pedro lorenzo riveiros máster en informática...
TRANSCRIPT
Pedro Lorenzo Riveiros
Máster en Informática
Seguridad en Sistemas de Información 2008
11 ÍÍnnddiiccee
1 Índice _____________________________________________________ 2
2 Índice de Figuras____________________________________________ 3
3 Introducción________________________________________________ 4
4 Historia____________________________________________________ 5
5 Concepto General ___________________________________________ 7
6 Funcionamiento del phishing __________________________________ 8
6.1 Cuadro detallado del proceso de phishing________________________ 10
7 Características _____________________________________________ 12
8 Tipos de Phishing __________________________________________ 13
8.1 Phishing engañoso ___________________________________________ 13
8.2 Phishing basado en software malicioso __________________________ 14 8.2.1 Keyloggers y Screenloggers ________________________________________15 8.2.2 Secuestradores de sesión ___________________________________________15 8.2.3 Troyanos Web __________________________________________________16 8.2.4 Ataques de reconfiguración del sistema _______________________________16 8.2.5 Robo de datos ___________________________________________________16
8.3 Phishing basado en el DNS o “Pharming”________________________ 16
8.4 Phishing mediante introducción de contenidos ___________________ 17
8.5 Phishing mediante la técnica del intermediario ___________________ 18
8.6 Phishing de motor de búsqueda ________________________________ 19
9 Clasificación del phishing____________________________________ 20
10 Reconocer un mensaje phishing _______________________________ 21
11 Recomendaciones de seguridad para combatir el phishing__________ 23
12 Ejemplos de casos reales _____________________________________ 29
12.1 Contextualización ___________________________________________ 29
12.2 Banco Santander Central Hispano______________________________ 29 12.2.1 Ejemplo Banco Santander Central Hispano ____________________________30
12.2.1.1 Pasos del ataque phishing ______________________________________30 12.2.2 Consejos del Banco Santander ______________________________________33
12.3 Banco Caja Madrid __________________________________________ 34 12.3.1 Ejemplo Banco Caja Madrid________________________________________34 12.3.2 Consejos del banco Caja Madrid_____________________________________35
13 Bibliografía _______________________________________________ 36
22 ÍÍnnddiiccee ddee FFiigguurraass
Figura 1: Anti-Phishing __________________________________________ 6
Figura 2: Fases del ataque phishing _______________________________ 10
Figura 3: Fases del ataque pharming_______________________________ 17
Figura 4: Cuadro clasificación del phishing _________________________ 20
Figura 5: Ejemplo de phishing. ___________________________________ 22
Figura 6: Certificado Digital de servidor.____________________________ 23
Figura 7: Certificado de seguridad (mail.ucv.udc) ____________________ 24
Fugura 8: Logo Verisign_________________________________________ 24
Figura 9: Cambio entre conexión segura y no segura._________________ 26
Figura 10: Formulario de autenticación de la entidad Caixanova. _______ 27
Figura 11: Logo Verisign Secured _________________________________ 29
Figura 12: Correo phishing Banco Santander________________________ 31
Figura 13: Página fraudulenta creada por los estafadores: _____________ 32
Figura 14: Página oficial del banco: _______________________________ 32
Figura 15: Mensaje de error ______________________________________ 33
Figura 16: Logo Ministerio de Industria, Turismo y Comercio __________ 33
Figura 17: Logo Asociación de Internautas__________________________ 33
Figura 18: Logo Verisign Secured _________________________________ 34
Figura 19: Correo phishing Caja Madrid ___________________________ 35
33 IInnttrroodduucccciióónn
Los fraudes y estafas financieras a través de Internet se han hecho muy frecuentes en estos últimos años, gracias a la creciente popularización de servicios como la banca electrónica o el comercio basado en el Web. De hecho, se ha acuñado el termino “phishing” (también conocido como “carding” o “brand spoofing”) para referirse al tipo de ataques que tratan de obtener los números de cuenta y las claves de acceso a determinados servicios de Internet y, en especial a los servicios de banca electrónica, para realizar con ellos operaciones fraudulentas que perjudiquen a los legítimos propietarios de dichas cuentas. Para ello, generalmente se utilizan páginas Web falsas que imitan a las originales de los servicios bancarios que pretenden suplantar [[EESSII0066]] [[RRLLPP0088]].
De hecho, la proliferación de los casos de “phishing” en estos últimos años forman parte de una nueva generación de ataques que en lugar de acceder al sistema con intenciones maliciosas, introducir un virus que puede provocar el mal funcionamiento del computador, destruir los datos o bloquear el acceso a los equipos informáticos pretenden justo lo contrario: recopilar datos valiosos sobre los usuarios, los cuales envían información personal y confidencial de forma voluntaria, animados mediante técnicas de engaño, y tomar el control de sus equipos para poder llevar a cabo operaciones fraudulentas y estafas electrónicas.
44 HHiissttoorriiaa
La palabra “phishing” se basa en una analogía: los estafadores de Internet usan pequeños anzuelos cada vez más sofisticados para "pescar" las contraseñas y los datos financieros de los usuarios del Internet. Quien lo practica es conocido con el nombre de “phisher” [[EESSII0066]] [[EENNTT0044]] [[UUNNNNEE0066]] [[BBDDHH0088]] [[NNAAPP0088]].
“Phishing” se encuentra relacionado con el denominado “Phreaking”, acuñado en la década de los 60, para hacer referencia a los intrusos y espías telefónicos. También se dice que el término "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo. Son posibles traducciones apropiadas en español los términos anzuelo o estafa electrónica.
El termino “phishing” fue acuñado a mediados de los años noventa por los crackers que intentaban robar las cuentas de los clientes del proveedor de acceso a Internet America Online (AOL) aunque el término apareció tempranamente en la edición impresa del boletín de noticias hacker “2600 Magazine”. En este caso, el timador se presentaba como empleado de esta empresa y enviaba un mensaje de correo a una posible víctima, solicitando que relevara su contraseña para verificar el estado de su cuenta o confirmar la facturación. Una vez que la víctima entregaba las claves, el atacante podría tener acceso a la cuenta de ésta y utilizarla para sus propósitos ilícitos. En 1997, AOL reforzó su política respecto al “phishing” y fueron terminantemente expulsados de los servidores de AOL.
Durante ese tiempo el “phishing” era tan frecuente que decidieron añadir en su sistema de mensajería instantánea, una línea que indicaba que "no one working at AOL will ask for your password or billing information" ("nadie que trabaje en AOL le pedirá a usted su contraseña o información de facturación"). Simultáneamente AOL desarrolló un sistema que desactivaba de forma automática una cuenta involucrada en “phishing”, comúnmente antes de que la víctima pudiera responder.
Diez años después de estos primeros incidentes, los cacos de “phishing” se han extendido cada vez más, afectando a numerosas entidades financieras del mundo: eBay (diciembre de 2002), BBVA (mayo de 2003), Barclays (septiembre de 2003), Banesto (enero y septiembre de 2004), Banco Popular (febrero de 2004), CajaMadrid (marzo de 2005) o Cajamar (marzo de 2005).
Cabe resaltar que aun cuando más del 90% de las campañas de “phishing” están orientadas hacia el sector financiero, también se han registrado ataques a sistemas de comercio electrónico como eBay y PayPal, a servicios de reservaciones como Expedia.com, y a varios almacenes comerciales entre otros.
Se puede obtener una relación completa y actualizada de los casos de “phishing” en direcciones de Internet como por ejemplo [[FFWWII0088]], o [[AAPPHH0088]].
