Pishing


Autor: Eber Jose

1. Introducción

El término Phishing proviene de la palabra inglesa "fishing" (pesca), haciendo alusión al intento de hacer que los usuarios "piquen en el anzuelo". A quien lo practica se le llama phisher. También se dice que el término "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas).
La primera mención del término Phishing data de enero de 1996. Se dio en el grupo de noticias de hackers alt.2600, aunque es posible que el término ya hubiera aparecido anteriormente en la edición impresa del boletín de noticias hacker "2600 Magazine". El término phishing fue adoptado por quienes intentaban "pescar" cuentas de miembros de AOL.

2. Phishers y Técnicas

  • Phishers
Quienes comenzaron a hacer phishing en AOL durante los años 1990 solían obtener cuentas para usar los servicios de esa compañía a través de números de tarjetas de crédito válidos, generados utilizando algoritmos para tal efecto. Estas cuentas de acceso a AOL podían durar semanas e incluso meses. En 1995 AOL tomó medidas para prevenir este uso fraudulento de sus servicios, de modo que los crackers recurrieron al phishing para obtener cuentas legítimas en AOL.
El phishing en AOL estaba estrechamente relacionado con la comunidad de warez que intercambiaba software falsificado. Un cracker se hacía pasar como un empleado de AOL y enviaba un mensaje instantáneo a una víctima potencial. Para poder engañar a la víctima de modo que diera información confidencial, el mensaje podía contener textos como "verificando cuenta" o "confirmando información de factura". Una vez el usuario enviaba su contraseña, el atacante podía tener acceso a la cuenta de la víctima y utilizarla para varios propósitos criminales, incluyendo el spam. Tanto el phishing como el warezing en AOL requerían generalmente el uso de programas escritos por crackers, como el AOLHell.


Asi es un ataque de Phishing..



  • Tecnicas
La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar el impostor. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL, http://www.nombredetubanco.com.ejemplo.com/. Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares ). Por ejemplo, el enlace http://www.google.com@members.tripod.com/ puede engañar a un observador casual y hacerlo creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente). Este método ha sido erradicado desde entonces en los navegadores de Mozilla e Internet Explorer. Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL ilegítima.

En otro método popular de phishing, el atacante utiliza contra la víctima el propio código de programa del banco o servicio por el cual se hace pasar. Este tipo de ataque resulta particularmente problemático, ya que dirige al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque (conocido como Cross Site Scripting) los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace está modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios.
Un usuario al que se le contacta mediante un mensaje electrónico y se le hace mención sobre la necesidad de "verificar" una cuenta electrónica puede o bien contactar con la compañía que supuestamente le envía el mensaje, o puede escribir la dirección web de un sitio web seguro en la barra de direcciones de su navegador para evitar usar el enlace que aparece en el mensaje sospechoso de phishing. Muchas compañías, incluyendo eBay y PayPal, siempre se dirigen a sus clientes por su nombre de usuario en los correos electrónicos, de manera que si un correo electrónico se dirige al usuario de una manera genérica como ("Querido miembro de eBay") es probable que se trate de un intento de phishing. 

Otro problema con las URL es el relacionado con el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dοminiο.com, aunque en el segundo las letras "o" hayan sido reemplazadas por la correspondiente letra griega ómicron, "ο"). Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homógrafos,ningún ataque conocido de phishing lo ha utilizado.


 

3. Víctimas y Daños

  • Victimas
Las victimas del phishing mayormente son personas que proveen su informacion personal a paginas ficticias (paginas piratas), que utilizan esta informacion para acceder a sus cuentas como usuario legitimo, y provocar daños como el cambio de contraseñas o en el peor de los casos grandes perdidas de dinero. Mencionaremos algunos ejemplos para que se pueda entender mas claramente.

¨ Lavado de dinero producto del phishing ¨

Actualmente empresas ficticias intentan reclutar teletrabajadores por medio de e-mails, chats, irc  y otros medios, ofreciéndoles no sólo trabajar desde casa sino también otros jugosos beneficios. Aquellas personas que aceptan la oferta se convierten automáticamente en víctimas que incurren en un grave delito sin saberlo: el blanqueo de dinero obtenido a través del acto fraudulento de phishing.
Para que una persona pueda darse de alta con esta clase de empresas debe rellenar un formulario en el cual indicará, entre otros datos, su número de cuenta bancaria. Esto tiene la finalidad de ingresar en la cuenta del trabajador-víctima el dinero procedente de estafas bancarias realizadas por el método de phishing. Una vez contratada, la víctima se convierte automáticamente en lo que se conoce vulgarmente como mulero.

Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su cuenta bancaria y la empresa le notifica del hecho. Una vez recibido este ingreso, la víctima se quedará un porcentaje del dinero total, pudiendo rondar el 10%-20%, como comisión de trabajo y el resto lo reenviará a través de sistemas de envío de dinero a cuentas indicadas por la seudo-empresa.

Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad económica) ésta se ve involucrada en un acto de estafa importante, pudiendo ser requerido por la justicia previa denuncia de los bancos. Estas denuncias se suelen resolver con la imposición de devolver todo el dinero sustraído a la víctima, obviando que este únicamente recibió una comisión. ejemplo.

     Fases
  1.  En la primera fase, la red de estafadores se nutre de usuarios de chat, foros o correos electrónicos, a través de mensajes de ofertas de empleo con una gran rentabilidad o disposición de dinero (hoax o scam). En el caso de que caigan en la trampa, los presuntos intermediarios de la estafa, deben rellenar determinados campos, tales como: Datos personales y número de cuenta bancaria.
  2.  Se comete el phishing, ya sea el envío global de millones de correos electrónicos bajo la apariencia de entidades bancarias, solicitando las claves de la cuenta bancaria (PHISHING) o con ataques específicos.
  3.  El tercer paso consiste en que los estafadores comienzan a retirar sumas importantes de dinero, las cuales son transmitidas a las cuentas de los intermediarios (muleros).
  4.  Los intermediarios realizan el traspaso a las cuentas de los estafadores, llevándose éstos las cantidades de dinero y aquéllos —los intermediarios— el porcentaje de la comisión.

¨Los autores de phishing... son víctimas de phishing¨
Existen en Internet kits completos para que un novato monte su propio sitio falso y de ese modo obtenga créditos a costa de las víctimas que dejen allí sus datos. Pero entre ladrones no hay honor es algo ironico que el autor sea una victima....... ver mas.

  • Daños
Los daños causados por el phishing oscilan entre la pérdida del acceso al correo electrónico a pérdidas económicas sustanciales. Este tipo de robo de identidad se está haciendo cada vez más popular por la facilidad con que personas confiadas normalmente revelan información personal a los phishers, incluyendo números de tarjetas de crédito y números de seguridad social. Una vez esta información es adquirida, los phishers pueden usar datos personales para crear cuentas falsas utilizando el nombre de la víctima, gastar el crédito de la víctima, o incluso impedir a las víctimas acceder a sus propias cuentas.
  • Se estima que entre mayo de 2004 y mayo de 2005, aproximadamente 1,2 millones de usuarios de computadoras en los Estados Unidos tuvieron pérdidas a causa del phishing, lo que suma a aproximadamente $929 millones de dólares estadounidenses. Los negocios en los Estados Unidos perdieron cerca de 2000 millones de dólares al año mientras sus clientes eran víctimas. El Reino Unido también sufrió el alto incremento en la práctica del phishing. En marzo del 2005, la cantidad de dinero reportado que perdió el Reino Unido a causa de esta práctica fue de aproximadamente £12 millones de libras esterlinas.

4. Respuestas Anti-Phishing

Existen varias técnicas diferentes para combatir el phishing, incluyendo la legislación y la creación de tecnologías específicas que tienen como objetivo evitarlo. 
4.1 Respuesta Social
  • Información y capacitación de usuarios  
Una estrategia para combatir el phishing adoptada por algunas empresas es la de entrenar a los empleados de modo que puedan reconocer posibles ataques phishing. Una nueva táctica de phishing donde se envían correos electrónicos de tipo phishing a una compañía determinada, conocido como spear phishing, ha motivado al entrenamiento de usuarios en varias localidades.
Sin embargo en un experimento realizado en el 2008 con spear phishing en una empresa, el 80% de los 500 trabajadores a los que se les envió un e-mail falso fueron engañados y procedieron a dar información personal.
 4.2 Respuesta Técnica
  • Protección de navegadores y clientes de correo 
Hay varios programas informáticos anti-phishing disponibles. La mayoría de estos programas trabajan identificando contenidos phishing en sitios web y correos electrónicos; algunos software anti-phishing pueden por ejemplo, integrarse con los navegadores web y clientes de correo electrónico como una barra de herramientas que muestra el dominio real del sitio visitado. Los filtros de spam también ayudan a proteger a los usuarios de los phishers, ya que reducen el número de correos electrónicos relacionados con el phishing recibidos por el usuario.
  • Preguntas e imágenes secretas
Muchas organizaciones han introducido la característica denominada pregunta secreta, en la que se pregunta información que sólo debe ser conocida por el usuario y la organización. Las páginas de Internet también han añadido herramientas de verificación que permite a los usuarios ver imágenes secretas que los usuarios seleccionan por adelantado; sí estas imágenes no aparecen, entonces el sitio no es legítimo. Estas y otras formas de autentificación mutua continúan siendo susceptibles de ataques.
  • Monitoreo de sitios web

