QUE ES PISHING?

Phishing es un término informático que denomina un tipo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

Dado el creciente número de denuncias de incidentes relacionados con el phishing, se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica y campañas para prevenir a los usuarios con la aplicación de medidas técnicas a los programas.

 





 

ORIGEN

 

El término phishing proviene de la palabra inglesa "fishing" (pesca), haciendo alusión al intento de hacer que los usuarios "muerdan el anzuelo". A quien lo practica se le llama phisher. También se dice que el término phishing es la contracción de password harvesting fishing (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo, dado que la escritura 'ph es comúnmente utilizada por hackers para sustituir la f, como raíz de la antigua forma de hacking telefónico conocida como phreaking.

La primera mención del término phishing data de enero de 1996. Se dio en el grupo de noticias de hackers alt.2600, aunque es posible que el término ya hubiera aparecido anteriormente en la edición impresa del boletín de noticias hacker 2600 Magazine. El término phishing fue adoptado por quienes intentaban "pescar" cuentas de miembros de American On Line, una empresa de servicios de internet y medios con sede en Nueva York.

 

 

 





 

QUÉ TÉCNICAS UTILIZA?

El phishing puede producirse de varias formas, desde un simple mensaje a su teléfono móvil, una llamada telefónica, una web que simula una entidad, una ventana emergente, y la más usada y conocida por los internautas, la recepción de un correo electrónico. Pueden existir mas formatos pero en estos momentos solo mencionamos los más comunes;

- SMS (mensaje corto); La recepción de un mensaje donde le solicitan sus datos personales.

- Llamada telefónica; Pueden recibir una llamada telefónica en la que el emisor suplanta a una entidad privada o pública para que usted le facilite datos privados.

- Página web o ventana emergente; es muy clásica y bastante usada. En ella se simula suplantando visualmente la imagen de una entidad oficial , empresas, etc pareciendo ser las oficiales. El objeto principal es que el usuario facilite sus datos privados. La más empleada es la "imitación" de páginas web de bancos, siendo el parecido casi idéntico pero no oficial. Tampoco olvidamos sitios web falsos con señuelos llamativos, en los cuales se ofrecen ofertas irreales y donde el usuario novel facilita todos sus datos, un ejemplo fue el descubierto por la Asociación de Internautas y denunciado a las fuerzas del Estado: Web-Trampa de recargas de móviles creada para robar datos bancarios.

 

http://seguridad.internautas.org/html/1/425.html




Ejemplo de web falsa que simula una entidad bancaria;
http://seguridad.internautas.org/html/1/447.html





- Correo electrónico, el más usado y más conocido por los internautas. El procedimiento es la recepción de un correo electrónico donde SIMULAN a la entidad o organismo que quieren suplantar para obtener datos del usuario novel. Los datos son solicitados supuestamente por motivos de seguridad, mantenimiento de la entidad, mejorar su servicio, encuestas, confirmación de su identidad o cualquier excusa, para que usted facilite cualquier dato. El correo puede contener formularios, enlaces falsos, textos originales, imágenes oficiales, etc., todo para que visualmente sea idéntica al sitio web original. También aprovechan vulnerabilidades de navegadores y gestores de correos, todo con el único objetivo de que el usuario introduzca su información personal y sin saberlo lo envía directamente al estafador, para que luego pueda utilizarlos de forma fraudulenta: robo de su dinero, realizar compras, etc.



.

CÓMO FUNCIONA?

El mecanismo más empleado habitualmente es la generación de un correo electrónico falso que simule proceder de una determinada compañía, a cuyos clientes se pretende engañar. Dicho mensaje contendrá enlaces que apuntan a una o varias páginas web que imitan en todo o en parte el aspecto y funcionalidad de la empresa, de la que se espera que el receptor mantenga una relación comercial.

Respecto a la relación entre spam y phishing, parece claro que este tipo de mensajes de distribución masiva puede ser una eficiente forma de captación utilizada por los ciberdelincuentes. De hecho, uno de los métodos más habituales de contacto para la comisión de delitos informáticos es el correo electrónico.

Sin embargo, el canal de contacto para llevar a cabo estos delitos no se limita exclusivamente al correo electrónico, sino que también es posible realizar ataques de phishing a través de SMS, conocido como smishing, o de telefonía IP, conocido como vishing.

En el smishing el usuario recibe un mensaje de texto intentando convencerle de que visite un enlace fraudulento. En el vishing el usuario recibe una llamada telefónica que simula proceder de una entidad bancaria solicitándole que verifique una serie de datos.

¿Qué tipo de información roba? y ¿Cómo se distribuye?

(Haga clic en la imagen para agrandarla.)

.

 

Circuito de un ataque de phishing:

(Haga clic en la imagen para agrandarla.)

.

 

¿Cuánto podría a llegar a ganar un atacante?

(Haga clic en la imagen para agrandarla.)

.

QUÉ DAÑOS PUEDE CAUSAR?

DAÑOS CAUSADOS

Los principales daños causados por pishing son:

 

• Robo de identidad. Es un crimen en el cual un criminal finge ser otra persona asumiendo la identidad de la misma usando artefactos que aparentan acreditar la identidad de la víctima, como información confidencial, claves de acceso, comprobantes, identificaciones, etc. Usualmente este crimen tiene por finalidad el tener acceso a recursos y bienes que se obtienen o que están a nombre de la víctima, como tarjetas de crédito, préstamos bancarios, propiedades, etc.

 

 

• Perdida de productividad. Al ser victima de un ataque, las compañías tiene que invertir recursos tanto humanos como económicos y de infraestructura en la solución de los problemas que haya podido generar un ataque, además de actualizar su sistema de seguridad para poder prevenir futiros ataques, todo esto genera una baja en la producción de las compañías ya que al ser vulnerables no están en capacidad de realizar efectivamente todos sus procesos o actividades.

 

 

 

 

 

• Consumo de recursos de las redes corporativas. Según encuestas realizadas en Europa y Estados Unidos los empleados de las compañías gastan alrededor del 30% de sus horas de trabajo en asuntos privados. Analistas estiman que esto causa perdidas de millones de dólares anuales a las compañías. Y si los empleados, queriendo o sin querer, ayudan a realizar ataques de hacking o robo de identidad, causan daños a la reputación de la compañía o infringen sus derechos de autor, los costos pueden ser mayores.

  



 

CÓMO RECONOCER Y PREVENIR UN ATAQUE?

¿Cómo puedo reconocer un mensaje de phishing?

(Haga clic en la imagen para agrandarla.)

 

Distinguir un mensaje de phishing de otro legítimo puede no resultar fácil para un usuario que haya recibido un correo de tales características, especialmente cuando es efectivamente cliente de la entidad financiera de la que supuestamente proviene el mensaje.

El campo De: del mensaje muestra una dirección de la compañía en cuestión. No obstante, es sencillo para el estafador modificar la dirección de origen que se muestra en cualquier cliente de correo.

El mensaje de correo electrónico presenta logotipos o imágenes que han sido recogidas del sitio web real al que el mensaje fraudulento hace referencia.

El enlace que se muestra parece apuntar al sitio web original de la compañía, pero en realidad lleva a una página web fraudulenta, en la que se solicitarán datos de usuarios, contraseñas, etc.

Normalmente estos mensajes de correo electrónico presentan errores gramaticales o palabras cambiadas, que no son usuales en las comunicaciones de la entidad por la que se están intentando hacer pasar.

.

 

 

Consejos para protegerse del phishing:

La regla de oro, nunca le entregue sus datos por correo electrónico. Las empresas y bancos jamás le solicitaran sus datos financieros o de sus tarjetas de crédito por correo.

Si duda de la veracidad del correo electrónico, jamás haga clic en un link incluido en el mismo.

Si aún desea ingresar, no haga clic en el enlace. Escriba la dirección en la barra de su navegador.

Si aún duda de su veracidad, llame o concurra a su banco y verifique los hechos.

Si recibe un email de este tipo de phishing, ignórelo y jamás lo responda.

Compruebe que la página web en la que ha entrado es una dirección segura ha de empezar con https:// y un pequeño candado cerrado debe aparecer en la barra de estado de nuestro navegador.

Cerciórese de siempre escribir correctamente la dirección del sitio web que desea visitar ya que existen cientos de intentos de engaños de las páginas más populares con solo una o dos letras de diferencia.

Si sospecha que fue víctima del Phishing, cambie inmediatamente todas sus contraseñas y póngase en contacto con la empresa o entidad financiera para informarles.

Todos los usuarios del correo electrónico corremos el riesgo de ser víctimas de estos intentos de ataques. Cualquier dirección pública en Internet (que haya sido utilizada en foros, grupos de noticias o en algún sitio web) será más susceptible de ser víctima de un ataque debido a los spiders que rastrean la red en busca de direcciones válidas de correo electrónico. Éste es el motivo de que exista este tipo de malware. Es realmente barato el realizar un ataque de este tipo y los beneficios obtenidos son cuantiosos con tan sólo un pequeñísimo porcentaje de éxito.

La mejor manera de protegerse del phishing es entender la manera de actuar de los proveedores de servicios financieros y otras entidades susceptibles de recibir este tipo de ataques. Mantenerse informados con las nuevas tendencias y tipos de ataques de phishing en nuestro Blog, Foro, Facebook o Twitter podría ayudar a prevenirles.