FFiigguurraa 11:: AAnnttii--PPhhiisshhiinngg
55 CCoonncceeppttoo GGeenneerraall
“Phishing” es una modalidad de estafa diseñada con la finalidad de suplantar la identidad de una persona. Es la técnica utilizada por los ladrones para robar información personal y acceder a sus cuentas financieras mediante la adquisición información confidencial de forma fraudulenta, como puede ser información personal detallada sobre tarjetas de crédito, una contraseña u otra información bancaria [[SSSSSSVV0066]] [[MMCCSS0088]] [[SSIINN0088]] [[DDAAGG0088]] [[NNAAPP0088]].
Para entender “phishing” recordemos que se trata de un término muy similar al de la palabra inglesa “fish” que significa “pescar” haciendo alusión al acto de pescar usuarios mediante carnadas o señuelos fabricadas por los “phishing” cada vez más sofisticados. Un pescador lanza un sedal en el agua repetidamente con un cebo; el cebo es una pieza de un aparejo de pesca que parece un sabroso pez más pequeño, pero en realidad es un desagradable anzuelo. Al final, el cebo capta la atención de un pez que pica. El pez engañado se engancha al anzuelo y se encuentra con la muerte en una sartén con una pizca de eneldo.
El “Phishing” es algo parecido, pero sin eneldo. El “phisher”, que es como se denomina a quien lo practica, utiliza el correo electrónico (o algunas veces con un mensaje emergente en la Web) como su cebo. Lanza miles de e-mails que están diseñados para engañar a los destinatarios y sacarles información personal como la identificación y la contraseña de usuario utilizada para acceder a las cuentas bancarias.
Los “phisher” utilizan una variedad de e-mails para engañar a sus incautas víctimas. Uno de los más comunes es el e-mail que dice provenir de una compañía o entidad con la que trabaja: quizá su proveedor de Internet, un servicio de pago online o una agencia gubernamental. Muchas veces, los “phisher” fingen ser su banco. El e-mail incluye la marca y los logos de la compañía, y tiene el estilo de una comunicación típica de una institución real. Irónicamente, algunas veces incluso incluye advertencias para protegerse contra el fraude.
Los ataques de “phishing” causan mayores estragos entre los usuarios principiantes de servicios de comercio y banca electrónica, quienes podrían considerar 'normal' el recibir un correo electrónico solicitándoles ir a un sitio para ingresar su información.
Dado el creciente número de denuncias de incidentes relacionados con el mundo de los “phishing” se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica, campañas para prevenir a los usuarios y con la aplicación de medidas técnicas a los programas.
66 FFuunncciioonnaammiieennttoo ddeell pphhiisshhiinngg
El “phishing” puede producirse de varias formas, desde un simple mensaje a un teléfono móvil, una llamada telefónica, una Web que simula una entidad, una ventana emergente, y la más usada y conocida por los internautas, la recepción de un correo electrónico [[SSSSSSVV0066]] [[EESSII0066]] [[PPSSCC0088]] [[RRLLPP0088]].
En los intentos de fraude a clientes de entidades financieras, el modus operandi, más habitualmente empleado, consiste en el envío de un correo electrónico falso, que simula proceder de un determinado banco en cuestión, a cuyos clientes se pretende engañar, solicitando datos personales de la víctima y sus claves de acceso a la entidad. Este tipo de mensajes contendrá enlaces con la intención de redirigir a la víctima a una página Web con la apariencia del banco (mismo diseño y logos) de la que se espera que el receptor mantenga una relación comercial con la empresa, pero que resulta ser falsa, para poder capturar sus claves de acceso.
En realidad esta modalidad se trata de mensajes masivos. Los estafadores no saben cuál es el banco de cada persona y por ello crean un mail con la apariencia corporativa del banco escogido y se envía masivamente. La realidad es que alguno de esos mensajes llegará a alguien que pertenezca a ese banco.
Normalmente se trata mensajes con textos como: ”Por motivos de seguridad…”, o “Su cuenta se debe confirmar…”, o “Usuarios del banco advierten”, indicando al usuario que se están realizando cambios y que por seguridad debe introducir sus datos personales y códigos bancarios pinchando en un link que ellos indican. Al pinchar se redirecciona a una página con gran similitud a la del banco habitual. La verdad es que esa página pertenece al estafador, quien no tiene más que copiar los datos que el usuario rellena. Al finalizar confirma la operación y la persona que se queda tranquilo pensando que esos datos los ha recogido el banco sin menor problema.
Otras veces el mismo mail pide rellenar los datos y pulsar “enviar”, sin necesidad de redireccionar a otra página.
La sorpresa en ambos casos llegará cuando la cuenta bancaria está a cero, y el banco informe que la persona ha sido víctima de una estafa denominada “phishing”.
Los principales daños provocados por el “phishing” son:
• Robo de identidad y datos confidenciales de los usuarios: Aunque las víctimas del “phishing” generalmente sufren un único golpe, en el cual la cuenta corriente se vacía, la adquisición de información personal podría
llevar a un robo de identidad más grave. Las personas cuyas identidades han sido robadas pueden pasar años intentando arreglar el lío que han hecho en su nombre y en su historial de crédito. Una situación de este tipo puede llegar a trastocar su modo de vida, pérdidas económicas e incluso ser acusado injustamente de crímenes que no ha cometido.
• Pérdida de productividad.
• Consumo de recursos de las redes corporativas (ancho de banda, saturación del correo, etc.).
• Pérdida económica: El resultado más probable del “phishing” es ser estafado y perder el dinero del banco o de sus cuentas financieras.
• Crédito incobrable: Si un astuto “phisher” andas tras una manera de obtener crédito, como una tarjeta de crédito o una línea de crédito, le endeuda y le deja tirado para que pague la cuenta.
También podemos considerar dentro de este tipo de ataques la difusión de correos electrónicos con ofertas falsas o engañosas, así como la publicación de falsas noticias en foros y grupos de noticias, con distintas intenciones, como podría ser el caso de tratar de alterar el valor de las acciones de una empresa (de hecho, ya se han producido varias de estas actuaciones en Estados Unidos y en Europa).
Por otra parte, el “pharming” es una variante del “phishing” en la que los atacantes utilizan un virus o troyano que es capaz de conectar a las víctimas desde su ordenador a páginas falsas en lugar de a las legítimas correspondientes a sus propias entidades financieras, para sustraer sus datos, en especial sus números de cuenta y las claves de acceso y de operación. Además, el “pharming” y el “phishing” también pueden ser empleados para robar y utilizar de forma fraudulenta números de tarjetas de crédito. Entre los primeros virus y troyanos en explotar esta nueva forma de estafa electrónica podemos citar al conocido como “Troj/BankAsh-A”, que en el mes de marzo de 2005 tuvo una importante incidencia en el Reino Unido.
Otro problema a tener en cuenta es la aparición de virus y otros programas dañinos desarrollados para realizar las extorsiones y estafas a usuarios de Internet. Es lo que se conoce como el “ransom-ware”, software malicioso cuyo fin es el lucro de su creador por medio de rescates. Así, podríamos mencionar casos como el del troyano “PGPCoder”, de mayo de 2005, que cifraba los archivos de extensiones .xls, .doc, .txt, .rtf, .zip, .rar, .dbf, .htm, .html, . jpg, .db, .db1, .db2, .asc y .pgp en el sistema infectado, dejando a continuación un mensaje solicitando dinero a los usuarios perjudicados si querían volver a restaurar sus ficheros (mediante el envío de una clave para descifrarlos).
