fraudes informaticos
TRANSCRIPT
La tecnología no se ha ocupado
solamente para el beneficio del
hombre, sino que algunos individuos
sin escrúpulos han traspasado los
límites de la seguridad y han
realizado actos ilícitos.
La Organización de las Naciones
Unidas (ONU) define tres tipos de
delitos informáticos:
Fraudes cometidos mediante
manipulación de computadoras.
Manipulación de los datos de
entrada.
Daños o modificaciones de
programas.
Es un término que se emplea paradescribir el cambio de compañíade telecomunicaciones (telefonía,Internet, etc) sin la autorizacióndel cliente.
Hágase preguntas del tipo, ¿quién se ha puesto encontacto con quién? Si se ponen en contacto con ustedpara ofrecerle una promoción que debe firmar en untiempo limitado antes de perderla es posible que leestén forzando a tomar una decisión precipitada sinsaber realmente si le interesa la promoción.
¿CÓMO PODEMOS INTUIR QUE
ESTAMOS SIENDO VÍCTIMAS DE
SLAMMING?
¿CUÁNDO NOS DAMOS CUENTA
DEL FRAUDE?
Normalmente cuando dejamos de recibir elservicio con nuestra operadora, que es cuandollamamos y nos dicen que no estamos en la basede datos como clientes.También se puede detectar cuando nuestraoperadora nos llama para lanzarnos unacontraoferta o una promoción para“recuperarnos” como clientes. O, sencillamente,cuando nos llega la factura de un operador hastaahora no habitual.
Se recomienda ser muy cautos en la conversacióntelefónica mantenida con el interlocutor. Lo mejores mantenerse firme en las respuestas.
Póngase en contacto con la compañía y verifiqueque esa promoción, oferta o producto se ajusta alos parámetros que le han indicado anteriormente.
Si recibe información a través del correoelectrónico, asegúrese de leer con cuidado toda lainformación antes de devolver la autorizaciónaceptando la oferta.
Revise su factura telefónica cuidadosamente. Si veel nombre de una compañía nueva, llameinmediatamente a su operador y soliciteinformación.
¿CÓMO PODEMOS EVITARLO?
Primero al servicio de atención al cliente de su operador. Para ellocuenta con un mes de plazo para presentar una reclamación desde quese ha recibido la notificación del cambio de Compañía. Si no lesolucionan el problema el siguiente paso es acudir a la Oficina deAtención al Usuario de Telecomunicaciones llamando al teléfono901366699.
¿A QUIÉN RECLAMAMOS SI HEMOS
SIDO VÍCTIMAS DE UN SLAMMING?
DEFINICIÓN
El Scaneo de puertos pertenece a la Seguridad Informática desde que erautilizado en los sistemas de telefonía.La idea básica es simple: llamar a un número y si el módem devuelve unmensaje de conectado, grabar el número. En otro caso, la computadoracuelga el teléfono y llama al siguiente número.
TIPOS DE SCANNING
• Si el puerto está escuchando, devolverá unarespuesta de éxito; cualquier otro casosignificará que el puerto no está abierto o que nose puede establecer conexión con él.
TCP CONNECT
SCANNING
• Cuando dos procesos establecen unacomunicación usan el modelo Cliente/Servidor.
• La aplicación del Servidor "escucha" todo lo queingresa por los puertos.
• El Cliente establece la conexión con el Servidor através del puerto disponible para luegointercambiar datos.
TCP SYN SCANNING
DEFINICIÓN
El objetivo es capturar la información codificada en la banda magnéticautilizando dispositivos físicos o equipos para después producir tarjetas clonadascon el fin de utilizarlas en forma fraudulenta.A tener en cuenta: Brasil, México, Colombia y Argentina son algunos de los paísesde América Latina en donde más se están realizando fraudes a través de cajerosautomáticos.
