Phishing: Pescando incautos
No podíamos hablar de malwares sin hablar de phishing, Phishing proviene del inglés pescar, pero este término aplicado al ámbito informático no se refiere al sano deporte de la pesca, sino a una forma lamentablemente cada vez más generalizada de inducir malware que atenta contra la seguridad del internauta con fines claramente malintencionados.
¿Qué es el Phishing?
El phishing consiste en interceptar información confidencial del usuario mediante técnicas de engaño usando aplicaciones informáticas o sin ellas.
¿Qué se pretende con el phishing?
Principalmente el phishing esta orientado e íntimamente relacionado con el carding (practica que consiste en la apropiación indebida de datos bancarios para usos delictivos) Para ello se utiliza cualquier tipo de técnica orientada a engañar y a estafar a los usuarios para obtener cualquier tipo de información que pueda ser útil para tales propósitos, como claves de cuentas de correo o redes sociales que puedan ser empleadas después para su explotación o para obtener otras informaciones que conduzcan a otros datos de vital importancia para continuar cometiendo estafas.
Técnicas de Phishing
Las técnicas mas empleadas por los phishers para engañar a un mayor numero posible de usuarios son las que haciéndose pasar por una empresa o corporación conocida y comúnmente relacionada con las actividades cotidianas de los usuarios logran engañarlos para posteriormente enviarlos a direcciones falsas para poder recopilar sus datos (scam) o también que ejecuten alguna aplicación maliciosa mediante engaño (ingeniería social) y una vez instalada, hacerse con el control de la maquina y vulnerar la privacidad obteniendo información de manera fraudulenta para ser usada al margen de la ley.
Métodos empleados para el phishing
Para llevar a cabo las técnicas anteriormente descritas, se utilizan determinados métodos que comparten el mismo fin: Engañar y estafar al usuario para hacer un uso fraudulento de la información. Estos son los sistemas empleados por los phishers:
Scam La palabra scam significa engaño consiste en simular la interfaz de una Web o un programa para engañar al usuario, que tras acceder a dicha Web falsa o a tal programa modificado envía sus datos al timador que una vez guardados y registrados son empleados para apoderarse de sus cuentas y cambiar las contraseñas de dichos servicios además de suplantar su identidad para seguir engañando a más gente. Los scams más comunes son los de los bancos; el phisher envía un enlace de redireccionamiento a un listado de email, hacia una entidad bancaria que realmente es un scam (falsa) .Para conseguir que los usuarios ingresen en dicha pagina se inventan cualquier pretexto haciendo uso de la ingeniería social y una vez que las victimas acceden al portal e ingresan su datos verdaderos son recopilados y enviados automáticamente a los timadores.
También son muy generales los scams de MSN, tales scams resultan ser clones falsos del programa y una vez que la victima lo usa, los datos e usuario y contraseña son enviados al timador que puede cambiar la contraseña e impedir el acceso a su dueño y lo peor de todo, es que los contacto de este no saben que esa cuenta ha sido usurpada por lo que también pueden resultar engañados. También hay muchísimas páginas dedicadas a engañar a los usuarios de mensajeria instantánea, páginas como por ejemplo ¿Quién lo hizo? Que se usan para saber quien te desagregó del MSN son un SCAM, conozco a más de uno que perdió su cuenta por estar introduciendo sus datos en sitios poco recomendables. Repito NO USAR esos servicios, desde el mismo MSN se puede saber si te desagregaron y bajo ninguna circunstancia se debe ingresar los datos de una cuenta en ninguna página externa, ni de MSN ni de ningún otro servicio.
La ingeniería social está presente en casi todos los ataques de Phishing ya que para hacer creíble el scam y no levantar sospechas deben de ganarse primero la confianza de los usuarios, por lo que se utilizan determinadas tácticas en el envio de correos fraudulentos como por ejemplo hacer uso de logotipos empleados por las corporaciones oficiales como el de Microsoft, la mariposa de MSN, el logotipo de la entidad bancaria que utilizas, hay que estar atento ante cualquier irregularidad que el formato del email pueda presentar, ya que algunas falsificaciones son realmente buenas aunque la gran mayoría son una verdadera chapuza y se detectan al vuelo.
