UNIVERSIDAD NACIONAL DEL

NORDESTEFacultad de Ciencias Exactas Y

Naturales y Agrimensura

Disertante: Maneiro Yanina

PHISHING

• Introducción

• ¿Qué es el Phishing?.

• Historia del phishing.

• Intentos recientes de phishing.

• Técnicas de phishing.

• Lavado de dinero producto del phishing.

• Daños causados por el phishing.

• Respuesta social.

• Respuestas técnicas.

• Respuestas legislativas y judiciales.

• Notas Importantes.

• Como lo denuncio?.

• Conclusiones.

TEMAS

INTRODUCCION

La información se ha convertido en un activo de altísimovalor, el cual se debe proteger y asegurar.

La masiva utilización de las computadoras y redescomo medios para almacenar, transferir yprocesar información se ha incrementado en losúltimos años.

•Son abiertas y accesibles

•Permiten intercambios rápidos y eficientes a nivel mundial y a bajo costo.

•Este concepto hace posible nuevas formas defuncionamiento de la sociedad actual que se vedificultada por las inseguridades que van dejando aldescubierto.

INTERNET

INTRODUCCION

Datos Interesantes

PROGRESION DE USUARIOS EN EL MUNDO

AÑO Nº Usuarios

1990 0,7-1 millón

2000 300-400 millones

2002 400-500 millones

2003 500-600 millones

2004 800 millones

2005 1.000 millones

Internet ha pasado de tener miles de usuariosen 1983 a más de 800 millones de usuarios en elmundo en el 2004 y 1000 millones en el 2005.

Fuente: Angus Reid Group

INTRODUCCION

El contenido más visto (Marzo 2007)

Tomando como base una muestra de 10 millones de usuarios de Internet, se obtuvieron los siguientes resultados respecto a los contenidos de sitios Webmás vistos.

Encuesta realizada y publicada por Hitwise.

11.6% -- Contenido Adulto9.9% -- Correo electrónico8.6% -- Entretenimiento7.8% -- Motores de Búsqueda7.8% -- Negocios / Finanzas7.6% -- Compras6.0% -- Redes sociales3.5% -- Noticias2.8% -- Educación1.8% -- Viajes

INTRODUCCION

Tipos de Correo recibidos

Cantidades y tipo de correo electrónico que se recibe por parte de los usuarios de Internet. Se nota una fuerte incidencia del correo no solicitado y comercial.

0 1-10 11-30 31-50 50+

SPAM 3% 20% 19% 17% 41%

Trabajo o Negocios 7% 20% 20% 16% 37%

Amigos o Familia 0% 36% 38% 15% 11%

Oferta de Venta autorizada 3% 50% 34% 9% 4%

Interés personal o hobby 8% 59% 23% 6% 4%

Boletin de Negocios 17% 58% 17% 5% 3%

Estado de Cuenta o Factura 6% 84% 8% 1% 1%

estudio realizado por ROI Research

INTRODUCCION

Estadísticas hechas por la comScore.Networks (2006):

• 14% de toda la población mundial menor de 15 años utiliza internet.

• Sitios web más visitados:

MSN con 538 millones de visitas. Google con 495 millones de visitas.Yahoo! con 480 millones de visitas. Ebay con unas 300 millones de visitas.Time Warner Network con 241 millones de visitas.Amazon con 154 millones de visitas.Wikipedia con un estimado de 132 millones de visitas.

INTRODUCCION

El tamaño de Internet

• Las direcciones de e-mail crecieron de 253 millones en elaño 1998 a 1.600 millones en el año 2006 y ese año, eltráfico, incluyendo el spam, alcanzó los 6 exabytes.

• Para el año 2010 se espera que haya unos 1.600millones de usuarios.

El tamaño de Internet

INTRODUCCION

Cantidad de Usuarios de INTERNET en Argentina

• Internet continuó creciendodurante la crisisen Argentina durante el 2002.

0

2.000.000

4.000.000

6.000.000

8.000.000

10.000.000

12.000.000

Mar. '00 Sep. '00 Abr. '01 Dic. '01 Oct . '02 Abr. '03 May. '05 Ene. '06

• La cantidad de Usuarios de Internet en el país llegó alos 3.900.000 (10% población).

• Hoy hay mas de 10 millones de usuarios, lo querepresenta aproximadamente, el 26% de lapoblación.

Fuente: D'Alessio IROL Tracking sobre penetración de Internet-2003

INTRODUCCION

En el pasado, la posibilidad de conectarse con millones de clientes las 24 horas al día, los 7 días de la semana, era solamente posible para las grandes corporaciones.

Ahora, incluso una compañía conrecursos limitados puede competircon rivales más grandes ofreciendoproductos y servicios por Internet conuna inversión modesta.

www.mercadolibre.com.ar/

Comercio electrónico

INTRODUCCION

Las compañías han innovado el uso de conceptoscomo “personalización” para crear relacionesexclusivas e individuales con los clientes.

Pueden identificar a sus clientes virtuales por elnombre, ofrecerles productos basados enhábitos de compra previos y almacenar demanera segura la información de la dirección deldomicilio para agilizar las compras en línea.

INTRODUCCION

Comercio electrónico

Artículo obtenido de infobae.com (agosto 2006)

• “Más de un millón de argentinos realizan compras enInternet”.

• El 32,94% de los usuarios de Internet de la Argentina usa lared para realizar compras, lo que representa más de 1,3millones de personas.

INTRODUCCION

encuesta realizada por DeRemate.com con Zoomerang.com

Principales motivos de compras en INTERNET

29,51%

23,77%

35,25%

11,47%

M ejores precios M ás Variedad Comodidad Otros M otivos

Surgen nuevos desafíos que las empresas deben superar para tener éxito:

“Deben ofrecer servicios fáciles de utilizar y

totalmente seguros porque guardan

información confidencial como direcciones o

números de las tarjetas de crédito

personales, información de cuentas

bancarias, historias médicas, etc.”.

11,47

INTRODUCCION

Se ofrece un nuevo campo de acción aconductas antisociales y delictivas,

ofreciendo la posibilidad de cometer delitos tradicionales en formas no tradicionales.

INTRODUCCION

• Empezó a distribuirse un virus en las instalaciones deuna empresa.

• La distribución consistía de tomar las listas dedistribución de los miembros.

• Toda la compañía quedó sin comunicaciones, ya que elpoderoso virus congestionó la Red completa, por ellapso de tres horas. La facturación de la empresa esalrededor de 2.000.000.000,00 de dólares anuales.

• 2.000.000.000 se dividen por 4380 horas de trabajoal año y se multiplica por 3 horas perdidas, lo que nosarroja un total de $1.369.863,01 USD.

Caso real:

INTRODUCCION

Phishing

“Se conoce como ‘phishing’ a la suplantación de identidad con el fin de apropiarse de datos confidenciales de

los usuarios ”.

¿Qué es el Phishing?

• Uso de un tipo de ingeniería social, caracterizadopor intentar adquirir información confidencial deforma fraudulenta.

• El estafador (phisher) se hace pasar por unapersona o empresa de confianza en una aparentecomunicación oficial electrónica, por lo común uncorreo electrónico o algún sistema de mensajeríainstantánea.

Historia del phishing

•El término phishing viene de la palabra en inglés"fishing" (pesca).

•También se dice que el término "phishing" es lacontracción de "password harvesting fishing"(cosecha y pesca de contraseñas).

•La primera mención del término phishing data en1996, fue adoptado por crackers que intentaban"pescar" cuentas de miembros de AOL.

Intentos recientes de phishing

• Los intentos más recientes de phishing se han comenzado adirigir a clientes de bancos y servicios de pago en línea.

