Joan Castillo SIrvin Ortega F

Diego Vargas J

Delito informático, caracterizado por la utilización de un medio de procesamiento electrónico, con el fin de adquirir información confidencial de usuarios de sistemas.

La información es utilizada en la modificación de datos, falsificación de documentos, penetraciones en un sistema, y ventas de información.

El phisher se hace pasar por una persona o empresa, mediante comunicaciones electrónicas (correo electrónico, mensajería instantánea) o llamadas telefónicas.

Se diferencia del hurto, ya que en la estafa es imprescindible el engaño.

El cliente recibe una llamada telefónica, un e-mail o un mensaje de texto al celular, solicitando llamar a un sistema interactivo de voz falso.

Clonación de tarjetas de crédito y débito mediante un dispositivo instalado en el cajero que captura la información y la envía de forma inalámbrica a una distancia de hasta 200 metros.

Programa espía que se instala en la computadora, recopila y envía información del usuario de manera silenciosa, con el fin de robar contraseñas e información financiera o vender información a empresas de publicidad. Ejemplo: keylogger.

Redirecciona al usuario a una pagina falsa, similar a la original, donde le pide ingresar sus datos (usuario, contraseña), le presenta un mensaje de error y luego lo redirecciona hacia la pagina original.

En un sistema, los usuarios son el “eslabón débil”.

Todos queremos ayudar.

El primer movimiento es siempre de confianza hacia el otro.

No nos gusta decir No.

A todos nos gusta que nos alaben.

El usuario recibe un email en el cual se le solicita ingresar sus datos en una página falsa.

URLs mal escritasEl uso de subdominiosUtilizar direcciones que contengan el carácter @. Utilizando comandos en JavaScripts para alterar la

barra de direcciones.Duplicación de la pagina de una institución. Direcciones que resulten idénticas a la vista

puedan conducir a diferentes sitios.

La red de estafadores se nutre de usuarios de chat, foros o correos electrónicos, a través de mensajes. En el caso de que caigan en la trampa, los presuntos intermediarios de la estafa, deben rellenar determinados campos.

Se comete el phishing.

Los estafadores comienzan a retirar sumas importantes de dinero, las cuales son transmitidas a las cuentas de los intermediarios.

Los intermediarios realizan el traspaso a las cuentas de los estafadores.

Spam Troyano Bacteria Worm Trapdoor Bomba lógica Eavesdropping Mascarada Replay

Fraudes con tarjetas de crédito en transferencias electrónicas, violando sistemas de criptografía. 

Estafas en Procesos de Pagos On-Line en transacciones comerciales, violando códigos de seguridad, o robando números de tarjetas de crédito.

Manipulación de la información.

Virus Electrónicos.

Engaños o estafas por Correos Electrónicos. 

En el 2004, Estados Unidos llevó a juicio el primer caso contra un phisher, un adolescente quién utilizó una página web con un diseño gemeleado para robar números de tarjetas.

En el 2005, un hombre estonio fue arrestado utilizando un sitio web falso, en el que incluía un keylogger.

Una de las más grandes redes de phishing, en dos años, había robado entre $18 a $37 millones de dólares.

El primer caso de vishing se presentó en Australia, con los clientes del Chase Bank.

En el 2005, Wang recibió un mensaje con un número telefónico al que debía llamar, ya que el banco “había” cargado una importante compra. Wang hizo la llamada, brindó sus datos a una contestadora, y horas después su cuenta había sido vaciada.

Los objetivos más recientes son los clientes de bancos y servicios de pago en línea, enviando un e-mail falso.

La información obtenida en sitios con fines sociales. Utilizada en el robo de identidad.

Las páginas quienteadmite y noadmitido, roban el nombre y contraseña de los usuarios de MSN.

Hi5 y Facebook han sido también víctimas de ataques masivos de phishing.

Según PhishTank, cada dos minutos se lanza un nuevo ataque de Phishing.

Marcas falsificadas: Paypal, eBay, HSBC y Bank of Corporation

Cisco Security Index: Chile ocupa el primer lugar en casos de phishing en Latinoamérica.

APWG: a nivel mundial, Estados Unidos es primero, y China segundo.

Casos más comunes: son robo de contraseña y bloqueo de URL.

Infoweek: el 55% dijo que sí conocía las recomendaciones de seguridad de su banco, el 36% dijo que no.

Fuente: APWG

Fuente: APWG

Fuente: APWG

Fuente: APWG

Fuente: APWG

Garantiza que los riesgos de la seguridad sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible y eficiente.

ISO 27001 e ISO 17799 son normas certificables, para organizaciones que tengan implantado un Sistema de Gestión de la Seguridad de la Información. Utilizable por cualquier tipo de organización.

ISO 27001 es el nivel más alto en certificaciones de seguridad electrónica.

Auditoría: radiografía de los sistemas en cuanto a protección, control y medidas de seguridad. Revisan de las redes locales y corporativas, se realizan test de intrusión para comprobar el nivel de resistencia y analizan páginas web.

Consultoría: seguridad y tecnologías de la información. Definición y revisión de políticas de seguridad, sistemas antifraude y antiphishing, SGSI, configuración y desarrollo de redes y sistemas seguros, criptografía y evaluación de aplicaciones Open Source.

Metodologías, prácticas y procedimientos que buscan proteger la información, minimizando amenazas y riesgos continuos, protegiendo la identidad y la privacidad.

