 |
Llamamos phishing a una técnica de ingeniería social que se utiliza para engañar a los usuarios y obtener información confidencial, nombres, contraseñas, datos bancarios, etc.
El término alude al uso de técnicas que se han ido sofisticando con los años, y que se han orientado a obtener (pescar), datos financieros y contraseñas. La palabra también se relaciona con el lenguaje leet, que a grandes rasgos consiste en un lenguaje usado en la red por ciertas subculturas cibernéticas. A principios de la década de 1980, y a medida que Internet estaba cobrando vida, los hackers que no querían que sus sitios web, grupos de noticias, etc. fueran detectados en una simple búsqueda de palabras clave comenzaron a usar números para reemplazar ciertas letras (principalmente vocales) como por ejemplo la letra “A” que se substituye por un “4” o la letra “E” que se substituye por un “3”. En este contexto, cabe señalar que en algunos de los muchos dialectos del “leet” que se conocen, la letra “F”, suele substituirse por “PH”, es decir que a la palabra comúnmente usada para definir la práctica de la pesca en inglés (fishing), se le cambiaría la letra “f” inicial y esta sería substituida por “ph” quedando el término informático como “phishing”, o en leet; “ph1sh1ng”.
Se han elaborado teorías populares, es decir, sin amplio o nulo respaldo académico, sobre el hecho de que el término derive de una mezcla de palabras, o lo que es lo mismo, que se hayan mezclado dos palabras para obtener una tercera. Esta teoría plantea que el término nació para definir la práctica de la recolección de contraseñas, posiblemente mezclando las palabras password y fishing en el contexto del lenguaje leet.
De cualquier modo, el phishing como digo, es un tipo de estafa en la que un atacante intenta engañar a la víctima para que proporcione información personal, datos financieros o códigos de acceso, haciéndose pasar por una entidad confiable (banco, administración, etc.), en una comunicación digital. De hecho, la mayoría de las veces, se hace una copia exacta de un sitio web con el objetivo de hacer creer a la víctima que está en el sitio web oficial donde pensaba que se estaba conectando. La víctima ingresará así sus códigos personales que serán recuperados por la persona que creó el sitio falso, así tendrá acceso a los datos sensibles de la víctima y podrá sustraer todo lo que le interese. El ataque también puede llevarse a cabo por otros medios electrónicos.
 |
|
https://commons.wikimedia.org/wiki/File:Hardware_hacking.jpg |
Para cometer fraude electrónico, los delincuentes utilizan mensajes aparentemente reales. Los usuarios a menudo se sienten atraídos por comunicaciones que parecen provenir de redes sociales, sitios de subastas, bancos, procesadores de pagos en línea o compañías suministradoras de comunicaciones, telefonía, plataformas de televisión, internet, etc.
Los correos electrónicos bancarios son quizás el ejemplo más común. Un mensaje lo más real posible hace solicitudes para "volver a registrar" los datos bancarios, cambiar la contraseña electrónica u otra solicitud. Sin embargo, el usuario es dirigido a un sitio web falso, con la misma apariencia que el sitio web legítimo que pretende imitar para ingresar esta información personal.
Si bien este tipo de ataque es el más común, es decir, disfrazándose como un sitio web confiable para obtener información personal o aprovechando la desatención de ciertos usuarios, individuos malintencionados desarrollan e implementan métodos cada vez más sofisticados para cometer acciones ilegales, incluidas promociones falsas y sorteos, que prometen cantidades exorbitantes y ofertas irresistibles.
Para evitar la proliferación de estos delitos, es necesario involucrar legislación, capacitación de usuarios, conciencia pública y medidas técnicas de seguridad, ya que los ataques de phishing a menudo aprovechan las debilidades de la seguridad actual en la web.
En 2014, se estimó según la encuesta del MCSI, que el impacto económico global del phishing, podría llegar a 5 mil millones de dólares, pero sumando el coste de reparar el daño a la reputación en línea de las personas, esto sería más alto aún, y se estimaría en casi 6 mil millones de dólares.
La forma más sencilla de este tipo de ataque, aunque sería más correcto llamarlo estafa o ciberengaño, consiste en utilizar un nombre de dominio muy similar, con un ligero error gramatical o ortográfico que pueda pasar facilmente desapercibido, es decir, en lugar de "http://www.vamosalcirco.com" sería "http://www.vamosalcirca.com". El atacante habrá comprado previamente un nombre de dominio cercano al original ("http://www.vamosalcirca.com") como vemos, con una variante ortográfica. En este caso, el usuario está entrando en un sitio distinto al que cree acceder.
