¿Sabes que es #Phishing?
Phishing
La mayoría de las personas en México desconoce lo que es un ataque de Phishing y mucho menos como protegerse de él, desafortunadamente no existe una cultura de seguridad de la información dentro de las empresas, oficinas, despachos, escuelas, universidades y sobre todo en casa.
Las personas más vulnerables a todo tipo de ataque informático, son las que usan por primera vez un equipo de cómputo o bien tienen poco tiempo utilizándolo, como también los jóvenes, amas de casa, personas mayores, profesionales que utilizan las PC’s como apoyo, etc.
Muchas personas catalogan a personas como un servidor como exagerado, paranoico, etc.; hasta que algo sucede y nos buscan para ayudarles a solucionar sus problemas, en fin, entrando en materia me gustaría explicar el significado de la palabra y explicarles que es PHISHING.
Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.
Dado el creciente número de denuncias de incidentes relacionados con el phishing, se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica y campañas para prevenir a los usuarios con la aplicación de medidas técnicas a los programas.
El término phishing proviene de la palabra inglesa “fishing” (pesca), haciendo alusión al intento de hacer que los usuarios “piquen en el anzuelo”. A quien lo practica se le llama phisher. También se dice que el término “phishing” es la contracción de “password harvesting fishing” (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo, dado que la escritura ‘ph es comúnmente utilizada por hackers para sustituir la f, como raíz de la antigua forma de hacking telefónico conocida como phreaking.
La primera mención del término phishing data de enero de 1996. Se dio en el grupo de noticias de hackersalt.2600, aunque es posible que el término ya hubiera aparecido anteriormente en la edición impresa del boletín de noticias hacker “2600 Magazine”. El término phishing fue adoptado por quienes intentaban “pescar” cuentas de miembros de AOL.
Los intentos más recientes de phishing han tomado como objetivo a clientes de bancos y servicios de pago en línea. Aunque el ejemplo que se muestra en la primera imagen es enviado por phishers de forma indiscriminada con la esperanza de encontrar a un cliente de dicho banco o servicio, estudios recientes muestran que los phishers en un principio son capaces de establecer con qué banco una posible víctima tiene relación, y de ese modo enviar un e-mail, falseado apropiadamente, a la posible víctima. En términos generales, esta variante hacia objetivos específicos en el phishing se ha denominado spear phishing (literalmente pesca con arpón). Los sitios de Internet con fines sociales también se han convertido en objetivos para los phishers, dado que mucha de la información provista en estos sitios puede ser utilizada en el robo de identidad. Algunos experimentos han otorgado una tasa de éxito de un 90% en ataques phishing en redes sociales. A finales de 2006 un gusano informático se apropió de algunas páginas del sitio web MySpace logrando re direccionar los enlaces de modo que apuntaran a una página web diseñada para robar información de ingreso de los usuarios.
La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar el impostor (recientemente se envió un email de la CFE para pagar su recibo en línea con descuentos).
URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL, http://www.nombredetubanco.com.ejemplo.com/.
Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares).
Por ejemplo, el enlace http://www.google.com@members.tripod.com/ puede engañar a un observador casual y hacerlo creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente).
Este método ha sido erradicado desde entonces en los navegadores de Mozilla e Internet Explorer.
Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL ilegítima.
Los daños causados por el phishing oscilan entre la pérdida del acceso al correo electrónico a pérdidas económicas sustanciales. Este tipo de robo de identidad se está haciendo cada vez más popular por la facilidad con que personas confiadas normalmente revelan información personal a los phishers, incluyendo números de tarjetas de crédito y números de seguridad social. Una vez esta información es adquirida, los phishers pueden usar datos personales para crear cuentas falsas utilizando el nombre de la víctima, gastar el crédito de la víctima, o incluso impedir a las víctimas acceder a sus propias cuentas.
¿Qué hacer para no caer en estas trampas?
- Si les llega un correo de su banco, compañía de servicio celular, telefónico, luz, etc. Solicitando su pago o datos de sus cuentas no lo haga, no ingrese ningún tipo de información en ellos, la mayoría de los bancos o instituciones que brindan servicios en línea hacen mención en que ellos nunca solicitaran información de sus cuentas.
- Tengan instalado un antivirus con protección de Phishing,
- Enviar un email con la ruta o copia del email a: Phishing@seguridad.unam.mx
- Cuidar lo que hacen sus hijos
Espero que esta información les sea de gran utilidad, quedo a sus órdenes y no olviden dejar su comentario.
Reciban un cordial Saludo.
Victor Miranda.
Fuente: Wikipedia
Victor Miranda
Professional Ethical Hacker, Pentester & Forensics Investigator MPCS, CEH v8, CSSP, CICP-CICAP HTCIA Member & ISECOM Member Twitter: @victormirandamx