Los casos de “phishing” mediante el envío masivo de mensajes de correo suplantando el nombre de organizaciones conocidas se han multiplicado en los últimos años. Debido a la credibilidad que ofrecen las organizaciones afectadas, una persona incauta que reciba el correo electrónico no suele mostrar inconveniente en facilitar sus datos personales sin realizar más comprobaciones acerca de la legitimidad del mensaje o de la página Web a la que se conecta.
Los expertos calculan que en cada ataque de “phishing” se lanzan unos seis millones de correos electrónicos, de los que entre 2.400 y 6.000 consiguen su objetivo. Según la empresa de seguridad Symantec, durante 2004 esta técnica le costo a los bancos y emisores de tarjetas de crédito 930 millones de euros en daños por operaciones fraudulentas.
6.1 Cuadro detallado del proceso de phishing
FFiigguurraa 22:: FFaasseess ddeell aattaaqquuee pphhiisshhiinngg
0. El “phisher” procede a identificar la identidad financiera que será objeto de la clonación de su página Web. Con el uso de herramientas informáticas, que inclusive pueden ser adquiridas en Internet, procede a instalar la página clonada de la entidad financiera en un servidor Web que en la mayoría de los casos es hackeado y usado con fines de fraude. El dominio usado para acceder a la página fraudulenta puede ser una extensión del dominio original del servidor Web hackeado, o un dominio especialmente creado para este fin; en ambos casos se usa dentro del dominio palabras relacionadas con la entidad financiera víctima del fraude [[TTEELL0088]].
1. Ahora que la página fraudulenta se encuentra activa, sólo es necesario dar a conocer a la mayor cantidad de personas el link para que puedan ingresar al portal, el método usado para que haya mayor incidencia es la ingeniería social que resulta lo suficientemente efectivo en estos casos. En la gran mayoría de los casos de “phishing”, el medio preferido para difundir el portal fraudulento es el correo masivo (SPAM).
2. En el cuerpo de este correo masivo, el “phisher” haciendo uso de la ingeniería social inducirá a la víctima por cualquier método a hacer clic sobre
el link que se adjunta, direccionándolo inmediatamente a la página Web fraudulenta para que el usuario ingrese información confidencial.
3. Cuando el cliente ingresa información confidencial en el sitio del “phishing” y hace clic para validar sus datos e ingresar a su cuenta, compromete automáticamente información confidencial.
4. En el proceso que realizo el “phisher” en el momento de la instalación del sitio del “phishing”, configuró para que la información capturada sea guardada o enviada a otro servidor para poder ser usado en transacciones ilegales.
5. Todo proceso de ataque de “phishing” termina cuando el “phisher”, con la información confidencial capturada, procede a robar el dinero de los números de cuentas captadas mediante transferencias bancarias.
77 CCaarraacctteerrííssttiiccaass
Algunas de las características más comunes que presentan este tipo de mensajes de correo electrónico son [[PPSSCC0088]] [[SSIINN0088]]:
• Uso de nombres de compañías ya existentes. En lugar de crear desde cero el sitio Web de una compañía ficticia, los emisores de correos con intenciones fraudulentas adoptan la imagen corporativa y funcionalidad del sitio de Web de una empresa existente, con el fin de confundir aún más al receptor del mensaje.
• Utilizar el nombre de un empleado real de una empresa como remitente del correo falso. De esta manera, si el receptor intenta confirmar la veracidad del correo llamando a la compañía, desde ésta le podrán confirmar que la persona que dice hablar en nombre de la empresa trabaja en la misma.
• Direcciones Web con la apariencia correcta. Como hemos visto, el correo fraudulento suele conducir al lector hacia sitios Web que replican el aspecto de la empresa que está siendo utilizada para robar la información. En realidad, tanto los contenidos como la dirección Web (URL) son falsos y se limitan a imitar los contenidos reales. Incluso la información legal y otros enlaces no vitales pueden redirigir al confiado usuario a la página Web real.
• Factor miedo. La ventana de oportunidad de los defraudadores es muy breve, ya que una vez se informa a la compañía de que sus clientes están siendo objeto de este tipo de prácticas, el servidor que aloja al sitio Web fraudulento y sirve para la recogida de información se cierra en el intervalo de unos pocos días. Por lo tanto, es fundamental para el defraudador el conseguir una respuesta inmediata por parte del usuario. En muchos casos, el mejor incentivo es amenazar con una pérdida, ya sea económica o de la propia cuenta existente, si no se siguen las instrucciones indicadas en el correo recibido, y que usualmente están relacionadas con nuevas medidas de seguridad recomendadas por la entidad.
Para lograr su objetivo, este tipo de malware, además de la ocultación de la URL fraudulenta en un correo electrónico aparentemente real, también utiliza otras técnicas más sofisticadas.
88 TTiippooss ddee PPhhiisshhiinngg
Han ido apareciendo en estos últimos años, diferentes tipos de “phishing”, aumentando su grado de sofisticación y profundidad.
La rapidez de evolución de este tipo de delitos complica también la tarea de realizar un análisis exhaustivo de todas las variantes que se pueden incluir bajo esta denominación común, más aún si se tiene en cuenta que, a menudo, se lanzan ataques combinados que implican el concurso de varias de las técnicas que pretendemos exponer.
Lógicamente, no existe una única clasificación de los delitos de “phishing” [[MMEEII0088]] [[TTEELL0088]] [[NNAAPP0088]] [[EESSPP0088]].
8.1 Phishing engañoso (Deceptive Phishing)
Esta es la forma primitiva de “phishing”. Aunque en sus inicios (cuando el objetivo básico era la captura de cuentas de AOL) la herramienta de comunicación utilizada eran las aplicaciones de mensajería instantánea, en la actualidad la forma más habitual de desarrollar este tipo de delito (o al menos de iniciarlo) es mediante el correo electrónico. Precisamente, un típico ataque de esta variedad de “phishing” comienza cuando el “phisher” envía un correo electrónico falso.
El procedimiento es relativamente sencillo. Consiste, básicamente, en el envío, generalmente masivo, de un correo electrónico engañoso en el que se suplanta a una empresa o institución legítima y de confianza para el receptor. El receptor pulsará en el enlace contenido en el mensaje, siendo desviado de manera inconsciente a un sitio Web fraudulento.
Los ejemplos de llamada a la acción son muy diversos: desde la existencia de algún tipo de problema en la cuenta bancaria del destinatario, invitándole a entrar en algún sitio Web para subsanarlo, la comunicación de algún tipo de riesgo por fraude, un aviso ficticio de compra acompañado de un enlace (link) cuyo destino es la página en la que puede cancelarse, la comunicación de un cambio no autorizado en la cuenta corriente del destinatario, etc.
Vale la pena mencionar que estos correos y sitios falsos son diseñados con mucha atención en el detalle, es muy difícil distinguirlos de los reales y en efecto, se requiere de mucha creatividad y conocimientos técnicos para desarrollarlos.
Dentro de este primer tipo de “phishing” deben incluirse dos variantes que se diferencian por el medio de comunicación que es utilizado para iniciar la estafa: el “Vishing” y el “Smishing”.
El “vishing” utiliza el teléfono como herramienta. Se basa en el uso de un tipo de software denominado “war dialers” cuya función es realizar la marcación de teléfonos desde un ordenador, utilizando la tecnología de telefonía sobre IP. Una vez que el usuario atacado descuelga se activa una grabación que trata de convencerle o bien de que visite un sitio Web para dar sus datos personales o bien de que directamente “confirme” sus datos en la misma llamada. El verdadero problema de este tipo de ataques es la confianza que la población tiene en el teléfono y en el uso que tradicionalmente han hecho de él las empresas legítimas.
