Difference between revisions of "Phishing"

From FdIwiki ELP
Jump to: navigation, search
(Página creada con «{{#breadcrumb: }} El '''Phishing''' o suplantación de identidad es un término informático que denomina un modelo de abuso informático que se caracteriza por intentar o...»)
 
 
(8 intermediate revisions by 4 users not shown)
Line 4: Line 4:
  
 
El mecanismo más empleado habitualmente es la generación de un correo electrónico falso que simule proceder de una determinada compañía bancaria, a cuyos clientes se pretende engañar. Dicho mensaje contendrá un enlace que apunta a una página web que imita en todo o en parte el aspecto y funcionalidad de la empresa, de la que se espera que el receptor mantenga una relación comercial.
 
El mecanismo más empleado habitualmente es la generación de un correo electrónico falso que simule proceder de una determinada compañía bancaria, a cuyos clientes se pretende engañar. Dicho mensaje contendrá un enlace que apunta a una página web que imita en todo o en parte el aspecto y funcionalidad de la empresa, de la que se espera que el receptor mantenga una relación comercial.
 +
 +
== Presentación ==
 +
 +
<pdf>Phishing.pdf</pdf>
 +
 +
== Características ==
 +
 +
Los mensajes suplantadores utilizan todo tipo de argumentos ingeniosos relacionados con la seguridad de la entidad o el adelanto de algún trámite administrativo para justificar la necesidad de facilitar sus datos personales. Entre las excusas frecuentes nos encontramos con:
 +
 +
*Problemas de carácter técnico.
 +
*Recientes detecciones de fraude y urgente incremento del nivel de seguridad.
 +
*Nuevas recomendaciones de seguridad para prevención del fraude.
 +
*Cambios en la política de seguridad de la entidad.
 +
*Promoción de nuevos productos.
 +
*Premios, regalos o ingresos económicos inesperados.
 +
*Accesos o usos anómalos a tu cuenta.
 +
*Inminente desactivación del servicio.
 +
*Falsas ofertas de empleo.
 +
Además, el correo fraudulento tratará de forzar al usuario a tomar una decisión de forma casi inmediata advirtiendo de consecuencias negativas como por ejemplo la denegación de acceso al servicio correspondiente o el pago de una multa económica.
 +
 +
Aunque los timadores perfeccionan sus técnicas continuamente, los mensajes fraudulentos generalmente se generan a través de herramientas automáticas que integran funcionalidades de traducción y diccionarios de sinónimos por lo que suelen presentar faltas ortográficas y errores gramaticales.
 +
 +
== Servicios más utilizados para llevar a cabo los ataques ==
 +
 +
*1. Bancos y cajas
 +
 +
Excusas utilizadas para engañar al usuario: cambio en la normativa del banco, cierre incorrecto de la sesión del usuario, mejoras en las medidas de seguridad, detectada intrusión en sus sistemas de seguridad, bloqueo de la cuenta por motivos de seguridad, etc.
 +
 +
Objetivo: robar números de tarjetas de crédito, tarjetas de coordenadas, PIN secreto, etc.
 +
 +
Ejemplos reales: phishing a ING DIRECT, phishing a Bankia, phishing a Banco Popular, phishing a Caja España, phishing al Banco Santander, phishing a Banco BBVA.
 +
 +
*2. Pasarelas de pago online (PayPal, Mastercard, Visa, etc.)
 +
 +
Excusas utilizadas para engañar al usuario: cambio en la normativa del servicio, cierre incorrecto de la sesión del usuario, mejoras en las medidas de seguridad, detectada intrusión en sus sistemas de seguridad, etc.
 +
 +
Objetivo: al igual que en el caso del phishing anterior, principalmente robar datos bancarios
 +
 +
Ejemplos reales: phishing a Mastercard.
 +
 +
*3. Redes sociales (Facebook, Twitter, Tuenti, Instagram, Linkedin, etc.)
 +
 +
Excusas utilizadas para engañar al usuario: alguien te ha enviado un mensaje privado, se han detectado conexiones extrañas en la cuenta, por motivos de seguridad es necesario que se cambien las claves, etc.
 +
 +
Objetivo: robar cuentas de usuarios, obtener sus datos privados y suplantar su identidad.
 +
 +
Ejemplos reales: phishing en Facebook, phishing en Twitter
 +
 +
*4. Páginas de compra/venta y subastas (Amazon, eBay, etc.)
 +
 +
Excusas utilizadas para engañar al usuario: problemas en la cuenta del usuario, detectados movimientos sospechosos, actualización de las condiciones del uso del servicio, etc.
 +
 +
Objetivo: robar cuentas de usuarios y estafar económicamente al usuario
 +
 +
Ejemplos reales : phishing a eBay.
 +
 +
*5. Juegos online
 +
 +
Excusas utilizadas para engañar al usuario: fallos de seguridad en la plataforma del juego, problemas en la cuenta del usuarios.
 +
 +
Objetivo: robar cuentas, datos privados, bancarios y suplantar la identidad de los usuarios.
 +
 +
Ejemplos reales : phishing a World of Warcraft.
 +
 +
*6. Soporte técnico y de ayuda (helpdesk) de empresas y servicios (Outlook, Yahoo!, Apple, Gmail, etc.)
 +
 +
Excusas utilizadas para engañar al usuario: confirmación de la cuenta de usuario, eliminación de cuentas inactivas, detectada actividad sospechosa en la cuenta, se ha superado el límite de capacidad de la cuenta, etc.
 +
 +
Objetivo: robar cuentas y datos privados de los usuarios.
 +
 +
Ejemplos reales: phishing a Apple
 +
 +
*7. Servicios de almacenamiento en la nube (Google Drive, Dropbox, etc.)
 +
 +
Excusas utilizadas para engañar al usuario:
 +
 +
Objetivo: Conseguir cuentas de distintos servicios de usuarios, obtener información privada.
 +
 +
Ejemplos reales: phishing a Google Docs
 +
 +
*8. Phishing a servicios o empresas públicas
 +
 +
Excusas utilizadas para engañar al usuario: información sobre una notificación, una multa,
 +
 +
Objetivo: infectar el ordenador, robar datos privados, bancarios y estafar económicamente al usuario.
 +
 +
Ejemplos reales: phishing a la Agencia Tributaria, phishing a la Policía Nacional, phishing a Correos y Telégrafos.
 +
 +
*9. Phishing a servicios de mensajería
 +
 +
Excusas utilizadas para engañar al usuario: el paquete enviado no ha podido ser entregado, tienes un paquete esperando, información sobre el seguimiento de un pedido, etc.
 +
 +
Objetivo: infectar ordenadores, robar datos privados y bancarios de los usuarios.
 +
 +
Ejemplos reales: phishing a DHL
 +
 +
*10. Falsas ofertas de empleo
 +
 +
Excusas utilizadas para engañar al usuario: puestos de trabajo.
 +
 +
Objetivo: robar datos privados que pueden ser utilizados posteriormente con distintos fines fraudulentos.
 +
== Como combatirlo ==
 +
 +
A veces no es fácil saber si una página es un phishing o es la página original ya que los phishers suelen copiar casi al pixel la página de la cuál se esta intentando plagiar, como hemos visto en la transparencia anterior.
 +
Para saber si realmente estamos en una página maliciosa o en al verdadera hay varias cosas que nos dan la información para saberlo:
 +
•El https o conexión segura: normalmente estas páginas no tienen la extensión de seguridad https, y las páginas que vayan a pedirte información sobre tarjetas o identificaciones deben tenerla
 +
•Who.is: esta página le metemos el dominio en el que estamos y nos dice a quien pertenece, además de mucha más información
 +
 +
Si detectamos una página fraudulenta de este tipo muchas veces simplemente la cerramos y la dejamos ahí sin hacer nada. Es decir, estamos dejando que sigan robando.
 +
¿Pero que podemos hacer nosotros?
 +
 +
Debemos avisar al CERT correspondiente, en nuestro caso al CERT de la Policía Nacional de España y ellos sabrán como gestionar el cierre de ese tipo de páginas.
 +
Lo mejor para ello es mandarles un correo con la URL, o URLs que hemos visto con los fraudes, pantallazos con la hora y la página y con una etiqueta urgente en el asunto del mensaje.
 +
 +
 +
== Consejos para protegernos del phishing ==
 +
 +
 +
Debido a que cualquier usuario de una herramienta informática es vulnerable a al phishing, vamos a dar unos cuantos consejos para estas protegidos contra este tipo de delito.
 +
 +
* Uno de los principales consejos es no entregar tus datos por correo electrónico. Las bancos casi nunca solicitaran tus datos financieros o de sus tarjetas de crédito por correo.
 +
 +
* Si duda de la veracidad del correo electrónico, jamás haga clic en un link incluido en el mismo.
 +
 +
* Compruebe que la página web en la que ha entrado es una dirección segura ha de empezar con https:// y un pequeño candado cerrado debe aparecer en la barra de estado de nuestro navegador.
 +
 +
* Si sospecha que fue víctima del Phishing, cambie inmediatamente todas sus contraseñas y póngase en contacto con la empresa o entidad financiera para informarles.
 +
 +
== Véase también ==
 +
 +
* ''[[Smishing]]''
 +
== Referencias ==
 +
*https://www.osi.es/es/actualidad/blog/2014/04/11/aprendiendo-identificar-los-10-phishing-mas-utilizados-por-ciberdelincuen

