Estudio de los métodos de ataque usados en el phishing y sus medidas de protección existentes
Upcoming SlideShare
Loading in...5
×
 

Estudio de los métodos de ataque usados en el phishing y sus medidas de protección existentes

on

  • 2,304 views

Presentación de mi artículo Estudio de los métodos de ataque usados en el phishing y sus medidas de protección existentes en Lima Perú en el 2nd International Symposium on Innovation and ...

Presentación de mi artículo Estudio de los métodos de ataque usados en el phishing y sus medidas de protección existentes en Lima Perú en el 2nd International Symposium on Innovation and Technology
November 28-30, 2011, Lima - PERU
http://www.iiitec.org/

Statistics

Views

Total Views
2,304
Views on SlideShare
1,704
Embed Views
600

Actions

Likes
0
Downloads
26
Comments
0

4 Embeds 600

http://www.luisolis.com 595
http://luisolis.mentesinquietas.net 2
http://www.luisolis.com. 2
http://translate.googleusercontent.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Estudio de los métodos de ataque usados en el phishing y sus medidas de protección existentes Estudio de los métodos de ataque usados en el phishing y sus medidas de protección existentes Presentation Transcript

  • 2do Simposium Internacional de Innovación y Tecnología ISIT 2011 “Estudio de los métodos de ataque usados en el phishing y sus medidas de protección existentes” M.Sc. Luis Alberto Solís UNIVERSIDAD TÉCNICA DE AMBATO lsolis@uta.edu.ec Twitter: @solisbetoNoviembre 28-30, 2011, Lima - PERÚ
  • Temario• Introducción• El éxito del phishing• Métodos de ataque• Medidas de protección• Nuestras experiencias• Conclusiones 2
  • Introducción 3
  • Introducción Qué buscan los atacantes? “Tomar ventaja de las vulnerabilidades existentes en el factor humano” En el estudio de Dhamiia y Tygar [1], demuestran que la mayoría de usuarios se basa en el contenido del sitio. Tienen confianza en la apariencia y no toman en cuenta aspectos de seguridad.[1] Rachna Dhamija, J. D. Tygar, and Marti Hearst. Why phishing works. In Proceedings of the SIGCHI conference on 4
  • El éxito del phishingPoco conocimiento de las tecnologías• Inexperiencia en transacciones, desconocen de ataques en la red.Engaños visuales• Reemplazo de caracteres Ej. : www.paypal.com != www.paypai.com• Ventanas emergentes• Uso de imágenesFalta de atención• Usuarios concentrados en realizar sus transacciones lo más pronto posible. 5
  • Éxito del phishing Las apariencias engañan 6
  • Éxito del phishing Sitio legítimo ? El primer paso consiste en clonar el sitio 7
  • Éxito del phishing Verificar la fuente del correo 8
  • Éxito del phishing 9
  • Métodos de ataqueExplotación Ingenieríade fallas en Spam Pharming social los sitios 10
  • Métodos de ataque 1. Explotación de fallas en los sitios • Buscar vulnerabilidades <html> <head> – Inyección de código <title>Prueba de iframe</title> </head> – XSS (Cross Site Scripting) <body topmargin="0" leftmargin="0" rightmargin="0" bottommargin="0"> <iframe src="http://www.bn.com.pe/" inyectar código jscript width="100%" height="200" frameborder="0"></iframe> – Iframe <iframe permite insertar un src="http://www.bbvabancocontinental.com" width="100%" height="350" documento html dentro frameborder="0"></iframe> </body> de un sitio. </html> http://www.mibanca.com/sh.php?p=%3Cform+action%3D%22xss2.jsp%22+method%3D%%22POST%22%3E 11
  • Métodos de ataque 1. Explotación de fallas en los sitios 12
  • Métodos de ataque 2. Ingeniería social Técnica en la que se usa el engaño para manipular personas con el fin de obtener información. Se puede obtener información valiosa desde datos personales hasta información confidencial. 13