• En principio es enviado por phishers de forma indiscriminadacon la esperanza de encontrar a un cliente de dicho banco oservicio.

• Estudios recientes muestran que los phishers son capaces deestablecer con qué banco una posible víctima tiene relación,y de ese modo enviar un e-mail, falseado apropiadamente, ala posible víctima.

• En términos generales, esta variantehacia objetivos específicos en el phishingse ha denominado spear phishing(literalmente phishing con lanza).

Técnicas de phishing

• Mostrar que un enlace en un correo electrónicoparezca una copia de la organización por la cual sehace pasar.

• URLs mal escritas o el uso de subdominios sontrucos comúnmente usados por phishers.

Disfrazar un enlace

• Este tipo de ataque resulta particularmenteproblemático, ya que dirigen al usuario a iniciarsesión en la propia página del banco o servicio, dondela URL y los certificados de seguridad parecencorrectos.

• El "phishing" tiene relativamente un alto índice deéxito, y uno de cada 20 emails consigue su objetivo.

Técnicas de phishing

Disfrazar un enlace

• Hay varios métodos para disfrazar un enlace, entre los más usados se encuentran:

Técnicas de phishing

Disfrazar un enlace

Técnicas de phishing

Disfrazar un enlace

17%

19%

20%

20%

24%

Técnicas de phishing

Disfrazar un enlace

31%

9%59%

1%0%

• Otro ejemplo es el de utilizar direcciones quecontengan el carácter arroba: @, paraposteriormente preguntar el nombre de usuario ycontraseña.

• Por ejemplo, el enlace:http://www.google.com@members.tripod.com/se puede creer que el enlace va a abrir en la páginade www.google.com, cuando realmente el enlaceenvía al navegador a la página demembers.tripod.com (y al intentar entrar con elnombre de usuario de www.google.com, si no existetal usuario, la página abrirá normalmente).

• Este método ha sido erradicado desde entonces enlos navegadores de Mozilla e Internet Explorer.

Técnicas de phishing

Disfrazar un enlace

Técnicas de phishing

Ejemplo de un intento de phishing, haciéndose pasar por une-mail oficial, trata de engañar a los miembros del bancopara que den información acerca de su cuenta con un enlacea la página del phisher.

Hemos recibido el aviso que has procurado recientemente retirar la siguientesuma de tu cuenta.

Si esta información no está correcta, alguien desconocido puede tener acceso a tucuenta. Como medida de seguridad, visite nuestro sitio Web, a través del link quese encuentra aquí abajo para verificar tu información personal

Una vez que has hecho esto, nuestro departamento de fraude trabajará pararesolverlo.

Técnicas de phishing

Técnicas de phishing

• Los atacantes han empezado a usar animacioneshechas con Flash para crear sitios falsos.

• Estrategia para evadir los programas anti-phishing.

• Dichos programas revisan el texto de una páginaWeb en busca de frases sospechosas.

• El uso de Flash representa el siguiente paso en estaevolución.

Phlashing

Lavado de dinero producto del phishing

•Se tiendiende a la captación de personas por mediode e-mails, chats, donde empresas ficticias lesofrecen trabajo.

•Las personas que aceptan se convierten en víctimasque incurren en un grave delito : el blanqueo dedinero obtenido a través del acto fraudulento dephishing.

Otra forma de Estafa

• Para darse de alta debe rellenar un formularioindicando entre otros datos, la cuenta bancaria.

• La finalidad es ingresar en esa cuenta el dinero delas estafas bancarias realizadas por el phishing.

• Con cada acto la víctima recibe el cuantioso ingresoen su cuenta bancaria y es avisado por parte de laempresa del mismo.

Lavado de dinero producto del phishing

Otra forma de Estafa

• Después del ingreso la víctima se quedará con un10%-20%, como comisión de trabajo y el resto loreenviará a cuentas indicadas por la seudo-empresa.