Por ultimo y también haciendo uso de la ingeniería social, se emplea la inducción de malware para conseguir datos y usarlos fraudulentamente, por lo general, suele ser casi siempre mediante troyanos y se usan para controlar ordenadores remotamente (revisar post de troyanos para mas información)
Como evitar a los phishers para no convertirte en un besugo
Aunque no existe un método 100% infalible si existen unas recomendaciones básicas para mantenerte al margen de los engaños informáticos y prevenir estafas, lee, muy atentamente esto consejos ya que poniéndolos en practica, tendrás un 80% menos de posibilidades de que ser víctima de un ataque. Garantizado!!
• No facilitar claves de usuario de ningún servicio que utilices bajo ningún concepto mediante correo electrónico ni los ingreses en páginas externas a tales servicios. Ni las entidades bancarias ni MSN ni las redes sociales ni ningún otro servicio te va a pedir JAMÁS que cambies ni que ingreses tu contraseña mediante un correo electrónico, por tanto si recibes un correo en el que por motivos de seguridad te recomiendan cambiar la contraseña, elimina el mensaje sin abrirlo, pues seguro que se trata de un engaño. Si te quedas con la duda y quieres cambiar la contraseña, hazlo desde la misma página del MSN, banco, red social etc. Pero nunca desde un email o de una pagina exterior.
• No uses la misma contraseña para todo. Esto es obvio, la mayoría de los phishers cuando consiguen hacerse con una cuenta de correo lo primero que hacen es comprobar si el mismo usuario esta usando otros servicios con la misma contraseña, por lo que ya no te habrán robado una sola cuenta sino varias, puedes usar el mismo usuario pero no uses la misma password para todo.
• Si eres Webmaster NO entregues datos de tu sitio a NADIE bajo ningún pretexto, aunque contrates algún servicio relacionado, SEO, diseñador, programador etc. Hay mucha gente que ofrece estos servicios en la red a precios muy tentativos que lo único que pretenden es apropiarse de sitios ajenos para revenderlos luego o explotarlos en su beneficio. No digo que todos los que ofrecen servicios en Internet sean timadores ni mucho menos ( yo misma ofrezco servicios de optimización, diseño y redacción para otros webmasters) pero si hago hincapié en que no se puede confiar en cualquiera, si no lo hacemos en nuestro entorno ¿ Porque en Internet? Lo mismo digo para quienes tienen colaboradores en su blog, diariamente se pierden muchas cuentas Gmail por este motivo. Repito existen muchas alternativas para colaborar en un sitio Web sin necesidad de obtener los datos de la cuenta de administrador. Si la persona con la que trabajas no te da garantías y te exige dicha información, busca otra. La oferta y la demanda es lo suficientemente amplia como para jugártela por una tontería.
• No expongas tu información personal Medios tan popularizados como las redes sociales se han convertidos en un catálogo de victimas para cyberdelincuentes. Lo que obliga a extremar la precaución sobre lo que escribimos y publicamos en ellas, ya que la información que tan altruistamente subimos a la red puede ser utilizada por terceros para obtener información sobre nosotros que les ayuden a cometer fraude, como donde vivimos, como es nuestra casa o nuestro coche o cuando nos vamos de viaje ofrecen a los cybercriminales la mejor opción de selección de víctimas potenciales.
• No descargar aplicaciones adjuntas a los mensajes. Después de todo lo que he escrito sobre el tema, esto no necesita más explicación si recibimos un correo con un archivo adjunto del que desconocemos la procedencia, lo desechamos directamente. Además debemos configurar el antivirus para que cualquier mensaje que llegue a nuestra bandeja sea analizado directamente.
Existen más vías vulnerables pero básicamente estos son los puntos que requieren un mayor esfuerzo y supervisión por nuestra parte. Que no me entere yo que ninguno de los lectores de este blog, usa todavía IE (la forma más insegura de navegar por Internet) Si no te gusta Firefox (opción altamente recomendable) existen alternativas como Opera, Chrome o Netscape para suplantar al navegador de Microsoft si en algo aprecias tu seguridad, ya que sin tener en cuenta lo anterior solo los usuarios de IE tienen casi un 10% más de posibilidades de ser victimas de un ataque de phishing.
Articulo escrito por S3L3N1TY para Hacker’s Land.
.
No hay comentarios :