Muchas compañías ofrecen a bancos y otras entidades que sufren de ataques de phishing, servicios de monitoreo continuos, analizando y utilizando medios legales para cerrar páginas con contenido phishing.
El Anti-Phishing Working Group, industria y asociación que aplica la ley contra las prácticas de phishing, ha sugerido que las técnicas convencionales de phishing podrían ser obsoletas en un futuro a medida que la gente se oriente sobre los métodos de ingeniería social utilizadas por los phishers. Ellos suponen que en un futuro cercano, el pharming y otros usos de malware se van a convertir en herramientas más comunes para el robo de información.
  • Recomendaciones de la banca en Bolivia
Mantener el pin secreto
 Curso de Como protegernos 1/2


    Curso de Como protegernos 2/2







    4.3 Respuesta Gobierno
    • Modificación de legislación  
    En las últimas décadas, hay una preocupación en reformar las legislaciones visando la tipificación de nuevas figuras delictivas. Tal el caso de Bolivia, donde se percibe el interés en proteger al individuo frente la vulnerabilidad existente en los bienes informáticos de los sistemas computarizados.
    La legislación penal contempla sólo la tipificación de la manipulación informática, la alteración, acceso y uso indebido de datos informáticos. No menciona nada sobre sabotaje informático empresarial, espionaje informático, parasitismo informático y otras figuras como fraude informático, consideradas en el estudio.
    No existe otra salida que la búsqueda eficaz de mecanismos que aseguren una defensa de los derechos y garantias del ciudadano mediante la individualización de la conducta, descrita en el tipo penal respectivo, así como su respectiva penalización.
    FUENTE : Criminalidad Informatica en Bolivia
    •  Enjuiciamiento y encarcelación de phishers y muleros
      Bolivia es uno de los paises, que no cuenta con una ley que regule la produccion y el uso de software y el manejo de informacion, además de su distribucion. En el actual Codigo de Procedimiento Penal, hay algunos articulos que mencionan el uso indebido de informacion digital, y su correspondiente sancion.
      Por eso se hace sumamente necesario,  la inmediata elaboracion de una Ley de Informatica, cosas que los politicos no toman en cuenta, ante esto las universidades tampoco toman encuenta esta situacion y principalmente las autoriadades que estan inmersas en el area de informatica. 
      y la falta de una Ley de Informatica afecta directamente a todos los estudiantes que se graduan como profesionales y salen al mercado a desarrollar software, en muchas ocaciones de manera individual.

    5. Concluciones

    La mayor parte de los delitos se pueden cometer con ayuda de las redes electrónicas. De hecho, diversos tipos de fraude o intentos de fraude son particularmente frecuentes y constituyen una forma de delincuencia cada vez más extendida en las redes electrónicas.

    Instrumentos como la usurpación de identidad, las estafas por internet(phishing), los envíos masivos de correo basura y los códigos malévolos pueden servir para cometer fraudes a gran escala.

     ¿ Por que es dificil combatirla ?

    La dificultad existente para perseguir la criminalidad informática radica en razones como el entendimiento de las tecnologías y las vulnerabilidades inherentes por parte de los cuerpos de seguridad del estado y la administración de justicia, la comprensión y análisis de la evidencia digital y los rastros electrónicos, la información y su valor en los mercados internacionales y la falta de precisión en el perfil de un delincuente tecnológico, como elementos que exigen de la academia, el gobierno, la industria y las instituciones de la justicia un esfuerzo conjunto para avanzar en las construcción de caminos que confronten a los nuevos y organizados criminales.

    ¿Como combatirla?
    • Fortalecimiento de legislación nacional
    • Establecimiento de alianzas a nivel internacional
    • Coordinación de los cuerpos policiales y las autoridades judiciales
    • Especialización de las autoridades policiales y judiciales en este tipo de delitos
    • Información a los ciudadanos
    • Cooperación sector privado y sector público
    • Estadísticas y datos específicos sobre el tema