EL SKIMMING EN LOS CAJEROS
AUTOMÁTICOS
Los delincuentes utilizan diversos métodos ydispositivos para robar los datos de la cuenta de latarjeta y también el PIN del cliente. Teniendo ya ensus manos los datos de la pista de la bandamagnética y los PINes, los delincuentes producentarjetas clonadas y las distribuyen a corredores queson empleados por grupos organizados con elobjetivo de sacar dinero de las cuentas de lostarjetahabientes.
Para poder perpetrar el skimming con éxito, serequiere un dispositivo llamado “skimmer” y undispositivo para capturar el PIN.
MÉTODOS
Métodos de Skimming:
SKIMMERS
• Están diseñados para que sepuedan colocar sobre laabertura o “boca” del lectorde tarjetas del cajeroautomático.
• Recoge informaciónincluyendo su nombre,dirección, número deteléfono, el número de sutarjeta, su límite de crédito ysu número PIN.
ATAQUES DE MALWARE
• El atacante puede implantarel malware después decomprometer la seguridaddel cajero automático físicoo del software que hacefuncionar la máquina.
• Le dan al atacante lahabilidad de dispensarefectivo y elegir ladenominación de billetesque desean dispensar.
Métodos para Capturar el PIN
CÁMARA
ESTENOPEICA
•Consiste en instalaruna cámaraestenopeica cerca delcajero automático lacual graba en video altarjetahabientemientras ingresa suPIN.
•La imagen de video sealmacena o transmitea un dispositivoreceptor situado a unmáximo de cienmetros.
TECLADO DE PIN
FALSO
•Se coloca sobre elteclado de PINlegítimo.
•El perpetrador delfraude se hace pasarpor un técnico y alterael teclado de PIN.
ESPIAR AL USUARIO
POR ENCIMA DEL
HOMBRO
•Se obtienen espiandopor encima delhombro a la víctimadel fraude mientrasestá ingresando suPIN.
Otros Métodos para Robar Tarjetas en Cajeros Automáticos
DISTRAER AL USUARIO
•El perpetrador provoca algúntipo de situación para distraer eltarjetahabiente.
•El skimming se realiza utilizandoun dispositivo de mano mientrasel tarjetahabiente está distraído.
EL “BUEN
SAMARITANO”
•Utilizando una banda o mangade metal o plástico, se bloquea laranura que dispensa el efectivoen el cajero automático.
•Cuando el cajero no dispensa losfondos, el “Buen Samaritano”sugiere ingresar de nuevo el PINmientras él observa. La máquinaretiene la tarjeta insertada. Elperpetrador del fraude larecupera después que eltarjetahabiente se marcha.
PREVENCIÓN
1. PREVENCIÓN DEL SKIMMING EN CAJEROS
AUTOMÁTICOS
Realizar Inspecciones Regulares de los CajerosAutomáticos:
Inspecciones físicas de rutina cada vez quese reponga el efectivo o durante losmantenimientos.
Inspeccionar para detectar cualquieraccesorio o dispositivo pegado o instaladoen los cajeros automáticos.
Fortalecer la seguridad del sistemaoperativo y software de los cajerosautomáticos.
Implementación de Controles de Adquirente:
Instalar cámaras de televisión de circuito cerrado(CCTV).
Equipar los cajeros automáticos con características“anti-skimming”: Lector de Tarjetas “Jitter”, Panel Anti-Skimmer, Dispositivo emisor de interferencias defrecuencias radiales.
Consideraciones del Adquirente:
Recuperar las imágenes de las cámaras de televisión decircuito cerrado que correspondan a retiros de efectivoconfirmados como fraudulentos.
Monitorear en tiempo real para detectar actividadessospechosas .
2. PREVENCIÓN DEL FRAUDE EN CAJEROS
AUTOMÁTICOS
Consideraciones del Emisor:
Establecer límites diarios de efectivo y número deretiros por tarjeta para la actividad en los cajerosautomáticos.
Investigar todas las quejas de los clientes paradeterminar si podrían deberse al skimming.
Alertar a las autoridades locales de inmediato encaso de sospechar que ha ocurrido un incidenterelacionado con el skimming.
SISTEMAS ANTI-SKIMMING
Existen sistemas anti-skimming los cuales permiten bloquear elingreso de las tarjetas cuando detecten un dispositivo en la entradadel lector de tarjetas. También existen sistemas electrónicosantifraude, diseñados con sensores ópticos e infrarrojos contecnología tipo barrera y reflexivo, los cuales cumplen la función dedetectar y anular la lectora cuando detecte alrededor de esta undispositivo fraudulento.
Dispositivo antiskimming Ebrax
1033
Inmediatamente que quede trabada la tarjeta, llamar a la líneatelefónica correspondiente y darle de baja para evitar que alguiendetrás pueda trasladar los datos a través de este sistema a unatarjeta clon.
¿QUÉ HACER SI ERES VÍCTIMA
DEL SKIMMING?
HISTORIA
El término fue acuñado en 1996 por los hackers que, en aquelentonces, robaban cuentas de usuario deAméricaOnline (AOL).El término viene a rendir homenaje a la primera forma de hackingdocumentada: el “phreaking”. Este delito consistía en el pirateo delos sistemas de telefonía con el objetivo final de no pagar por elservicio y el término fue popularizado por el primer hackerinformático, John Draper.
DEFINICIÓN
Es una forma de ingeniería social, se basan en correos electrónicosengañosos que conducen a los consumidores a sitios web falsosdiseñados para estafar a los destinatarios para que divulguen datosfinancieros tales como números de tarjetas de crédito, nombres deusuario de cuentas, contraseñas y números de la seguridad social.
Lo que diferencia al phishing de otros tipos de fraude es quecombina cuatro elementos fundamentales:
• Explota las debilidades de los individuos paraengañarles y hacer que actúen contra suspropios intereses.
Ingeniería social
• Las tecnologías de la información sonutilizadas para desarrollar los ataques dephishing.
Automatización
• Usan redes de comunicación, especialmenteInternet.
Comunicación electrónica
• Requiere que los delincuentes suplanten auna empresa legítima o a una agenciagubernamental.
Suplantación
¿CÓMO FUNCIONA?
A través de un mensaje electrónico, simulando proceder de una fuente fiable(por ejemplo, de tu banco), se intentan recoger los datos necesarios paraestafar al usuario.La modalidad que más éxito ha tenido para quienes cometen el fraude consisteen enviar el e-mail, y dentro del mismo colocar un link o vínculo que aparentadireccionar al usuario al web site original pero que en realidad lo transporta auna página falsa en donde le piden que ingrese su password y datos de cuenta ousuario.Otras veces el mismo mail te pide que rellenes los datos y pulses “enviar”, sinnecesidad de redireccionarte a otra página.
TIPOS DE PHISHING
1. Phishing engañoso – Deceptive Phishing: envío masivo de un correoelectrónico en el que es suplantada una empresa de confianza para elreceptor. Existen dos variantes: El vishing: uso de un tipo de software denominado “war dialers” cuya
función es realizar la marcación de teléfonos desde un ordenador. Tratande convencer al usuario de que visite un sitio web para dar sus datospersonales o que directamente “confirme” sus datos en la misma llamada.
El smishing: Trata de embaucar a los usuarios a través de mensajes detexto a móviles.
2. Phishing basado en software malicioso: El ataque debe conseguir, que elusuario realice alguna acción que permita la ejecución del malware en sumáquina. Existen distintos tipos de programas diseñados para robar datos:Los keyloggers son programas que graban todo lo que se teclea en elordenador y, posteriormente, lo envía al delincuente. Los screenloggers,capturan imágenes de la pantalla que son remitidos al atacante.
