para proteger la información personal que introduzca: números de tarjetas de crédito, número de la seguridad social o detalles de pagos.
Haga doble clic sobre el icono del candado para ver el certificado de seguridad del sitio. El nombre que aparece a continuación de Enviado a debe coincidir con el del sitio en el que se encuentra.
Si el nombre es diferente, puede que se encuentre en un sitio falso. Si no está seguro de la legitimidad de un certificado, no introduzca ninguna información personal. Sea prudente y abandone el sitio Web.
Existen otras formas de determinar si un sitio es seguro, como por ejemplo ver si la página posee un certificado de seguridad de algunas de las empresas proveedoras del mismo como por ejemplo Verisign.
Paso 4: consulte frecuentemente los saldos bancarios y de sus tarjetas de crédito
Incluso si sigue los tres pasos anteriores, puede convertirse en víctima de las usurpaciones de identidad. Si consulta sus saldos bancarios y de sus tarjetas de crédito al menos una vez al mes, podrá sorprender al estafador y detenerlo antes de que provoque daños significativos.
Paso 5: comunique los posibles delitos relacionados con su información personal a las autoridades competentes
Si cree que ha sido víctima de "phishing", proceda del siguiente modo:
Informe inmediatamente del fraude a la empresa afectada. Si no está seguro de cómo comunicarse con la empresa, visite su sitio Web para obtener la información de contacto adecuada. Algunas empresas tienen una dirección de correo electrónico especial para informar de este tipo de delitos.
Recuerde que no debe seguir ningún vínculo que se ofrezca en el correo electrónico recibido. Debe introducir la dirección del sitio Web conocida de la compañía directamente en la barra de direcciones del navegador de Internet.
Proporcione los detalles del estafador, como los mensajes recibidos, a la autoridad competente a través del Centro de denuncias de fraude en Internet. Este centro trabaja en todo el mundo en colaboración con las autoridades legales para clausurar con celeridad los sitios Web fraudulentos e identificar a los responsables del fraude.
Si cree que su información personal ha sido robada o puesta en peligro, también debe comunicarlo a la FTC y visitar el sitio Web de robo de identidades de la FTC para saber cómo minimizar los daños.
A continuación se detallan algunos links de interés relacionados al tema.
http://www.ifccfbi.gov/index.asp
En esta dirección nos encontramos con una organización que se dedica a recibir todos los reportes de delitos informáticos llevados a cabo a alguna persona, la victima lo único que tiene que hacer es denunciar que ha sido víctima de un delito y ellos lo registran en sus archivos.
Aquí podemos encontrar un grupo de trabajo dedicado a controlar y llevar estadísticas del phishing, para así proteger el e-commerce, y otras actividades relacionadas con las transacciones monetarias en Internet.
En este gráfico podemos encontrar una estadística con la cantidad de sitios que han sido reportados realizando phishing, esta estadística es semanal, y va desde Diciembre del 2004 hasta Marzo del 2005.
Una vez que ya hemos conocido lo que es el phishing, a parte de saber su existencia y significado, también gracias a este trabajo pudimos conocer un procedimiento para protegernos de caer en esta trampa, que sabemos que puede traer consecuencias muy negativas, como la entrega de datos personales, números de tarjetas de créditos con demasiadas consecuencias negativas para el propietario y además la pérdida de privacidad.
Internet:
http://es.wikipedia.org
http://www.microsoft.com/latam/seguridad/hogar/spam/phishing.mspx
Autor:
Marcelo Aguilera