  • Métodos de ataque 3. Spam Los atacantes usan este medio de distribución para que los correos lleguen a miles o millones de usuarios y sean atraídos por estos mensajes que son combinados con técnicas de ingeniería social. • El spam se puede enviar usando: – Open mail relay – Open proxy relay – spambot 14
  • Métodos de ataque 4. Pharming • Explotar las vulnerabilidades DNS (Domain Name System) en los ordenadores de los usuarios víctimas. • Se modifica los registros del DNS de la víctima. • Al ingresar un sitio puede ser redirigido a otro sitio fraudulento. • Existe dos tipos de Pharming: – Pharming local – Ataque de envenenamiento DNS (DNS Poisoning Attack ) 15
  • Métodos de ataque Pharming local – existen utilidades que permiten manipular los DNS locales de las víctimas que han sido infectadas. – Explotar vulnerabilidades en aplicaciones no actualizadas para e infectarlas con software malicioso (malware). – Con el sistema infectado, el atacante puede controlarlo remotamente por medio de un programa servidor, este sistema de administración de sistemas es conocido como botnet. – Ejemplo de una botnet: S.A.P.Z. (Sistema de Administración de PCs Zombi) que ha sido desarrollada en Perú y diseñada para atacar usuarios de este país [2].[2] Mieres Jorge. Botnet management from peru. http://www.securelist.com/en/blog/208188056/Botnet-management-from-Peru, 2011. 16
  • Métodos de ataque Pharming usando la botnet S.A.P.Z. Roba información sensible mediante la técnica de pharming local, donde se modifica el fichero host del sistema operativo, el cual se encarga de redireccionar los hosts (sitios web) hacia las direcciones IPs que se Botnet S.A.P.Z., descubierta por Jorge Mieres [2] encuentran dentro de este.[2] Mieres Jorge. Botnet management from peru. http://www.securelist.com/en/blog/208188056/Botnet-management-from-Peru, 2011. 17
  • Medidas de protección1. Anti-Phishing toolbars2. Software propietario3. Sistemas de entrenamiento 18
  • Medidas de protección 1. Anti-Phishing toolbars (Browser toolbar) Dichas extensiones requieren de la instalación por parte del usuario. Como ejemplo podemos citar la extensión de Firefox: Netcraft Toolbar ayuda a los usuarios a protegerse de sitios falsos. Netcraft Toolbar instalada en Mozilla Firefox 19
  • Medidas de protección 2. Software propietario • Instalación en las máquinas locales de los usuarios • No siempre es seguro instalar software de terceros. Falsos antivirus • Usuarios no prestan atención a mensajes emitidos de alerta. 20
  • Medidas de protección 3. Sistemas de entrenamiento Información en las páginas web de bancos. Alertas regulares a sus usuarios por medio de correos. Educar a los usuarios a través de juegos, por ejemplo: PhishGuru [3], Anti-Phishing Entrenamiento con Anti-Phishing Phil Phil [4], entre otros.[3] Anti-phishing phil: the design and evaluation of a game that teaches people not to fall for phish. In Proceedings of the 3rdsymposium on Usable privacy and security, SOUPS 07[4] Lorrie Cranor. Phishguru: A system for educating users about semantic attacks. Masters thesis, School of Computer Science,Institute for Software Research, Carnegie Mellon University, 2009. 21
  • Nuestras experiencias 22
  • Nuestras experiencias 23
  • Nuestras experiencias 24
  • Conclusiones• Los ataques de phishing han evolucionado tanto, dónde técnicas cómo el pharming local y el envenenamiento de DNS son más complicadas de detectar a simple vista.• Entre las mejores opciones para evitar el phishing está el entrenamiento de usuarios, este debe ser incorporado como una política dentro de las instituciones bancarias o negocios de comercio electrónico.• América Latina está siendo vista por los delincuentes informáticos cómo un gran negocio a explotar, de hecho ya existen botnets desarrolladas para el robo de identidad en países específicos. 25
  • Preguntas? 26
  • 27