Troyanos web: Son programas maliciosos que hacen creer al usuario queestá introduciendo la información en el sitio web real, cuando en realidadlo están introduciendo en este software que, posteriormente, remite losdatos al delincuente.
Robo de datos: También existen códigos maliciosos cuya finalidadconsiste en recabar información confidencial almacenada dentro de lamáquina en la que se instalan.
4. Phishing basado en el DNS o “Pharming”: modifica de forma noautorizada la resolución del nombre de dominio enviando al usuario a unadirección IP distinta.
5. Phishing mediante introducción de contenidos: Consiste en introducircontenido malicioso dentro de un sitio web legítimo. Puede tener diversasmodalidades: redirigir a los visitantes a otra página, instalar algún tipo demalware en el ordenador.
6. Phishing mediante la técnica del intermediario: Posicionamiento delphisher entre el ordenador del usuario y el servidor web legítimo. De estemodo el delincuente se hace con la capacidad de leer, e incluso modificar lainformación que se transfiere.
7. Phishing de motor de búsqueda: Los delincuentes crean páginas webpara productos o servicios falsos y esperan a que los usuarios visiten laspáginas para realizar compras y, por tanto, proporcionen informaciónconfidencial o directamente realicen transferencias bancarias.
• A quién va dirigido el ataque, cómo y dóndese va a realizar, cuál es el objetivo del fraude,quémedios necesitará para hacerlo, etc.
PLANIFICACIÓN
• Los delincuentes deben conseguir el software,los datos de contacto, localizar los destinos desus ataques, preparar sus equipos, construirlos sitios web diseñados para efectuar elfraude y otras tareas.
PREPARACIÓN
• Acciones como abrir un correo electrónico,visitar una página web o realizar unabúsqueda, son acciones necesarias para que elataque se consuma.
ATAQUE
• Una vez instalado el código en la fase anteriores necesaria su ejecución para conseguir losdatos.
RECOGIDA DE
DATOS
• Una vez recogidos los datos, el siguiente pasoefectuado por los delincuentes es larealización de la estafa, bien de forma directao bien vendiendo los datos robados.
EJECUCIÓN DEL
FRAUDE
• Eliminar las pistas que hayan quedado.FASE DE POST-
ATAQUE
RECOMENDACIONES
Sospechar ante cualquier correo electrónico que
solicite información personal.
Nunca proporcionar información como nombres de
usuario, contraseñas, número de tarjetas de crédito o
fechas de caducidad, vía telefónica ni vía correo
electrónico.
No utilizar los enlaces incluidos en correos electrónicos
de dudosa precedencia, para ellos es recomendable
dirigirse a la página web de entidad o la empresa de
forma directa.
Que siempre el navegador web, este actualizado y que
cuente con los parches de seguridad instalados.
REPERCUSIÓN DEL PHISHING
• En la actualidad, los casos más graves de phishing se hanproducido en Estados Unidos.
• En España se han dado, por el momento, casos en Banco Pastor,Banco Popular y Banesto.
• Según las cifras de un estudio patrocinado por Lacnic, fechadoen julio del 2013 el país de América Latina más afectado por losdelitos cibernéticos es Brasil, seguido por Argentina, Colombia,México yChile, en ese orden.
• En Estados Unidos se ha creado la “Anti-Phishing WorkingGroup”(APWG). Es una asociación de industrias cuyo principalobjetivo es acabar con el robo de identidad y fraudes resultantesdel creciente problema del phishing.
Del mismo modo que muchas
aplicaciones, funcionalidades y
servicios se han trasladado al mundo
Internet, lamentablemente, el
desarrollo de las tecnologías, ha
supuesto un nuevo entorno para la
delincuencia, aprovechándose de
las potencialidades que brinda este
nuevo medio de comunicación. Así,
se ha producido una evolución
tecnológica de las estafas
tradicionales, como son el Skimming y
el Phishing.
Por ello es necesaria una buena
formación en relación a los buenos
usos y abusos que se producen en la
Red.