Información es un activo. Requiere ser asegurada y protegida. Es vital la información con números de tarjetas de crédito, autenticaciones de clientes, correos electrónicos y llamadas telefónicas.

Sitios en internet: Gestión de claves (verificar la identidad) Confidencialidad (ningún atacante puede leerla ) Imposibilidad de repudio (mensaje no podrá ser negado) Integridad (información no ha sido modificada) Autenticación (interlocutores son quienes dicen ser) Autorización

Murallas o cortafuegos, software o hardware utilizado en redes de computadoras. Cortan el tráfico, controlan las comunicaciones, permitiéndolas o prohibiéndolas según políticas de red. Aplica reglas de filtrado a los paquete IP, que le permiten discriminar el tráfico según nuestras indicaciones. Se implementa mediante un router.

Certifican procedencia de un mensaje, asegurando que proviene de quien dice.

Evita los suplantes de usuarios y envíos de mensajes falsos a otro usuario.

Garantiza la integridad del mensaje, que no ha ya sido alterado durante la transmisión.

Cuando la información debe atravesar redes sobre las que no se tiene control directo.

Se requiere un certificado digital y una llave privada.

Contiene cientos de dígitos, y se conecta en USB.

Se guardan en un token, no pueden ser copiado o leído.

Sólo el usuario puede utilizarlo.

Llavero, tarjeta, celular.

Protocolo de seguridad

Proporciona autenticación y privacidad de la información mediante el uso de criptografía.

Previene escuchas secretos o eavesdropping de la identidad del remitente.

SSL se usa para formar HTTP en HTTPS.

Navegadores: Safari, Internet Explorer, Mozilla Firefox, Opera.

Entidades bancarias y servicio que requiera el envío de contraseñas.

No utilizar las claves proporcionadas por defecto, y cambiarlas tan pronto como sea posible.

Utilizar diferentes contraseñas para diferentes sitios Web.

Evitar no utilizar las mismas claves en todas sus entidades financieras.

Son personales e intransferibles, no deben ser reveladas.

Usar una contraseña difícil de adivinar.

Sitios web "simulados". El usuario envía información personal a los estafadores. No abra archivos adjuntos de correo electrónico a menos que conozca la fuente.

“Compruebe su cuenta” “Estimado cliente” “Su cuenta ha sido congelada” “Tenemos que reconfirmar sus datos” “Si no responde en un placo de 48 horas, su cuenta se

cancelará” “Haga click en el vínculo que aparece a continuación para

obtener acceso a su cuenta”. “Usted tiene una suma grande de dinero en su cuenta, por

favor verifique sus movimientos”

Usar detectores de spam para bloquear e-mails fraudulentos.

Utilizar un software antiphishing antispyware.

No permitir que los comerciantes en línea almacenen información de su tarjeta.

Enviar números de tarjetas solo a sitios seguros.

Disponer de un Sistema Operativo actualizado con los último parches.

Las empresas:

Establecer políticas corporativas para el contenido de los correos electrónicos.

Entregar a los clientes una forma de validar los correos electrónicos.

Establecer autenticación más confiable para sitios web.

Monitoreo de internet de posibles sitios web fraudulentos.

Según La Nación, durante el 2006 se dieron 71 denuncias de fraudes y a junio del 2007 habían 77 denuncias (¢200 millones).

En el 2007 se registraron casi 500 casos en varios bancos que se niegan a reintegrar el dinero (¢800 millones).

El Banco Popular y de Desarrollo Comunal contabilizó 1565 denuncias por bloqueo, sustracción y fraude en tarjetas de crédito y débito.

El Banco Nacional recibió 41 denuncias en tarjetas de crédito de Visa y Master Card, 147 denuncias por robo, extravío y uso indebido de tarjetas de débito.

En diciembre de 2007, se detuvieron once personas, por fraude electrónico. Se realizaron en contra de personas que tenían cuentas en bancos.

El monto de la estafa se estima en mil millones de colones, afectando a unas 200 personas.

Robaron cuentas bancarias al enviar un correo keylogger. El virus ingresaba a las computadoras, extraía la información sin que el usuario del sistema se percatara.

Pretende proteger a las víctimas de fraude electrónico con tarjeta de crédito y débito.

Busca responsabilizar a los emisores de tarjetas para que hagan frente a los fraudes.

Garantizar al usuario un sistema confiable a través de Internet, cajeros automáticos o cualquier otra forma de acceso a información y recursos del usuario.

BAC San José – LAFISE – Grupo IMPROSA

No se han dado casos de phishing Bloquear la cuenta inmediatamente

Capacitación a los empleados

Advertencias en páginas web sobre phishing En caso de skimming, llamar al sucursal

Dispositivos SSL (protocolo de seguridad) VeriSign (sello certificador de autenticidad)

Teclado Virtual: clave combina una parte alfabética y otra numérica.

Token: cédula de identidad en formato electrónico. Certificado Digital que contiene información del cliente y su firma digital.

e-Token y la nueva plataforma tecnológica eliminan el Phishing y minimiza el riesgo de robo de identidad.

Tarjeta Clave Dinámica: números y letras. Sistema solicita digitar tres coordenadas, integradas por una letra y un número.

Sitekey

•Se hace la pregunta de comprobación de identidad. •Si la respuesta es correcta, aparece el título secreto de la imagen y la imagen.

•Seguridad para ambas partes.

-Una imagen

-Un título de imagen

-Tres preguntas de confirmación

¡Muchas Gracias!