Latest revision as of 13:28, 9 January 2018

El Phishing o suplantación de identidad es un término informático que denomina un modelo de abuso informático que se caracteriza por intentar obtener datos confidenciales del usuario, que posteriormente son utilizados para la realización de algún tipo de fraude.

El mecanismo más empleado habitualmente es la generación de un correo electrónico falso que simule proceder de una determinada compañía bancaria, a cuyos clientes se pretende engañar. Dicho mensaje contendrá un enlace que apunta a una página web que imita en todo o en parte el aspecto y funcionalidad de la empresa, de la que se espera que el receptor mantenga una relación comercial.

Presentación

Características

Los mensajes suplantadores utilizan todo tipo de argumentos ingeniosos relacionados con la seguridad de la entidad o el adelanto de algún trámite administrativo para justificar la necesidad de facilitar sus datos personales. Entre las excusas frecuentes nos encontramos con:

  • Problemas de carácter técnico.
  • Recientes detecciones de fraude y urgente incremento del nivel de seguridad.
  • Nuevas recomendaciones de seguridad para prevención del fraude.
  • Cambios en la política de seguridad de la entidad.
  • Promoción de nuevos productos.
  • Premios, regalos o ingresos económicos inesperados.
  • Accesos o usos anómalos a tu cuenta.
  • Inminente desactivación del servicio.
  • Falsas ofertas de empleo.

Además, el correo fraudulento tratará de forzar al usuario a tomar una decisión de forma casi inmediata advirtiendo de consecuencias negativas como por ejemplo la denegación de acceso al servicio correspondiente o el pago de una multa económica.

Aunque los timadores perfeccionan sus técnicas continuamente, los mensajes fraudulentos generalmente se generan a través de herramientas automáticas que integran funcionalidades de traducción y diccionarios de sinónimos por lo que suelen presentar faltas ortográficas y errores gramaticales.

Servicios más utilizados para llevar a cabo los ataques

  • 1. Bancos y cajas

Excusas utilizadas para engañar al usuario: cambio en la normativa del banco, cierre incorrecto de la sesión del usuario, mejoras en las medidas de seguridad, detectada intrusión en sus sistemas de seguridad, bloqueo de la cuenta por motivos de seguridad, etc.

Objetivo: robar números de tarjetas de crédito, tarjetas de coordenadas, PIN secreto, etc.

Ejemplos reales: phishing a ING DIRECT, phishing a Bankia, phishing a Banco Popular, phishing a Caja España, phishing al Banco Santander, phishing a Banco BBVA.

  • 2. Pasarelas de pago online (PayPal, Mastercard, Visa, etc.)

Excusas utilizadas para engañar al usuario: cambio en la normativa del servicio, cierre incorrecto de la sesión del usuario, mejoras en las medidas de seguridad, detectada intrusión en sus sistemas de seguridad, etc.

Objetivo: al igual que en el caso del phishing anterior, principalmente robar datos bancarios

Ejemplos reales: phishing a Mastercard.

  • 3. Redes sociales (Facebook, Twitter, Tuenti, Instagram, Linkedin, etc.)

Excusas utilizadas para engañar al usuario: alguien te ha enviado un mensaje privado, se han detectado conexiones extrañas en la cuenta, por motivos de seguridad es necesario que se cambien las claves, etc.

Objetivo: robar cuentas de usuarios, obtener sus datos privados y suplantar su identidad.

Ejemplos reales: phishing en Facebook, phishing en Twitter

  • 4. Páginas de compra/venta y subastas (Amazon, eBay, etc.)