• Dado el desconocimiento de la víctima, esta se veinvolucrada en un acto de estafa importante,pudiéndose ver requerido por la justicia.

Lavado de dinero producto del phishing

Otra forma de Estafa

• Los daños causados oscilan entre la pérdida del acceso alcorreo electrónico a pérdidas económicas sustanciales.

• Esto se da por la facilidad con que las personas revelaninformación personal a los phishers.

Daños causados por el phishing

• La mejor arma es estar informado de que existe y decómo se lleva a cabo.

• Una estrategia es entrenar a los usuarios paraenfrentarse a posibles ataques.

• Todas las entidades bancarias han anunciado ya poractivo y por pasivo que nunca solicitarían datos a susclientes vía email ni telefónicamente.

Como combatir el Phishing

Respuesta Social

• Si un correo electrónico se dirige al usuario de unamanera genérica como ("Querido miembro de xxxx")es probable que sea un intento de phishing.

• Las páginas han añadido herramientas de verificaciónque permite a los usuarios ver imágenes secretasque los usuarios seleccionan por adelantado, sí estasimágenes no aparecen, entonces el sitio no eslegítimo.

Respuesta Social

Como combatir el Phishing

“Nunca responda a solicitudes de información personal a través de correo electrónico”.

• Las entidades u organismos NUNCA solicitancontraseñas, números de tarjeta de crédito o cualquierinformación personal por correo electrónico, porteléfono o SMS. Ellos ya tienen sus datos.

• Si piensa que el mensaje es legítimo, comuníquesecon la empresa .

Paso 1:

Respuesta Social

Procedimientos para protegerse del "phishing“:

“Para visitar sitios Web, introduzca la dirección URL en la barra de direcciones”.

• Si sospecha de la legitimidad de un mensaje decorreo electrónico de la empresa, no siga los enlaces.

• Las nuevas versiones de Internet Explorer hacen másdifícil falsificar la barra de direcciones, visite WindowsUpdate regularmente y actualice su software.

Paso 2:

Respuesta Social

Procedimientos para protegerse del "phishing“:

“Asegúrese de que el sitio Web utiliza cifrado”.

• Antes de ingresar cualquier tipo de informaciónpersonal, compruebe si el sitio Web utiliza cifrado paratransmitir la información personal.

• En Internet Explorer puede comprobarlo con el iconode color amarillo situado en la barra de estado.

Paso 3:

Respuesta Social

Procedimientos para protegerse del "phishing“:

“Consulte frecuentemente los saldos bancarios y de sus tarjetas de crédito”.

• Incluso si sigue los tres pasos anteriores, puedeconvertirse en víctima.

• Si consulta sus saldos bancarios y de sus tarjetasde crédito al menos una vez al mes, podrásorprender al estafador.

Paso 4:

Respuesta Social

Procedimientos para protegerse del "phishing“:

“Comunique los posibles delitos relacionados con su información personal a las autoridades

competentes”.

• Si cree que ha sido víctima de "phishing", proceda delsiguiente modo:

Informe inmediatamente del fraude a la empresaafectada.

Proporcione los detalles del estafador y los mensajesrecibidos, a la autoridad competente a través delCentro de denuncias de fraude en Internet.

Paso 5:

Respuesta Social

Procedimientos para protegerse del "phishing“:

• Este centro trabaja en todo el mundo encolaboración con las autoridades legales para clausurarcon celeridad los sitios Web fraudulentos e identificar alos responsables del fraude.

Respuesta Social

Procedimientos para protegerse del "phishing“:

Paso 5:

Existen tecnologías específicas que tienen como blanco evitarel phishing.

• Indicador de nivel de Phishing actual

Se ha creado el indicador AlertPhising que ofrecen a susvisitantes información del estado de los ataques.

Respuestas técnicas

Anti-Phishing

• Filtro anti-phishing en Internet Explorer 7

• Internet Explorer 7, incorporó un filtro para proteger de sitioswebs falsificados.