Otra variante es crear URL largas que dificulten la identificación del usuario. Un ejemplo simple puede ser: http//nobredetubanco.com/internet/eud=651656JFYDHJJUHGRedireccion:unnombremuylargoquenotevasaleer.dominiofalso.com. El usuario puede mirar al principio de la URL y creer que se encuentra en la región segura del sitio web de su banco, mientras que en realidad se encuentra en un subdominio del sitio web "dominiofalso.com".
De manera que verificar la dirección web en la barra de direcciones del navegador es el primer punto para no caer en este tipo de trampas.
 |
|
https://commons.wikimedia.org/wiki/File:Phising_attack.png |
Otro factor básico y muy importante en el phishing, es el correo eléctronico. El usuario malintencionado envía un mensaje de correo electrónico a un usuario, que simula en estética y contenido el de una institución conocida por el destinatario, por ejemplo su banco, su proveedor web, un sitio de subastas en línea en el que está registrado, etc .
Este mail casi siempre contiene avisos de problemas con su cuenta, por ejemplo un gran débito, vencimiento de la cuenta, o una oferta de dinero. El correo electrónico invita al destinatario a seguir un enlace presente en el mensaje, y aquí enlazaríamos con el punto anterior de las direcciones falseadas, por lo que para evitar que se le cobre la cuota, importe, interés o lo que sea, el usuario accederá al enlace, que le llevará al sitio comprado por el atacante.
Evidentemente, el enlace proporcionado no conduce al sitio web oficial, sino a una copia ficticia aparentemente similar al sitio web oficial, ubicada en un servidor controlado como decía por el phisher, con el fin de solicitar y obtener datos personales particulares del destinatario. Esto puede hacerse por ejemplo con un formulario que pedirá de una manera natural los datos del usuario, por ejemplo si se está suplantando a su banco, requiriendo información relativa a su cuenta bancaria. Esta información es almacenada por el servidor gestionado por el phisher y por tanto acaba en manos del atacante. El estafador utiliza estos datos para comprar bienes, transferir dinero o incluso simplemente como un "puente" para futuros ataques.
En ocasiones, el correo electrónico contiene una invitación para aprovechar una nueva "oportunidad de trabajo" como operador financiero o gerente financiero, que requiere de proporcionar los datos bancarios de la cuenta del usuario, para recibir el abono de sumas que supuestamente luego se reembolsan.
Muchas veces, el dinero que se extrae, se transfiere usando Western Union o Money Gram, y se retiene un porcentaje, que en ocasiones puede llegar a ser mucho dinero.
En realidad, se trata del dinero robado mediante phishing, por lo que el titular de la cuenta online beneficiaria, muchas veces de buena fe, comete el delito de blanqueo de capitales. Esta actividad implica para el estafador la pérdida de un cierto porcentaje de lo que roba. El dinero robado suele dispersarse en ocasiones en muchas cuentas corrientes, y se realizan transferencias en diferentes países, pues de esta forma se vuelve más difícil rastrear la identidad del estafador, y desmantelar la red delictiva. Además, si las transferencias involucran a varios países, los tiempos para la reconstrucción de las transacciones bancarias se alargan, ya que a menudo se requiere una rogativa y la apertura de un procedimiento con el poder judicial local de cada país en cuestión.
 |
|
https://commons.wikimedia.org/wiki/File:PhishingWaarschuwingFirefox18.png |
Otra variante en el phishing, que se ha vuelto muy popular, por su sencillez, es robar de tres a cuatro cuentas que estén disponibles dentro del ordenador al que se ha accedido. Una vez obtenida la información de varias personas (correos, PayPal, Amazon, Bitcoin, cuentas bancarias), se realizan operaciones fraudulentas a nombre de otra persona a la que se le ha robado también la cuenta. Estas estafas son relativamente fáciles ya que es relativamente sencillo el hackeo de ordenadores conectados a redes públicas (plazas, parques, hoteles, restaurantes), es casi imposible de rastrear, ya que las operaciones fraudulentas se realizan desde cuentas con permisos y usualmente utilizan aplicaciones para ocultar la dirección o redirigirla, el responsable real puede no ser acusado de robo ya que lo más probable es que el acusado sea el propietario de la cuenta que realiza el robo, que no es el culpable, ya que su cuenta también ha sido hackeada.
Las sumas de dinero obtenido por este sistema no suelen ser muy altas, menores a 50.000$, por lo que los bancos dedican poca atención a la víctima.
