Mar28Dic2010

Phishing

Nivel de comprensión algo díficil

 

Definición previa de phishing

Phishing es un término que proviene de la palabra inglesa fish (pescar). Lo único es que se sustituye la f por ph, que en inglés suena igual.

El término phish es una similitud de la pesca. Podemos establecer que los peces son los internautas, y los pescadores son los hackers-crackers que "pescan" a sus víctimas. El mar, en este caso, es Internet.

 

Qué es el phishing y quienes son los phishers

El phishing es una técnica que intenta conseguir, mediante engaño, datos personales del usuario (contraseñas, datos bancarios, PINs, etc.).

Los phishers son las personas que realizan el phishing.

 

Cómo se realiza el engaño de phishing

La forma más habitual para intentar engañar al usuario es mediante el envío de un correo electrónico donde se le invita a visitar una página web para realizar alguna comprobación rutinaria, actualización de algún dato, etc. En el email se incluye un enlace hacia esa página web. Aunque parece que lleva a la página real, en realidad redirige hacia una copia exacta de la web. En ella, la víctima se identifica como si fuera la página real, dando en realidad sus datos de acceso al phisher, que utilizará como más le convenga (transferencias fraudulentas, pagos, etc.).

 

Objetivos de phishing

1.- Bancos y entidades financieras.

2.- Portales de subasta.

3.- Las empresas online de negociación de valores.

4.- Tiendas grandes online.

Los dos primeros objetivos son los que abarcan el mayor porcentaje de intentos de phishing.

 

Problemática del phising

Generalmente, las transferencias fraudulentas por Internet (como hemos explicado anteriormente) se llevan a cabo mediante la suplantación de la personalidad del cliente, previa obtención por distintos procedimientos de sus datos y claves de identificación.

El problema es que, a la vista de la entidad, el autor de las transferencias es el cliente. Es decir, el problema reside en la correcta identificación del cliente y en las medidas de autentificación ofrecidas por la entidad. A pesar de que, con carácter general, las entidades de crédito cuentan con medidas de seguridad internas muy eficaces para prevenir y minimizar el fraude electrónico, estas medidas no son suficientes para eludir la sofisticación de los phishers. En la mayoría de los casos, los fraudes pueden llegar a superar las posibilidades del cliente medio, que, en general, no es un experto en seguridad informática.

Una rápida reacción tanto del cliente y de las entidades ordenante y beneficiaria de la transferencia permitiría recuperar los fondos transferidos fraudulentamente. Depende de la disposición y los medios implementados por la entidad que se minimicen los riesgos por estas prácticas.

En la actualidad hay varias herramientas que hacen más difícil este tipo de delitos: tarjetas de correspondencia de números y claves secundarias, comprobaciones "in situ", comprobaciones mediante SMS, etc.

 

Sitios Falsos y Modus Operandi

El estafador sólo tiene que copiar la web haciendo un réplica exacta. Generalmente se usan técnicas avanzadas, en otros casos es un robot el que copia el contenido, y en otros es sencillamente una web que a efectos visuales, es y actúa como la web original.

Una vez creado y diseñado un sitio falso, se le envía un email a la víctima. El correo electrónico enviado por un phisher puede contener un enlace que se verá como la página oficial, pero el hecho es que el email oculta la dirección real. Una vez en la webs réplica es muy fácil que la víctima dé sus datos.

 

Motivos por los que la gente cae en el engaño

  • El desconocimiento de los usuarios.
  • La confianza de un email supuestamente recibido de su banco.
  • El hecho de que los usuarios no analicen la legitimidad de la página web
    • No miran si usa un protocolo seguro.
    • No comprueban que están en la web que deben estar mirando la URL.
    • No miran los indicadores que usan los navegadores para ver si un web es segura o no. (Esto ha cambiado con el paso de los años.
  • En último caso, la falta de información de su entidad o banco de que existen estas prácticas, y del peligro que conllevan.

 

Consejos para evitar el phishing

1.- Si usted recibe un email o mensaje popup que pide o información financiera confidencial, no responda ni pinche en el enlace del mensaje.

2.- Generalmente cualquier entidad no pide datos personales a través del email.

3.- Si duda, póngase en contacto por teléfono con la entidad para que le informen.

4.- Nunca "corte y pegue" el enlace del mensaje en su navegador.

5.- Nunca responda al email solicitando información al respecto.

6.- Antes de dar cualquier tipo de información personal (claves, PINs, datos bancarios, etc.) debe saber que está en un página web segura. Busque indicadores de seguridad del sitio, como un icono de candado en la barra de estado del navegador o una URL para un sitio web que comience con "https:" (donde "s" corresponde a "seguro").

7.- Revise regularmente sus cuentas. Si tiene cualquier cargo sospechoso o no recibe el estado de sus cuentas, llame a su banco para resolver cualquier duda. Siempre a un teléfono de confianza de la entidad financiera.

8.- Mantenga su antivirus actualizado.

9.- Tener un firewall (cortafuegos) bien configurado es una buena práctica.

10.- La precaución a la hora de dar sus datos más delicados.