Phishing.

3 agosto, 2010

El fraude electrónico es un delito informático, el cual esta presente en la mente de los usuarios o consumidores que desean realizar transacciones por Internet. Uno de los delitos mas comunes es el phishing el cual es el fraude electrónico que tiene como objetivo el robo de identidad.

¿Que es el Phishing y de donde proviene?

El phishing es una modalidad de estafa electrónica que por medio de correos electrónicos o sitios web clonados tienen la finalidad de obtener información confidencial y personal de los usuarios; sobre todo información de tipo bancaria y financiera. Esto permite utilizar esos datos para realizar transacciones oficiales suplantando la identidad de los usuarios los cuales sufren las consecuencias monetarias al recibir notificaciones de cargos, traspasos y compras que ellos no ejecutaron.

El termino “phishing” proviene de “pesca” en ingles (fishing),  y viene de la contracción “password harvesting fishing” (Cosecha y pesca de contraseñas). Término que identifica perfectamente el método que se sigue para obtener la información de forma ilegal.

¿Como funciona?

El phishing, puede utilizar diversos elementos para desarrollarse; sin embargo, el procedimiento es el mismo. Es decir, Primero un usuario malintencionado y sobre todo experto en Tecnologías de información utiliza aplicaciones y medios electrónicos como e-mail, banners, incluso clona sitios web de organizaciones confiables, con la finalidad de tener un acercamiento con su victima.

Proceso Phishing

1.- Phisher ataca

El Phisher puede utilizar varios metodos; lo primero es utilizar un servidor para envíos masivos de correos o aplicaciones que comenzaran la estafa; en algunas ocasiones puede contar con un servidor configurado especialmente con aplicaciones y tareas establecidas para buscar contacto con los usuarios y sobre todo desde un lugar apartado y escondido de la autoridad. La otra manera es acceder a un servidor remoto por medio de comandos de monitoreo, rastreo y acceso a redes remotas. Esto permite evitar localizar su ubicación y poder ejecutar sus operaciones sin ser visto.

2.- Emailing Falso

Se comienzan a enviar correos electrónicos masivos por lo general no se busca algún usuario en especifico, a menos que el phisher conozca la cuenta de correo de su pretendida victima.  también existen aplicaciones que pueden realizar envíos masivos de correos electrónicos provocando que esta tecnica se desarrolle si se utilizan de forma inadecuada. Consecuentemente, los correos electrónicos son enviados a diversos usuarios receptores, correos que trataran de engañar a su posible victima.

3.- Link Falso

El usuario identifica el correo, lee su redacción y observa los logos o imágenes relacionadas con una “x” organización seria y legalmente establecida, observa el enlace url que el correo preparado por el phisher y accede.

4.- Phish Web site

El usuario accede a un sitio web idéntico al de la institución bancaria, recordemos que el sitio puede ser exacto al oficial y que existen herramientas web que permiten clonar sitios de Internet con todo y su contenido gráfico, de animación y código html. Cabe destacar que el software de diseño gráfico actual es poderoso y colabora con usuarios, incluyendo a los malintencionados y sin etica a realizar sus fraudes y copias. Por otro lado, visualizando el sitio web falso el usuario revisa y  puede identificar logos, imágenes y la interfaz de la pagina simulada por lo tanto confía en la oficialidad y legalidad del sitio y por consecuente de su contenido y “su solicitud de datos que le requiere”. después, los datos son ingresados por la victima, le han solicitado probablemente números de cuenta, de tarjetas de crédito, códigos de seguridad, NIP, y datos personales. El robo de información esta en proceso.

5.- Phishing Concluido

La victima ha ingresado los datos personales que le han solicitado en el sitio web; estos van directamente hacia el phisher, a través de Internet se transmiten y aseguran en el servidor comprometido o el que tiene instalado el phisher. Este ultimo utilizara a libertad los datos recolectados. Phishing concluido; buena pesca el día hoy!!!

Prevención contra el Phishing.

El phinshing cuenta con una interfaz idéntica a las instituciones oficiales y con correos electrónicos con url falsos; Sin embargo, puede prevenirse.

  • Tal vez, la mas importante es concienciar al usuario con respecto a los riesgos del uso del correo electrónico; los detalles que deben observar para identificar algún correo electrónico sospechoso y las medidas preventivas que puede seguir para proteger su información.
  • Se deben observar algunos detalles de los correos que reciban, por ejemplo: el remitente debe ser revisado y confirmar la dirección de correo electrónico de donde proviene, ya que si fuese oficial vendría con un dominio referente a la empresa (por ejemplo: @organizacionlegal.com ), salvo en ocasiones pueden ser irregulares en comparación con otras. también, hay que revisar las imágenes que vienen en la interfaz del email ya que se pueden identificar algunas irregularidades con respecto a las imágenes y logos oficiales de los organismos legales.
  • Nunca se debe contestar un email directamente; es importante que se confirme la fuente; es decir, se puede hablar por teléfono a la organización que aparentemente le envió el correo.
  • Para los url o ligas que aparecen en el email es preferible copiarlos y pegarlos en el navegador que utilice y así comprobar la autenticidad de la pagina. Ademas se evitaría el acceso directo al phish web site.
  • Si realizan transacciones por Internet es importante asesorarse con el banco que le provee el servicio, ya que cuentan con herramientas y procedimientos de seguridad que agregan transparencia y legalidad a sus transacciones ademas de respaldo legal.
  • En cuestiones técnicas, el uso de antivirus es importante para un equipo de computo; no obstante, es insuficiente, ya que se puede complementar con aplicaciones anti-spyware, hay de varios tipos y es bueno contar con algunos diferentes y ejecutarlos con periodicidad; ademas, algunas de estas tienen opciones de monitoreo y revisión de correos electrónicos ( ningún antivirus es anti todo ni todo poderoso), esto permite establecer una estrategia de seguridad para un equipo de computo.
  • Por otro lado, los navegadores cuentan con vulnerabilidades, no existe ninguno infalible y 100% seguro, así que es importante utilizar el protocolo https ( HyperText Transfer Protocol Secure) para navegar.
  • Buscar la asesoría de un profesional ( Si son empleados y tienen uso de correo electrónico, deben apoyarse con su administrador).

El phishing promueve la desconfianza y daña la integridad de la información de los usuarios e interfiere en el desarrollo ético y adecuado de las tecnologías de la información. Cabe destacar que aunque se generen aplicaciones de seguridad siempre se desarrollan otras con fines delictivos y ofensivos. Sin embargo, el uso de correo electrónico debe promoverse; es decir, de forma segura y ética se debe fomentar su aplicación a las actividades diarias. El phishing es peligroso pero puede evitarse.

Fuentes: