Phishing.

3 agosto, 2010

El fraude electrónico es un delito informático, el cual esta presente en la mente de los usuarios o consumidores que desean realizar transacciones por Internet. Uno de los delitos mas comunes es el phishing el cual es el fraude electrónico que tiene como objetivo el robo de identidad.

¿Que es el Phishing y de donde proviene?

El phishing es una modalidad de estafa electrónica que por medio de correos electrónicos o sitios web clonados tienen la finalidad de obtener información confidencial y personal de los usuarios; sobre todo información de tipo bancaria y financiera. Esto permite utilizar esos datos para realizar transacciones oficiales suplantando la identidad de los usuarios los cuales sufren las consecuencias monetarias al recibir notificaciones de cargos, traspasos y compras que ellos no ejecutaron.

El termino “phishing” proviene de “pesca” en ingles (fishing),  y viene de la contracción “password harvesting fishing” (Cosecha y pesca de contraseñas). Término que identifica perfectamente el método que se sigue para obtener la información de forma ilegal.

¿Como funciona?

El phishing, puede utilizar diversos elementos para desarrollarse; sin embargo, el procedimiento es el mismo. Es decir, Primero un usuario malintencionado y sobre todo experto en Tecnologías de información utiliza aplicaciones y medios electrónicos como e-mail, banners, incluso clona sitios web de organizaciones confiables, con la finalidad de tener un acercamiento con su victima.

Proceso Phishing

1.- Phisher ataca

El Phisher puede utilizar varios metodos; lo primero es utilizar un servidor para envíos masivos de correos o aplicaciones que comenzaran la estafa; en algunas ocasiones puede contar con un servidor configurado especialmente con aplicaciones y tareas establecidas para buscar contacto con los usuarios y sobre todo desde un lugar apartado y escondido de la autoridad. La otra manera es acceder a un servidor remoto por medio de comandos de monitoreo, rastreo y acceso a redes remotas. Esto permite evitar localizar su ubicación y poder ejecutar sus operaciones sin ser visto.

2.- Emailing Falso

Se comienzan a enviar correos electrónicos masivos por lo general no se busca algún usuario en especifico, a menos que el phisher conozca la cuenta de correo de su pretendida victima.  también existen aplicaciones que pueden realizar envíos masivos de correos electrónicos provocando que esta tecnica se desarrolle si se utilizan de forma inadecuada. Consecuentemente, los correos electrónicos son enviados a diversos usuarios receptores, correos que trataran de engañar a su posible victima.

3.- Link Falso

El usuario identifica el correo, lee su redacción y observa los logos o imágenes relacionadas con una “x” organización seria y legalmente establecida, observa el enlace url que el correo preparado por el phisher y accede.

4.- Phish Web site

El usuario accede a un sitio web idéntico al de la institución bancaria, recordemos que el sitio puede ser exacto al oficial y que existen herramientas web que permiten clonar sitios de Internet con todo y su contenido gráfico, de animación y código html. Cabe destacar que el software de diseño gráfico actual es poderoso y colabora con usuarios, incluyendo a los malintencionados y sin etica a realizar sus fraudes y copias. Por otro lado, visualizando el sitio web falso el usuario revisa y  puede identificar logos, imágenes y la interfaz de la pagina simulada por lo tanto confía en la oficialidad y legalidad del sitio y por consecuente de su contenido y “su solicitud de datos que le requiere”. después, los datos son ingresados por la victima, le han solicitado probablemente números de cuenta, de tarjetas de crédito, códigos de seguridad, NIP, y datos personales. El robo de información esta en proceso.

5.- Phishing Concluido

La victima ha ingresado los datos personales que le han solicitado en el sitio web; estos van directamente hacia el phisher, a través de Internet se transmiten y aseguran en el servidor comprometido o el que tiene instalado el phisher. Este ultimo utilizara a libertad los datos recolectados. Phishing concluido; buena pesca el día hoy!!!

Prevención contra el Phishing.

El phinshing cuenta con una interfaz idéntica a las instituciones oficiales y con correos electrónicos con url falsos; Sin embargo, puede prevenirse.