• La tecnología será similar a la desplegada por las barras deherramientas anti-phishing, basándose en la detección:

"heurística" (patrones genéricos),

listas negras,

listas blancas de sitios confiables.

• El usuario podrá visualizar diferentes avisos que le indicaránel grado de peligrosidad de la página web que visita.

Respuestas técnicas

Anti-Phishing

Respuestas técnicas

Anti-Phishing

Barras anti-phishing para navegadores

Respuestas legislativas y judiciales

•El 26 de enero de 2004, la FTC (Federal TradeCommission) llevó a juicio el primer caso contra unphisher sospechoso.

•Un adolescente de California, creó y utilizó una páginaweb con un diseño que aparentaba ser la página deAmerican Online para poder robar números detarjetas de crédito.

•En los Estados Unidos, se introdujo el Acta Anti-Phishing del 2005 el 1 de marzo del 2005.

•Esta ley federal establecía una multa de hasta$250.000 USD y penas de cárcel por un término dehasta cinco años.

• La compañía Microsoft también se ha unido alesfuerzo de combatir el phishing.

Respuestas legislativas y judiciales

•El 31 de marzo del 2005, Microsoft llevó a la Cortedel Distrito de Washington 117 pleitos federales.

•En marzo del 2005 también se consideró laasociación entre Microsoft y el gobierno deAustralia para educar sobre mejoras a la ley quepermitirían combatir varios crímenes cibernéticos,incluyendo el phishing.

Respuestas legislativas y judiciales

Tapa diario Clarín. Domingo 27 de agosto de 2006

Notas Importantes

Los 10 virus más detectados

Notas Importantes

¿Cómo lo denuncio?

• La Asociación de Internautas creó un conducto a travésdel cual los internautas pueden denunciar las estafa pormedio del uso de phishing en internet.

• Para ello solo se tiene que mandar un correo aphishing@internautas.org adjuntando el mail recibidoo la web que intenta el robo de datos.

• El propósito de la Asociación de Internautas es evitar yERRADICAR DE UNA VEZ los posibles intentos de estafasrealizado mediante el uso de phishing.

http://seguridad.internautas.org//

• Debemos mencionar que no existe un sistemacomputarizado que garantice al 100% la seguridadde la información, por la inmensa mayoría dediferentes formas con las cuales se pueden romperla seguridad de un sistema.

• Dado el creciente número de denuncias deincidentes relacionados con el phishing se requierenmétodos adicionales de protección.

• Se han realizado intentos con leyes que castigan lapráctica, campañas para prevenir a los usuarios yaplicación de medidas técnicas a los programas, yaun así no es suficiente.

Conclusión

Bibliografía

Wikipedia, la enciclopedia libre. En: es.wikipedia.org/wiki/Phishing

Páginas Web para robar datos. N. Rojo. Septiembre 20004. En:http://www.consumer.es/web/es/tecnologia/internet/2004/09/22/109261.php

Robo de datos Por Internet. El 'phishing', delito informático de moda. L. Tejero. Julio de 2004. En:http://www.elmundo.es/navegante/2004/07/29/esociedad/1091118343.html

Todo lo que debe saber acerca del "phishing“. Publicado: 27/05/04. En:http://www.microsoft.com/latam/seguridad/hogar/spam/phishing.mspx

Filtro antiphishing en Internet Explorer 7. http://www.desarrolloweb.com/articulos/2099.php

Qué es el phishing y cómo protegersehttp://www.seguridad.internautas.org/w-

contactar.php

Phishing: Un peligro para la banca on-linehttp://www.delitosinformaticos.com

Un ejemplo de ataque phisinghttp://www.shellsegurity.com

Phishinghttp://www.mattica.com

Phishing, otra forma de aprovecharse de las personashttp://www.infobaeprofesional.com

Bibliografía