El “Smashing”, del mismo modo, trata de embaucar a los usuarios, pero esta vez a través de mensajes de texto a móviles. El primer caso se dio en China: “un ciudadano de Pekín, recibió un mensaje en su móvil informándole que el banco le había cargado la compra de objetos valorados en más de 2.000 euros. El mensaje adjuntaba un número de teléfono al que llamar. Una vez hecho, una voz grabada le pidió los datos de su cuenta. Horas después la habían vaciado”.
8.2 Phishing basado en software malicioso (Malware-Based Phishing)
Este tipo de “phishing”, se refiere de forma general a cualquier variante del delito que implica la ejecución de un software malicioso en el ordenador de la víctima. La propagación de este tipo de “phishing” puede depender tanto de las técnicas de ingeniería social como de la explotación de una vulnerabilidad del sistema.
En el primero de los casos, el ataque debe conseguir, como paso previo, que el usuario realice alguna actuación que permita la ejecución del malware en su ordenador (abrir un archivo adjunto de un correo electrónico, visitar una Web y descargar un programa). El usuario recibe un correo en donde le 'informan' que el servicio de banca en línea ha sido suspendido por diversas causas, y que debe seguir las instrucciones contenidas en el archivo adjunto para restablecerlo. En el momento que se ejecuta (hacer doble clic) el archivo adjunto, un código troyano es instalado en la computadora sin que se note.
Las técnicas sociales para conseguir que el usuario actúe de este modo son, al igual que en el caso anterior, muy diversas, si bien este método suele inclinarse más por la promesa de algún contenido llamativo para el destinatario.
En lo que se refiere a la explotación de vulnerabilidades del sistema, la amenaza es mucho más difícil de combatir, ya que existen variantes en las que la actuación del usuario es mucho menor. Así, aunque muchas de las estafas se basan en que sea el usuario el que, de una u otra manera, introduzca la aplicación en su máquina, también es posible que los delincuentes aprovechen fallos en la seguridad del sistema de un sitio Web legítimo para introducir software malicioso que les permita llevar a cabo su objetivo.
Con independencia de cuál sea la técnica empleada para conseguir la ejecución del código malicioso en el ordenador personal del atacado, podemos distinguir distintos tipos de programas diseñados para robar datos confidenciales:
8.2.1 Keyloggers y Screenloggers
Son una variedad particular de malware. Los “Keyloggers” son programas cuya función es el registro de las pulsaciones que se realizan en el teclado cuando la máquina en la que están instaladas accede a una Web registrada. La aplicación en el ámbito del “phishing” es evidente: estas aplicaciones suelen estar programadas para ponerse en funcionamiento cuando la máquina en la que están instaladas accede a alguna Web registrada por el programa (entidad financiera, subasta online). En ese momento, Los datos son grabados por el programa y, posteriormente, enviados al delincuente por Internet que de esta forma consigue su propósito de robar información confidencial.
Existen versiones más avanzadas que también capturan los movimientos de ratón. Algunas entidades, conscientes de la existencia de este tipo de programas y de su posible aplicación delictiva han introducido contramedidas como la disposición de teclados en pantalla para evitar las pulsaciones de teclado en la introducción de contraseñas.
Los “Screenloggers” realizan la misma función pero, en lugar de capturar pulsaciones de teclado, capturan imágenes de la pantalla que son remitidos al atacante.
Este código malicioso se encargará de almacenar todo lo que se haga en el equipo, lo que se escribe en el teclado, los programas que se ejecutan, los movimientos del ratón, etc., para continuamente enviarlo en forma invisible hacia sitios especiales en donde toda esta información es revisada por los delincuentes, quienes pueden fácilmente distinguir cuales son Nombres de Usuario, Contraseñas y demás datos necesarios para cometer sus fraudes.
8.2.2 Secuestradores de sesión (Session Hijacking)
Este tipo de aplicaciones describe el ataque que se produce una vez que el usuario ha accedido a alguna Web registrada por el software, esto es, no roba datos, sino que directamente actúa cuando la victima ya ha accedido a su cuenta corriente su sesión en una subasta. Estos programas suelen ir “disfrazados” como un componente del propio navegador. Esta forma de “phishing” puede realizarse tanto mediante la instalación del malware en el ordenador del destinatario de la estafa, como mediante la técnica del “man in the middle” o intermediario.
8.2.3 Troyanos Web (Web Trojans)
Son programas maliciosos que aparecen inesperadamente, en forma de ventanas emergentes sobre las pantallas de validación de páginas Web legítimas, con el objetivo de conseguir datos confidenciales. Es este caso, la finalidad que persiguen es hacer creer al usuario que está introduciendo la información en el sitio Web real, mientras que en realidad lo que esta haciendo es introducirlo en este software que, posteriormente, remite los datos al delincuente, con las consabidas consecuencias. El “phishing” parece la aplicación “natural” de este tipo de programas fraudulentos.
8.2.4 Ataques de reconfiguración del sistema (System Reconfiguration Attacks)
Este ataque se efectúa modificando los parámetros de configuración del ordenador del usuario. Existen diversas formas de realizar estas acciones. Una de ellas consiste en modificar el sistema de nombres de dominio, tal como se explicaba en el caso anterior. Otra posibilidad al alcance de los delincuentes es la instalación de lo que se denomina un “proxy”, a través del cuál se canalice toda la información que sale y entra de la máquina del usuario. Esta forma de ataque se corresponde también con la técnica del “man in the middle” (MitM).
8.2.5 Robo de datos (Data Theft)
Se trata de códigos maliciosos que recaban información confidencial almacenada dentro de la máquina en la que se instalan y remitirla al delincuente (direcciones, números de identidad, claves).
8.3 Phishing basado en el DNS o “Pharming” (DNS-Based Phishing)
Dentro de esta rúbrica se incluyen todas aquellas formas de “phishing” que se basan en la interferencia del proceso de búsqueda del nombre de dominio (la traducción de la dirección introducida en el navegador a la dirección IP). Sin duda, el “pharming”, denominación habitual de esta forma de llevar a cabo este tipo de delito, supone un peligro aún mayor que algunas de las otras variantes que se han analizado, ya que la colaboración de la víctima es menor y, además, el disfraz empleado por los delincuentes parece más real.
Este delito se basa en la interferencia en el proceso de búsqueda de un nombre de dominio, es decir modifica fraudulentamente la resolución del nombre de dominio enviando al usuario a una dirección IP distinta.
Se trata de una táctica fraudulenta que consiste en cambiar los contenidos del DNS (Domain Name Server, Servidor de Nombres de Dominio) ya sea a través de la configuración del protocolo TCP/IP o del archivo lmhost
(que actúa como una caché local de nombres de servidores), para redirigir los navegadores a páginas falsas en lugar de las auténticas cuando el usuario accede a las mismas a través de su navegador. Además, en caso de que el usuario afectado por el “pharming” navegue a través de un “proxy” para garantizar su anonimato, la resolución de nombres del DNS del “proxy” puede verse afectada de forma que todos los usuarios que lo utilicen sean conducidos al servidor falso en lugar del legítimo.