Debemos ser conscientes de la peligrosidad del phishing, y aprender a reconocerlo. Es necesario capacitar a los usuarios para que reconozcan las estafas de suplantación de identidad y lidien con ellas mediante una variedad de enfoques. Dicha educación puede ser eficaz, especialmente cuando la capacitación enfatiza el conocimiento conceptual y proporciona retroalimentación directa sobre las acciones tomadas por los usuarios. Por esta razón, muchas organizaciones ejecutan campañas de phishing simuladas que son regulares y se enfocan en su fuerza laboral para medir la efectividad de su capacitación.
El público en general también puede tomar medidas para prevenir las estafas de phishing modificando ligeramente sus hábitos de navegación. Cuando se le contacta sobre una cuenta que se supone que está "verificada" (o cualquier otro tema utilizado por los estafadores), es una precaución sensata ponerse en contacto con la empresa de la que aparentemente se origina el correo electrónico para verificar que el mensaje es legítimo. Alternativamente, la dirección que la persona sabe que es el sitio web genuino de la empresa se puede escribir en la barra de direcciones del navegador, en lugar de depender de cualquier hipervínculo incluido en el mensaje sospechoso de phishing. Sospechoso.
 |
|
https://commons.wikimedia.org/wiki/File:Phising_attack.png |
Casi todos los mensajes de correo electrónico legítimos de las empresas a sus clientes contienen un elemento de información que no está disponible públicamente para que los usen los phishers. Algunas empresas, como PayPal, siempre se dirigen a sus clientes por su nombre de usuario en los correos electrónicos; por lo tanto, si un correo electrónico se dirige al destinatario de una manera genérica ("Estimado cliente de PayPal"), es probable que se trate de una estafa de phishing. Además, PayPal ofrece varios métodos para determinar correos electrónicos falsos y aconseja a los usuarios que reenvíen correos electrónicos sospechosos a su dominio spoof@PayPal.com para investigar y notificar a otros clientes.
No es seguro asumir que la presencia de información personal garantiza que un mensaje sea legítimo. Algunos estudios han demostrado que la presencia de información personal no afecta significativamente la tasa de éxito de los ataques de phishing, lo que sugiere que la mayoría de las personas no prestan atención a esos detalles.
Los correos electrónicos de bancos y compañías de tarjetas de crédito suelen incluir números de cuenta parciales. Sin embargo, las investigaciones muestran que el público normalmente no distingue entre los primeros dígitos y los últimos dígitos de un número de cuenta, un problema importante, ya que los primeros dígitos suelen ser los mismos para todos los clientes de una institución financiera.
Un artículo de Forbes de agosto de 2014 sostiene que la razón por la que los problemas de phishing persisten incluso después de una década de vender tecnologías anti-phishing es que el phishing es "un medio tecnológico para explotar las debilidades humanas" y que la tecnología no puede compensar completamente estas debilidades. Además, aún no es posible obtener respuestas completamente automatizadas, ya que el nivel de detección aún está muy por debajo de lo necesario.
Escucha elpodcast Radiografia de la conspiranoia Temporada 1 – 1 Phishing:
Este es un podcast de Cesc Fortuny i Fabré, de divulgación académica y científica sobre las teorías de la conspiración, así como sectas, estafas y pseudociencias. También brinda información sobre ingeniería social, y como protegerse de ella.
Este capítulo trata sobre el phishing y algunos trucos para evitar este tipo de ataques, perteneciente a la serie dedicada a la ingeniería social.
http://radiografiadelaconspiranoia.blogspot.com
https://www.facebook.com/R.Conspiranoia
RSS: https://www.ivoox.com/radiografia-conspiranoia_fg_f11186055_filtro_1.xml
Spotify: https://open.spotify.com/show/5XDO8JgZpfUmuU5KoqWAZP
Links del podcast:
- Verizon annual reports
- Phishing: la automatización de la ingeniería social
- El delito informático de Phishing
Cap comentari:
Publica un comentari a l'entrada
Escribe con una correcta ortografía, gramática/sintaxis, y puntuación. Si quieres difundir tus creencias, tienes otros espacios para hacerlo. Los insultos y las descalificaciones no se publicarán. Será bienvenido cualquier comentario que sin ser offtopic, sea respetuoso y aporte algo positivo, o corrija algún error que pueda haber cometido, pero siempre dando referencias a revistas especializadas. Para más información visita la sección AVISO! Del menú principal.