  • Tal vez, la mas importante es concienciar al usuario con respecto a los riesgos del uso del correo electrónico; los detalles que deben observar para identificar algún correo electrónico sospechoso y las medidas preventivas que puede seguir para proteger su información.
  • Se deben observar algunos detalles de los correos que reciban, por ejemplo: el remitente debe ser revisado y confirmar la dirección de correo electrónico de donde proviene, ya que si fuese oficial vendría con un dominio referente a la empresa (por ejemplo: @organizacionlegal.com ), salvo en ocasiones pueden ser irregulares en comparación con otras. también, hay que revisar las imágenes que vienen en la interfaz del email ya que se pueden identificar algunas irregularidades con respecto a las imágenes y logos oficiales de los organismos legales.
  • Nunca se debe contestar un email directamente; es importante que se confirme la fuente; es decir, se puede hablar por teléfono a la organización que aparentemente le envió el correo.
  • Para los url o ligas que aparecen en el email es preferible copiarlos y pegarlos en el navegador que utilice y así comprobar la autenticidad de la pagina. Ademas se evitaría el acceso directo al phish web site.
  • Si realizan transacciones por Internet es importante asesorarse con el banco que le provee el servicio, ya que cuentan con herramientas y procedimientos de seguridad que agregan transparencia y legalidad a sus transacciones ademas de respaldo legal.
  • En cuestiones técnicas, el uso de antivirus es importante para un equipo de computo; no obstante, es insuficiente, ya que se puede complementar con aplicaciones anti-spyware, hay de varios tipos y es bueno contar con algunos diferentes y ejecutarlos con periodicidad; ademas, algunas de estas tienen opciones de monitoreo y revisión de correos electrónicos ( ningún antivirus es anti todo ni todo poderoso), esto permite establecer una estrategia de seguridad para un equipo de computo.
  • Por otro lado, los navegadores cuentan con vulnerabilidades, no existe ninguno infalible y 100% seguro, así que es importante utilizar el protocolo https ( HyperText Transfer Protocol Secure) para navegar.
  • Buscar la asesoría de un profesional ( Si son empleados y tienen uso de correo electrónico, deben apoyarse con su administrador).

El phishing promueve la desconfianza y daña la integridad de la información de los usuarios e interfiere en el desarrollo ético y adecuado de las tecnologías de la información. Cabe destacar que aunque se generen aplicaciones de seguridad siempre se desarrollan otras con fines delictivos y ofensivos. Sin embargo, el uso de correo electrónico debe promoverse; es decir, de forma segura y ética se debe fomentar su aplicación a las actividades diarias. El phishing es peligroso pero puede evitarse.

Fuentes:


Comercio electronico seguro…

9 julio, 2010

En tiempos de alta competitividad para la comercialización de productos y servicios, las tecnologías de información se han convertido en una alternativa atractiva para buscar un acercamiento con millones de usuarios que se traducen en consumidores potenciales y optimizar sus ingresos.  Una de estas alternativas es el comercio electrónico.

E-Comerce…

El comercio electrónico es una actividad que permite el contrato o la adquisición de productos y/o servicios a travez de  medios electrónicos; son transacciones realizadas electronicamente para adquirir o vender algun producto o servicio. El comercio electrónico es cualquier actividad de intercambio comercial en la que las transacciones de compra, venta y pago se realizan a través de un medio telemático, los cuales incluyen servicios financieros y bancarios suministrados por Internet.

Esta actividad se ha desarrollado gracias a la globalización que el mundo actual presenta, además de los avances tecnológicos que se generan constantemente, y simplemente la adaptación de las empresas para los cambios de mercados basados en sus necesidades renovables.

Esta actividad es una alternativa atractiva para las empresas debido a que les permite buscar un acercamiento a millones de usuarios que navegan en internet, reduce tiempo y distancias para las transacciones,  la promoción y venta de los productos o servicios esta disponible las 24 horas de dia, los 365 dias del año. No obstante, existen riesgos al realizar este tipo de transacciones. Cabe destacar que un proceso electrónico que para su desempeño utiliza números de cuenta, y datos confidenciales de los usuarios, despierta las inquietudes malintencionadas de otros.

Los riesgos

En cuanto a riesgos técnicos que se presentan en la práctica del comercio electrónico son en el almacenamiento de la información y la transferencia de datos.

Para el almacenamiento de los datos que las transacciones manejan, pueden ser alterados y destruidos, por usuarios o intrusos que tengan algúna via de acceso al banco de datos.

Para la transferencia de datos, la información procesada debe permanecer integra y privada; sin embargo, un ejemplo de riesgo es el fraude, que probablemente el que la mayoría de los usuarios teme, ya que para usuarios expertos y/o malintencionados el costo para desarrollar sitios web y la facilidad de copiar las páginas existentes (principalmente bancarias o de tiendas departamentales) permiten crear sitios ilegítimos que parecen ser operados por empresas establecidas. De esta manera los profesionales del engaño pueden obtener los datos de tarjetas de crédito de los visitantes mediante sitios Web de aspecto profesional que imitan a negocios legítimos; es decir, un usuario recibe en su bandeja de correo electrónico una liga de un falso comercial que su banco requiere actualizar cierta información de las bases de datos de sus clientes, el usuario accede a un sitio muy similar al de la organización bancaria, y va agregando dato por dato incluyendo numeros de cuenta, nip y asi logran robar la información del usuario. Otro caso que se puede presentar es la interceptación de las transacciones electrónicas; es decir, usuarios avanzados pueden monitorear, robar y alterar los datos enviados por medio de aplicaciones desarrolladas por usuarios expertos que monitorean el trafico en la red.

Delitos Informáticos

Los usuarios malintencionados utilizan tecnicas avanzadas para delinquir y afectar a otros por ejemplo los delitos informáticos, estos delitos que afectan al comercio electrónico se basan en las siguientes técnicas:

Hijacking.- Se denomina hijacking a las técnicas informáticas que se utilizan para adueñarse o “secuestrar” páginas web, conexiones de internet, dominios, IPs, etc. Existen programas que clonan sitios web, desarrollados principalmente para conocer programacion web; sin embargo, son utilizados para suplantar los sitios oficiales y robar información.