FFiigguurraa 33:: FFaasseess ddeell aattaaqquuee pphhaarrmmiinngg
8.4 Phishing mediante introducción de contenidos (Content-Injection Phishing)
Esta modalidad consiste en introducir contenido fraudulento dentro de un sitio Web legítimo. Dicho contenido puede tener diversas modalidades: redirigir a los visitantes a otra página, instalar algún tipo de malware en el ordenador de los usuarios, etc. Básicamente, existen tres categorías principales de “phishing” mediante introducción de contenidos, a partir de las cuales surgen un número indefinido de variantes:
• Asalto al servidor legítimo por parte de hackers que se aprovechen de una vulnerabilidad para modificar o introducir contenido malicioso en el sitio Web.
• Introducción de contenido malicioso en el sitio a través de lo que se denomina una vulnerabilidad de “cross-site scripting”, también conocido como XSS. Cross-Site Scripting en un sitio Web, que permiten simular una página Web segura de una entidad bancaria, sin que el usuario pueda detectar anomalías en la dirección ni en el certificado de seguridad que aparece en el navegador.
Por lo tanto, el cross site scripting funciona de la siguiente manera:
1. El usuario sigue un enlace, que incluye codificada una cadena de entrada como argumento de entrada a algún parámetro de la página del sitio Web.
2. El sitio Web no valida (o lo hace pobremente) la entrada anterior y genera dinámicamente una página HTML que incluye el código introducido en el hiperenlace por el atacante.
3. Este código se ejecuta en el navegador de la víctima, con los mismos privilegios que cualquier otro código legítimo del mismo sitio Web.
4. Acciones maliciosas que pueden ser llevadas a cabo en un sitio a través de una vulnerabilidad de introducción de SQL (SQL injection vulnerability). Esta es una forma de provocar que sean ejecutados comandos de bases de datos en un servidor remoto que conlleven la filtración de datos confidenciales. Al igual que en el caso anterior, esta vulnerabilidad se debe a la ausencia de filtros adecuados en el servidor que impiden dicha ejecución.
• Aprovecha la falta de mecanismos de filtrado en los campos de entrada y permiten el ingreso y envío de datos sin validación alguna, aceptando el envió de scripts completos, pudiendo generar secuencias de comandos maliciosas que impacten directamente en el sitio o en el equipo de un usuario. Este tipo de vulnerabilidad puede afectar tanto a la aplicación Web como a los usuarios que activen esa secuencia de comandos de forma involuntaria.
8.5 Phishing mediante la técnica del intermediario (Man-in-the-middle o MitM)
Aunque en muchas de las clasificaciones consultadas se considera ésta como una categoría dentro de los tipos de “phishing”, en realidad se trata de una técnica para efectuar el ataque.
En esta técnica, el delincuente se posiciona entre el ordenador del usuario y el servidor (el sitio Web real), actuando a modo de “proxy”, pudiendo filtrar, leer y modificar información que se transfiere desde el puesto del atacado al servidor y viceversa, sin que las partes sean conscientes de la violación de su seguridad. De esta manera, es capaz de escuchar toda la comunicación entre ambos. Las consecuencias de esta actuación pueden ser tanto el robo de información confidencial, para su uso o venta posterior, o, directamente, el secuestro de la sesión (session hijacking), en cuyo caso podrá o no robar esa información. Nuevamente, el problema de esta variante es que el usuario no puede detectar que está siendo víctima de un delito ya que, aparentemente, todo funciona de forma correcta.
La utilización de esta técnica para desarrollar distintos tipos de “phishing” admite diferentes modalidades. Ya se comentaron los ataques tipo “proxy”, que son los que más habitualmente se realizan a través de este procedimiento. Sin embargo otras variedades pueden llevarse a cabo utilizando tipos como el ataque basado en DNS y basado en el engaño, categorías también analizadas con anterioridad.
8.6 Phishing de motor de búsqueda (Search Engine Phishing)
Nuevamente más que un tipo de “phishing” es, en sí mismo, uno de los ardides empleados por los delincuentes para hacer que el usuario caiga en su trampa. Los delincuentes crean páginas Web para productos o servicios falsos, las introducen en los índices de los motores de búsqueda y esperan a que los usuarios visiten las páginas para realizar compras y, por tanto, proporcionen información confidencial o directamente realicen transferencias bancarias. Normalmente las falsas ofertas tienen condiciones sensiblemente mejores a las ofrecidas por empresas legítimas, con el objetivo de atraer al máximo número de víctimas posible.
En este ámbito han tenido mucho éxito los fraudes en los que los “phishers” se han hecho pasar por bancos que ofrecen tipos de interés muy superiores a los ofrecidos por las entidades financieras reales. Las víctimas encuentran estos falsos bancos online a través de buscadores y, ante tal oferta, no dudan en abrir una nueva cuenta e introducir sus datos bancarios para realizar una transferencia.
99 CCllaassiiffiiccaacciióónn ddeell pphhiisshhiinngg
A continuación se muestra una grafica donde se puede ver una clasificación del “phishing” según la participación de la víctima y la complejidad tecnológica de la estafa.
FFiigguurraa 44:: CCuuaaddrroo ccllaassiiffiiccaacciióónn ddeell pphhiisshhiinngg
Se observa cómo la mayor parte de los casos se encuentran en los cuadrantes que formarían la diagonal secundaria del esquema, esto es, las combinaciones inversas entre los dos factores considerados y el punto intermedio tanto de complejidad tecnológica como de “colaboración” del estafado. Sólo hay un caso que se considera que se aleja de esta pauta: el “phishing” de motor de búsqueda. En este caso, la implicación del usuario es relativamente alta [[EESSPP0088]].
1100 RReeccoonnoocceerr uunn mmeennssaajjee pphhiisshhiinngg
Distinguir un mensaje de “phishing” de otro legítimo puede no resultar fácil para un usuario que haya recibido un correo de tales características, especialmente cuando es efectivamente cliente de la entidad financiera de la que supuestamente proviene el mensaje [[PPSSCC0088]].
• El campo De: del mensaje muestra una dirección de la compañía en cuestión. No obstante, es sencillo para el estafador modificar la dirección de origen que se muestra en cualquier cliente de correo.
• El mensaje de correo electrónico presenta logotipos o imágenes que han sido recogidas del sitio Web real al que el mensaje fraudulento hace referencia.
• El enlace que se muestra parece apuntar al sitio Web original de la compañía, pero en realidad lleva a una página Web fraudulenta, en la que se solicitarán datos de usuarios, contraseñas, etc.
• Normalmente estos mensajes de correo electrónico presentan errores gramaticales o palabras cambiadas, que no son usuales en las comunicaciones de la entidad por la que se están intentando hacer pasar.
FFiigguurraa 55:: EEjjeemmpplloo ddee pphhiisshhiinngg..
En este ejemplo, el propio correo incluye un formulario en lugar de ofrecer un enlace a una página falsa. Si el usuario introduce sus datos y envía el formulario, estos son finalmente recogidos en un servidor ubicado en Taiwán.
Todos los usuarios del correo electrónico corren el riesgo de ser víctimas de estos intentos de ataques. Cualquier dirección pública en Internet (que haya sido utilizada en foros, grupos de noticias o en algún sitio Web) será más susceptible de ser víctima de un ataque debido a los spiders que rastrean la red en busca de direcciones válidas de correo electrónico.
Éste es el motivo de que exista este tipo de malware. Es realmente barato el realizar un ataque de este tipo y los beneficios obtenidos son cuantiosos con tan sólo un pequeñísimo porcentaje de éxito.
1111 RReeccoommeennddaacciioonneess ddee sseegguurriiddaadd ppaarraa ccoommbbaattiirr eell pphhiisshhiinngg
Como en otros aspectos de la seguridad informática, la mejor defensa posible contra los ataques de “phishing” es la información [[EESSII0066]] [[AAPPHH0088]] [[PPSSCC0088]] [[MMCCSS0088]] [[SSIINN0088]] [[MMOONN0088]].
De la misma manera que en el mundo físico, los estafadores continúan desarrollando nuevas y más siniestras formas de engañar a través de Internet. Se debe tener en cuenta una serie de características para protegerse y preservar la privacidad de la información.
En caso de considerar que el mensaje recibido pudiera ser legítimo, algo que de entrada debe ser considerado como altamente improbable, en primer lugar se debería contactar con la institución financiera, bien telefónicamente o a través de otro medio. Aun en caso afirmativo, se debe verificar siempre los siguientes puntos antes de introducir cualquier clase de datos que puedan llegar a ser utilizados maliciosamente por terceros, para reducir drásticamente el riesgo de sufrir un ataque de “phishing”:
1. Comprobación del Certificado Digital del servidor Web antes de confiar en su contenido. Para ello, se debe pulsar en el icono del candado que aparece en la parte inferior derecha del navegador cuando se accede a una zona segura, para verificar que la fecha de caducidad y el dominio del certificado están vigentes y corresponde con la Web que se está visitando.
FFiigguurraa 66:: CCeerrttiiffiiccaaddoo DDiiggiittaall ddee sseerrvviiddoorr..
Este símbolo significa que el sitio Web utiliza cifrado para proteger la información personal que introduzca: números de tarjetas de crédito, número de la seguridad social o detalles de pagos.
Haga doble clic sobre el icono del candado para ver el certificado de seguridad del sitio. El nombre que aparece a continuación de Enviado a debe coincidir con el del sitio en el que se encuentra. Si el nombre es diferente, puede que se encuentre en un sitio falso. Si no está seguro de la legitimidad de
un certificado, no introduzca ninguna información personal. Sea prudente y abandone el sitio Web.
FFiigguurraa 77:: CCeerrttiiffiiccaaddoo ddee sseegguurriiddaadd ((mmaaiill..uuccvv..uuddcc))
Existen otras formas de determinar si un sitio es seguro, como por ejemplo ver si la página posee un certificado de seguridad de algunas de las empresas proveedoras del mismo como por ejemplo Verisign.
FFuugguurraa 88:: LLooggoo VVeerriissiiggnn
2. Las direcciones de las páginas Web seguras empiezan por “https://”, y deben tener un pequeño candado cerrado en la barra de estado del navegador. Por este motivo, las entidades bancarias y otros servicios sensibles deberían modificar la configuración de sus servidores Web para que por defecto se fuerce a los navegadores a establecer una conexión segura
(canal HTTPS) cuando se accede a las páginas donde se encuentran los formularios de autenticación de los usuarios.
3. Refuerce su seguridad. Aquellos usuarios que realizan transacciones a través de Internet deberían configurar su sistema con suites de seguridad capaces de bloquear estas amenazas, aplicar los últimos parches de seguridad facilitados por los fabricantes y asegurarse de que operan en modo seguro a través de certificados digitales o protocolos de comunicación seguros como https.
4. El usuario debería cerrar expresamente las conexiones seguras haciendo clic en la correspondiente opción habilitada por la empresa en la página Web. No resulta suficientemente seguro cerrar la forma directa el navegador, ya que en determinadas situaciones un intruso podría tratar de secuestrar una sesión abierta por el usuario y que todavía conste como tal en el servidor Web (aunque el usuario haya cerrado ya su navegador).
5. Nunca se debería acceder a un formulario de autenticación a través de un enlace desde otra página Web o desde el texto de un correo electrónico. Se recomienda teclear directamente la dirección de la página en cuestión en una nueva sesión del navegador o utilizar un marcador que este creado con anterioridad, en lugar de hacer clic en el hipervínculo proporcionado en el correo electrónico. Incluso direcciones que aparentan ser correctas en los correos electrónicos pueden ocultar la ruta hacia un sitio Web fraudulento.
Aunque la barra de direcciones muestre la dirección correcta, hay riesgo de poder ser engañado. Los piratas conocen muchas formas para mostrar una dirección URL falsa en la barra de direcciones del navegador. Las nuevas versiones de Internet Explorer hacen más difícil falsificar la barra de direcciones, por lo que es una buena idea visitar Windows Update regularmente y actualizar su software.
6. Se debe desconfiar de un mensaje de correo recibido en nombre de la entidad financiera con una solicitud para entregar datos personales. En caso de recibir un mensaje en este sentido, el usuario no deberá facilitar dato alguno, aunque piense que el mensaje es legítimo y se tendría que poner en contacto inmediatamente con el servicio de atención al cliente del banco.
7. No se deben establecer conexiones a este tipo de Websites desde lugares públicos: cibercafés, puntos de acceso a Internet en hoteles… Estos equipos podrían estar infectados por programas troyanos o tener instalado un registrador de pulsaciones del teclado (“keylogger”). Además, mediante “sniffers” u otros dispositivos también podría tratar de capturar los datos enviados por los usuarios.
8. Comprobar que la dirección URL de acceso no incluye elementos sospechosos, como podría ser la dirección de otra página Web. La incorporación de otros elementos en la dirección podría ser un indicio de un ataque del tipo Cross-Site Scripting (XSS).
9. No se deben instalar nuevos programas y controles en el navegador sin antes comprobar su autenticidad. Es decir, que proceden de un Websites legítimo y han sido desarrollados por una empresa de confianza. En este sentido debemos recordar el importante problema ocasionado por la difusión del software espía (“spyware”) y de los programas troyanos, presentes en un importante número de equipos conectados a Internet.
10. El usuario debe responsabilizarse de guardar de forma segura sus datos y claves de acceso. En caso de que terceras personas pudieran tener acceso a estos datos, el usuario debería ponerse en contacto cuanto antes con su entidad financiera para evitar una utilización fraudulenta de los mismos.
11. Conviene tener habilitado la función del navegador que permite advertir del cambio entre el contenido seguro (conexión SSL) y el no seguro. De este modo, el usuario será advertido si en algún momento de la conexión con el servidor Web va a enviar datos de forma no segura (no encriptada).
FFiigguurraa 99:: CCaammbbiioo eennttrree ccoonneexxiióónn sseegguurraa yy nnoo sseegguurraa..
12. Las aplicaciones Web deberían estar programadas para utilizar páginas de autenticación independientes. Es decir, páginas que se abren en nuevas ventanas del navegador.
13. Revisar periódicamente las cuentas. Los extractos mensuales son especialmente útiles para detectar transferencias o transacciones irregulares, tanto operaciones que no se hayan realizado y se vean reflejadas en el extracto, como operaciones realizadas online y que no aparezcan en el extracto. Al consultar el saldo bancario y de las tarjetas de crédito al menos
una vez al mes, se podrá sorprender al estafador y detenerlo antes de que provoque daños significativos.
14. Utilizar las nuevas alternativas propuestas por algunos bancos para evitar tener que teclear las contraseñas. Así, por ejemplo, en la siguiente figura se muestra un formulario de autenticación de una entidad financiera, Caixanova, en el que el usuario tiene que hacer clic en un teclado virtual que se muestra en pantalla y que cambia la posición de sus teclas en cada conexión, de forma que no se le permite introducir ningún dato a través del teclado para evitar que un troyano o un “keylogger” pueda registrar sus pulsaciones.
FFiigguurraa 1100:: FFoorrmmuullaarriioo ddee aauutteennttiiccaacciióónn ddee llaa eennttiiddaadd CCaaiixxaannoovvaa..
15. Comunicar los posibles delitos relacionados con su información personal a las autoridades competentes. Ante la posibilidad de haber sido víctima de "phishing", se procederá del siguiente modo:
Informar inmediatamente del fraude a la empresa afectada. Si no se está seguro de cómo comunicarse con la empresa, visitando su sitio Web se podrá obtener la información de contacto adecuada. Algunas empresas tienen una
dirección de correo electrónico especial para informar de este tipo de delitos. Recuerde que no debe seguir ningún vínculo que se ofrezca en el correo electrónico recibido. Se deberá introducir la dirección del sitio Web conocida de la compañía directamente en la barra de direcciones del navegador de Internet.
Proporcionar los detalles del estafador, como los mensajes recibidos, a la autoridad competente a través del Centro de denuncias de fraude en Internet. Este centro trabaja en todo el mundo en colaboración con las autoridades legales para clausurar con celeridad los sitios Web fraudulentos e identificar a los responsables del fraude.
Si la información personal ha sido robada o puesta en peligro, también se debe comunicar a la FTC (Federal Trade Commission) y visitar el sitio Web de robo de identidades de la FTC para saber cómo minimizar los daños
Por otra parte, la banca britanica anunciaba en abril de 2005 su intención de desarrollar soluciones físicas contra el “phishing”. Así, la asociación APACS (Association for Payment Clearing Services) pretende crear un dispositivo físico que entregará en los próximos meses a sus clientes y que será necesario utilizar para establecer una conexión remota a través de Internet a un servicio de banca electrónica. Para ello, cuentan con la colaboración de las compañías de tarjetas de crédito MasterCard y Visa.
De este modo, el uso combinado de las contraseñas de usuario y de estos nuevos dispositivos físicos, que se encargaran de generar una clave única de sesión cada vez que se utilizan, introducirá de nuevo la identificación de los usuarios de la banca electrónica por medio de dos factores, reforzando la seguridad del proceso de autenticación remota.
Cumplidos todos estos requisitos, el usuario puede proporcionar su información con una razonable seguridad de que ésta no será utilizada contra sus intereses.
La mejor manera de protegerse del “phishing” es entender la manera de actuar de los proveedores de servicios financieros y otras entidades susceptibles de recibir este tipo de ataques. La regla principal que estas entidades no infringen es la solicitud de información sensible a través de canales no seguros, como por ejemplo el correo electrónico.
1122 EEjjeemmppllooss ddee ccaassooss rreeaalleess
12.1 Contextualización
A continuación se muestran dos ejemplos de casos reales de ataque “phishing” a usuarios, con la intención de robar la información personal del individuo para poder acceder a sus datos bancarios.
Este tipo de robos, como se comento en puntos anteriores, tratan de beneficiarse de la ingenuidad de las personas, ya que no son ataques directos a la entidad bancaria, puesto que los bancos proporcionan un alto grado de seguridad que imposibilita el ataque directo a estos (se comentara en cada ejemplo, que tipo de seguridad tiene cada entidad bancaria), por lo tanto, la finalidad de los delincuentes es engañar a las personas para que le faciliten sus datos personales, y una vez obtenidos esos datos, acceder a la entidad en cuestión, sin tener esta ultima ningún tipo de responsabilidad.
12.2 Banco Santander Central Hispano
Antes de abordar el ejemplo sobre el ataque de “phishing” a los usuarios del Banco Santander se comentará el nivel de seguridad que tiene dicha entidad bancaria.
Al acceder a la página principal del Banco Santander, se puede encontrar un apartado (seguridad), en el que explica cuales son las medidas que debe adoptar un usuario tanto a nivel de software para proteger el ordenador, como por ejemplo el tipo de navegador a utilizar o un antivirus a utilizar, como a nivel de procedimiento para detectar un mensaje “phishing” y las medidas de seguridad que proporciona para paliar el ataque “phishing”.
Características de seguridad del Banco Santader [[GGSSAA0088]]:
• Autoridad Certificación: El servidor de Santander pose un certificado emitido por una autoridad certificadora internacional (Verisign Inc.). Este certificado garantiza que realmente se ha conectado con Banco Santander y que los datos transmitidos son cifrados. Usted podrá verificarlo pinchando sobre el candado que aparece en la parte inferior derecha de su navegador.
FFiigguurraa 1111:: LLooggoo VVeerriissiiggnn SSeeccuurreedd
• Conexiones Seguras SSL: Santander dispone de un sistema de seguridad que garantiza la integridad y la confidencialidad de los datos que se intercambien entre el cliente y Banco Santander. Toda la información sensible es transmitida por la red encriptada mediante protocolo SSL y claves de 128 bits. Este sistema impide que terceras personas puedan ver o modificar dichos datos.
• Privacidad: Le recordamos que su usuario, contraseña, pin de tarjeta, firma, etc. son datos de carácter personal y estrictamente confidenciales, solo deben ser usados para el acceso a los servicios propios de Santander. La cesión de los datos confidenciales a terceras personas es responsabilidad del propietario de los mismos.
12.2.1 Ejemplo Banco Santander Central Hispano
Ejemplo de un nuevo caso de “phishing” detectado en Internet. El banco afectado es el Banco Santander Central Hispano de España. Una de las características de este ejemplo con respecto a estafas anteriores, es lo elaborado del engaño.
El ataque se produce con la recepción de un correo electrónico que simula ser enviado por la entidad bancaria, este correo fraudulento contiene una excusa (en este caso; “renovado nuestras instalaciones bancarias”) para que la víctima del engaño pulse sobre los enlaces que contiene el correo trampa para llevarle a una Web fraudulenta que imita el diseño de la página real. El objetivo de los atacantes es obtener información de acceso a las cuentas para robar dinero [[RROOMM0088]] [[SSIINN0088]] [[VVSSAA0088]] [[SSPPAA0088]].
12.2.1.1 Pasos del ataque phishing
1. El usuario recibe un correo que incluye el logo de la empresa y dos enlaces que llevan al usuario a una página fraudulenta que simula con lujo de detalles el diseño de la página real del Banco Santander. En la imagen que aparece a continuación se puede ver el correo.
FFiigguurraa 1122:: CCoorrrreeoo pphhiisshhiinngg BBaannccoo SSaannttaannddeerr
2. Al hacer clic sobre uno de los enlaces, se redirigirá a una página, donde se solicita la información de acceso a la cuenta, pero dicha página es la que ha sido creada por los estafadores. En la imagen que aparece a continuación se puede ver la página falsa.
FFiigguurraa 1133:: PPáággiinnaa ffrraauudduulleennttaa ccrreeaaddaa ppoorr llooss eessttaaffaaddoorreess::
Como se puede apreciar, el diseño está muy bien logrado, si la comparamos con la página oficial del banco Santander que se muestra en la figura siguiente.
FFiigguurraa 1144:: PPáággiinnaa ooffiicciiaall ddeell bbaannccoo::
Los usuarios que caen en la trampa del correo y completan este formulario verán un mensaje que advierte un error durante el proceso de acceso, a su vez y sin que ellos lo detecten, la información ingresada es
enviada a los estafadores. La metodología es bastante similar a la utilizada en otras páginas fraudulentas.
FFiigguurraa 1155:: MMeennssaajjee ddee eerrrroorr
12.2.2 Consejos del Banco Santander
Si tiene alguna duda sobre la Seguridad de Oficina Internet o cree que ha sido victima de un caso de “phishing” el Banco Santander permite ponerse en contacto mediante su línea de atención al cliente a través de su teléfono 902 24 24 24 o a través de su buzón superlinea Santander.
A mayores proporciona un enlace a una pagina [[NNFFRR0088]], la cual, esta apoyada principalmente por el Ministerio de Industria, Turismo y Comercio, así como la Asociación de Internautas donde se ha iniciado una campaña denominada “1ª Campaña contra el robo de identidad y el fraude on-line” donde piden que colabores y denuncies cual quier tipo de ataque “phishing” que hayas detectado.
FFiigguurraa 1166:: LLooggoo MMiinniisstteerriioo ddee IInndduussttrriiaa,, TTuurriissmmoo yy CCoommeerrcciioo
FFiigguurraa 1177:: LLooggoo AAssoocciiaacciióónn ddee IInntteerrnnaauuttaass
Existen muchas compañías que se han unido a la campaña que se ha iniciado para combatir los robos de identidad, como por ejemplo es el Banco Santander
Para denunciar cualquier ejemplo que creas que puede ser un ejemplo de estas problemáticas, simplemente debes rellenar los datos que te piden y
contar lo que has descubierto o enviar adjunto cualquier fichero de tu ordenador que pienses pueda ser un virus, un gusano, un troyano, etc.
12.3 Banco Caja Madrid
La política de Seguridad de Caja Madrid establece como una de sus máximas prioridades la protección de la información de sus clientes. Para ello añade elevados estándares de seguridad a sus aplicaciones y sistemas e instrumenta las más avanzadas medidas de protección a fin de velar por la confidencialidad e integridad de la información [[CCMMAA0088]].
Además de todo esto, debido al entorno tecnológico cambiante en el que nos encontramos, están permanentemente en un proceso de evolución de sus técnicas de seguridad informática, física y lógica.
Características de seguridad del banco Caja Madrid
• Utilización de un certificado digital emitido por VeriSign, entidad certificadora internacional, que garantiza que usted está conectado con Caja Madrid. Un certificado digital es un documento digital protegido por técnicas criptográficas que garantiza las identidades en internet.
FFiigguurraa 1188:: LLooggoo VVeerriissiiggnn SSeeccuurreedd
• Los sistemas informáticos están protegidos del exterior por un sistema de firewalls, programas antivirus y anti-intrusión, que evitan cualquier ataque y aislan los aplicativos.
• En Caja Madrid realizan una monitorización continua de todas las aplicaciones y un seguimiento inmediato de cualquier incidencia de su servicio de Internet.
• Toda la información almacenada se encuentra físicamente aislada con las máximas medidas de seguridad, así mismo las copias de back-up realizadas periódicamente garantizan la custodia de estos datos.
12.3.1 Ejemplo Banco Caja Madrid
En la imagen que se muestra a continuación se puede ver otro ejemplo de un caso de “phishing” detectado en Internet. La diferencia con respecto al
anterior radica en la entidad bancaria, que en este caso es Caja Madrid, pero el contenido del correo es similar al anterior, donde se muestra el enlace que le llevará a la página del estafador.
FFiigguurraa 1199:: CCoorrrreeoo pphhiisshhiinngg CCaajjaa MMaaddrriidd
12.3.2 Consejos del banco Caja Madrid
Si tiene alguna duda sobre la Seguridad de Oficina Internet, no dude en contactar con la entidad bancaria a través de su teléfono de Atención al Cliente 902 24 68 10.
1133 BBiibblliiooggrraaffííaa
[[EESSII0066]] Gómez Vieites, Álvaro. RA-MA 2006 “Enciclopedia de la Seguridad Informática” [[SSSSSSVV0066]] Amigo Fernández, Leire. EDICIONES ANAYA MULTIMEDIA (GRUPO ANAYA, S.A.) 2006 “Seguridad, spam, Spyware y virus” (Absolute Beginner’s Guide Security, Spam, Spyware & Virus) [[EENNTT0044]] Autor: Universidad Nacional Autónoma de México Última Visita: Mayo 2008 http://www.enterate.unam.mx/Articulos/2004/septiembre/phishing.htm [[UUNNNNEE0066]] Autor: Universidad Nacional del Nordeste Última Visita: Mayo 2008 exa.unne.edu.ar/depar/areas/informatica/SistemasOperativos/Phishing06.ppt – [[BBDDHH0088]] Autor: blog del hacker Última Visita: Mayo 2008 http://www.blogdelhacker.com/2008/02/14/que-es-el-phishing/ [[NNAAPP0088]] Última Visita: Mayo 2008 http://www.navegaprotegido.org.mx/site/02/Cuidado_Phishing.aspx [[MMCCSS0088]] Autor: Microsoft Última Visita: Mayo 2008 http://www.microsoft.com/latam/seguridad/hogar/spam/phishing.mspx [[SSIINN0088]] Autor: Cristian F. Borghello Última Visita: Mayo 2008 http://www.segu-info.com.ar/malware/phishing.htm [[DDAAGG0088]] Última Visita: Mayo 2008 http://www.descargar-antivirus-gratis.com/phishing.php
[[PPSSCC0088]] Autor: Panda Security Última Visita: Mayo 2008 http://www.pandasecurity.com/spain/homeusers/security-info/types-malware/phishing/ [[RRLLPP0088]] Autor: Laboratorio de Recuperación de Datos Informáticos Última Visita: Mayo 2008 www.recoverylabs.com/informes/Recovery_Labs_phishing.pdf [[FFWWII0088]] Última Visita: Mayo 2008 www.fraudwatchinternational.com/internetfraud/phidhing/phishing_index [[AAPPHH0088]] Autor: Antiphishing Última Visita: Mayo 2008 http://www.antiphishing.org/ [[MMOONN0088]] Autor: Marcelo Aguilera Última Visita: Mayo 2008 http://www.monografias.com/trabajos23/phishing/phishing.shtml#procedim [[TTEELL0088]] Autor: Telefónica Última Visita: Mayo 2008 http://www.telefonica.com.pe/phishing/de_que_forma_se_presentan.shtml [[MMEEII0088]] Autor: Me gusta el trusismo Última Visita: Mayo 2008 http://megustaelturismo.es/2008/03/13/explicacion-de-los-distintos-tipos-de-phishing/ [[EESSPP0088]] Autor: Instituto Nacional de Tecnologías de la Comunicación Última Visita: Mayo 2008 aui.es/IMG/pdf_estudio_phishing_observatorio_inteco.pdf – [[RROOMM0088]] Autor: Rompecadenas Última Visita: Mayo 2008 http://www.rompecadenas.com.ar/articulos/1907.php
[[SSIINN0088]] Autor: Asociación de internautas Última Visita: Mayo 2008 http://seguridad.internautas.org/html/996.html [[VVSSAA0088]] Autor: VSantivirus Última Visita: Mayo 2008 http://www.vsantivirus.com/phis-gruposantander-220306.htm [[SSPPAA0088]] Autor: Spamloco Última Visita: Mayo 2008 http://spamloco.net/2008/03/banco-santander-vctima-del-phishing.html [[GGSSAA0088]] Autor: Banco Santander Última Visita: Mayo 2008 http://www.gruposantander.es/ [[NNFFRR0088]] Última Visita: Mayo 2008 http://www.nomasfraude.com/spain [[CCMMAA0088]] Autor: Caja Madrid Última Visita: Mayo 2008 http://www.cajamadrid.es/CajaMadrid/Home/puente?pagina=0