Excusas utilizadas para engañar al usuario: problemas en la cuenta del usuario, detectados movimientos sospechosos, actualización de las condiciones del uso del servicio, etc.

Objetivo: robar cuentas de usuarios y estafar económicamente al usuario

Ejemplos reales : phishing a eBay.

  • 5. Juegos online

Excusas utilizadas para engañar al usuario: fallos de seguridad en la plataforma del juego, problemas en la cuenta del usuarios.

Objetivo: robar cuentas, datos privados, bancarios y suplantar la identidad de los usuarios.

Ejemplos reales : phishing a World of Warcraft.

  • 6. Soporte técnico y de ayuda (helpdesk) de empresas y servicios (Outlook, Yahoo!, Apple, Gmail, etc.)

Excusas utilizadas para engañar al usuario: confirmación de la cuenta de usuario, eliminación de cuentas inactivas, detectada actividad sospechosa en la cuenta, se ha superado el límite de capacidad de la cuenta, etc.

Objetivo: robar cuentas y datos privados de los usuarios.

Ejemplos reales: phishing a Apple

  • 7. Servicios de almacenamiento en la nube (Google Drive, Dropbox, etc.)

Excusas utilizadas para engañar al usuario:

Objetivo: Conseguir cuentas de distintos servicios de usuarios, obtener información privada.

Ejemplos reales: phishing a Google Docs

  • 8. Phishing a servicios o empresas públicas

Excusas utilizadas para engañar al usuario: información sobre una notificación, una multa,

Objetivo: infectar el ordenador, robar datos privados, bancarios y estafar económicamente al usuario.

Ejemplos reales: phishing a la Agencia Tributaria, phishing a la Policía Nacional, phishing a Correos y Telégrafos.

  • 9. Phishing a servicios de mensajería

Excusas utilizadas para engañar al usuario: el paquete enviado no ha podido ser entregado, tienes un paquete esperando, información sobre el seguimiento de un pedido, etc.

Objetivo: infectar ordenadores, robar datos privados y bancarios de los usuarios.

Ejemplos reales: phishing a DHL

  • 10. Falsas ofertas de empleo

Excusas utilizadas para engañar al usuario: puestos de trabajo.

Objetivo: robar datos privados que pueden ser utilizados posteriormente con distintos fines fraudulentos.

Como combatirlo

A veces no es fácil saber si una página es un phishing o es la página original ya que los phishers suelen copiar casi al pixel la página de la cuál se esta intentando plagiar, como hemos visto en la transparencia anterior. Para saber si realmente estamos en una página maliciosa o en al verdadera hay varias cosas que nos dan la información para saberlo: •El https o conexión segura: normalmente estas páginas no tienen la extensión de seguridad https, y las páginas que vayan a pedirte información sobre tarjetas o identificaciones deben tenerla •Who.is: esta página le metemos el dominio en el que estamos y nos dice a quien pertenece, además de mucha más información

Si detectamos una página fraudulenta de este tipo muchas veces simplemente la cerramos y la dejamos ahí sin hacer nada. Es decir, estamos dejando que sigan robando. ¿Pero que podemos hacer nosotros?

Debemos avisar al CERT correspondiente, en nuestro caso al CERT de la Policía Nacional de España y ellos sabrán como gestionar el cierre de ese tipo de páginas. Lo mejor para ello es mandarles un correo con la URL, o URLs que hemos visto con los fraudes, pantallazos con la hora y la página y con una etiqueta urgente en el asunto del mensaje.


Consejos para protegernos del phishing

Debido a que cualquier usuario de una herramienta informática es vulnerable a al phishing, vamos a dar unos cuantos consejos para estas protegidos contra este tipo de delito.

  • Uno de los principales consejos es no entregar tus datos por correo electrónico. Las bancos casi nunca solicitaran tus datos financieros o de sus tarjetas de crédito por correo.
  • Si duda de la veracidad del correo electrónico, jamás haga clic en un link incluido en el mismo.
  • Compruebe que la página web en la que ha entrado es una dirección segura ha de empezar con https:// y un pequeño candado cerrado debe aparecer en la barra de estado de nuestro navegador.
  • Si sospecha que fue víctima del Phishing, cambie inmediatamente todas sus contraseñas y póngase en contacto con la empresa o entidad financiera para informarles.

Véase también

Referencias