Web bug.- Web bug es una imagen en una pagina web o en un mensaje de correo electrónico que se diseña para controlar quien que transmiten informacion sobre el usuarios a sitios comervciales u otros usuarios malintencionados con el fin de reconocerlos. Con cada visita a un sitio web, se obtienen archivos ocultos que tienen la finalidad de obtener información sobre las preferencias comerciales del usuario; no obstante, un Web bug es un programa discreto, camuflajeado que pretende obtener datos sobre el equipo del usuario como sistema operativo, direccion ip, etc.

Pharming.- Modalidad de estafa online que utiliza la manipulación de los servidores DNS (Domine Name Server) para redireccionar el nombre de un dominio, visitado habitualmente por el usuario, a una página web idéntica a la original, que ha sido creada para obtener datos confidenciales del usuario, como contraseñas, datos bancarios, etc.

Phishing.- Fraude tradicionalmente cometido a través de internet, que pretende conseguir datos confidenciales de usuarios como contraseñas o claves de acceso a cuentas bancarias. Para lograr esta información, se realizan envíos masivos de correos electrónicos, que simulan proceder de entidades de confianza. En el mensaje se pide al usuario que, por “motivos de seguridad” o con el fin de “confirmar su cuenta”, facilite sus datos personales, claves, etc. El correo electrónico, es clave para el exito de tècnicas ofensivas, es importante saber que revisas, y conocer a los contactos con los que se tiene relación.

¿Aspectos legales?

Además, existen riesgos de que afectan a vendedores y consumidores e incluso afectan al dearrollo del comercio electrónico, pero estos son de caracter legal, no se conocen leyes que protejan a los usuarios en esta práctica. Es indiscutible que existe poca información sobre las leyes que protegen a los vendedores y consumidores con respecto a estas transacciones. Tal vez, no son tan conocidas pero existen iniciativas establecidas y otras en proceso, las cuales deben ser mas accesibles. En Mèxico la ley federal para la protección del consumidor establece garantías para los proveedores y consumidores en transacciones electrónicas, es un esfuerzo interesante debido a la necesidad de regulación para este tipo de mercado. Por ejemplo:

“II. El proveedor utilizará alguno de los elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por el consumidor e informará a éste, previamente a la celebración de la transacción, de las características generales de dichos elementos” ( ley federal para la protección del consumidor).

Prevención?

Sin embargo, existen métodos y guías que permiten desarrollar y participar en el comercio electrónico de manera adecuada por ejemplo:

1.- Los usuarios consumidores o vendedores deben ser informacionalmente hábiles; es decir, que los usuarios deben mantenerse informados, conocer los riesgos y técnicas delictivas de desarrollan al día para conocerlas y saber como enfrentarlas, además, no todo el contenido en internet es real, al conocer cierta información es indispensable cerciorarse con otros autores, bloggers, investigadores sobre algun tema para poder generar ideas abiertas y así, obtener un mejor provecho.

2.- Los usuarios clientes o vendedores deben informarse o conocer como es el proceso del comecio elecrónico, ya que esta parte no es muy mencionada; por ejemplo, el conocer como se van desarrollando las transacciones, que bancos ofrecen estos servicios para las empresas, que garantías de seguridad ofrecen, que opciones de pago se pueden realizar. Que metodos de cifrado y certificación segura utilizan para las transacciones.

3.- La ética, es indispensable para que las partes involucradas obtengan los beneficios de estas transacciones, el no repudio para garantizar la validez de una transacción. además conocer la reputación de los vendedores y compradores con los cuales se tendra contacto.

4.- Aplicaciones, Es cierto que se generan herramientas lógicas para delinquir; sin embargo, también es importante la utilización de firewall, antivirus, programas antispyware, anti-spam que puede dar un valor agregado a la estrategia de seguridad de servidores y equipos dedicados para las transacciones electrónicas.

5.- Métodos numericos, el cifrado, encriptación y certificados de seguridad permiten que los sitios web dedicados al e-comerce aseguren la integridad, privacidad y culminación segura de una transacción, para ello, los usuarios deben informarse como funcionan estas llaves para proteger una compra.

6.- Buscar la asesoría de un profesional, las tecnologías de información tienen una gran demanda y una gran variación de ramas, por lo tanto, se puede buscar asesoría de un especialista antes de realizar cualquier movimiento tanto para compradores o vendedores y proteger tu patrimonio. La asesoría legal es igual de importante ya que en caso de ser victima de un delito al realizar una transacción electrónica, se puede orientar a que dependencia acudir o que garantías legales se cuentan para proteger un patrimonio.

Es importante informarse y conocer, las tecnologías de información deben ser exploradas y desarrolladas con la finalidad de buscar la mejora continua en las actividades cotidianas, nuevas alternativas y soluciones; sin embargo, es necesario saber de los riesgos que se pueden presentar para saber hacerles frente y obtener el mejor provechopara los usuarios.

Fuentes: