Your SlideShare is downloading. ×
Phishing06
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Phishing06

215

Published on

ingenieria social

ingenieria social

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
215
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. UNIVERSIDAD NACIONAL DEL NORDESTEFacultad de Ciencias Exactas Y Naturales y Agrimensura
  • 2. PHISHING Disertante: Lic. Litwak Noelia
  • 3. • ¿Qué es el Phishing?.• Historia del phishing.• Phishing en AOL.• Intentos recientes de phishing.• Técnicas de phishing.• Lavado de dinero producto del phishing.• Daños causados por el phishing.• Respuesta social.• Respuestas técnicas.• Respuestas legislativas y judiciales.• Conclusiones.
  • 4. La masiva utilización de las computadoras yredes como medios para almacenar,transferir y procesar información se haincrementado en los últimos años, al grado deconvertirse en un elemento indispensable parael funcionamiento de la sociedad actual.*Como consecuencia, la información en todassus formas y estados se ha convertido en unactivo de altísimo valor, el cual se debeproteger y asegurar.*
  • 5. INTERNET • Son abiertas y accesibles • Permiten intercambios rápidos y eficientes a nivel mundial y a bajo costo.•Este concepto hace posible nuevas formas de funcionamiento de la sociedad actual que se ve dificultada por las inseguridades que van dejando al descubierto.
  • 6. Datos InteresantesInternet ha pasado de tener miles de usuarios en1983 a más de 800 millones de usuarios en el mundoen el 2004 y 1000 millones en el 2005. PROGRESION DE USUARIOS EN EL MUNDO AÑO Nº Usuarios 1990 0,7-1 millón 2000 300-400 millones 2002 400-500 millones 2003 500-600 millones 2004 800 millones 2005 1.000 millones Fuente: Angus Reid Group
  • 7. Cantidad de Usuarios de INTERNET en Argentina• De acuerdo a un estudio 1 2.000.000 realizado por una 1 0.000.000 consultora, Internet fue uno 8.000.000 de los indicadores que 6.000.000 4.000.000 continuó creciendo durante 2.000.000 la crisis en Argentina 0 durante el 2002. M ar. 00 S e p . 00 Ab r. 01 D ic . 01 O c t. 02 Ab r. 03 M ay. 05 En e . 06• Si bien la tasa de crecimiento fue menor que en tiempos anteriores, en el año 2005, la cantidad de Usuarios de Internet en el país llegó a los 3.900.000 (10% población).• Mientras que hoy hay mas de 10 millones de usuarios, lo que representa aproximadamente, el 26% de la población. Fuente: DAlessio IROL Tracking sobre penetración de Internet-2003
  • 8. Comercio electrónicoEn el pasado, la posibilidad de conectarse con millones declientes las 24 horas al día, los 7 días de la semana, erasolamente posible para las grandes corporaciones. Ahora, incluso una compañía con recursos limitados puede competir con rivales más grandes ofreciendo productos y servicios por Internet con una inversión modesta. www.mercadolibre.com.ar/
  • 9. Los clientes no solamente compran fácilmente susproductos, sino que las compañías también haninnovado el uso de conceptos como“personalización” para crear relaciones exclusivas eindividuales con los clientes.Las compañías que utilizan la personalización puedenidentificar a sus clientes virtuales por el nombre,ofrecerles productos basados en hábitos de compraprevios y almacenar de manera segura lainformación de la dirección del domicilio para agilizarlas compras en línea.
  • 10. Artículo obtenido de infobae.com del día 15 de agosto de 2006. • “Más de un millón de argentinos realizan compras en Internet”. • El 32,94% de los usuarios de Internet de la Argentina usa la red para realizar compras, lo que representa más de 1,3 millones de personas. • Los datos surgen de una encuesta realizada por DeRemate.com en conjunto con Zoomerang.com, un motor de encuestas online utilizado por empresas de todo el mundo para hacer investigaciones entre personas que tienen acceso a Internet y navegan en forma habitual. • El informe revela que para el 35,25% de las personas que compra por Internet lo hace por "la comodidad que ofrecen las diferentes variantes de comercio electrónico que existen".
  • 11. • Un 29,51% señaló que lo hace porque es allí donde encuentran los mejores precios y un 23,77% dijo que usa este medio debido a que le facilita encontrar productos que tienen particularidades que hacen que sea complejo encontrarlos de otro modo.• El relevamiento abarcó 2.632 casos seleccionados al azar a través de una metodología que incluyó 29 preguntas sobre diferentes temas relacionados con el comercio electrónico. Principales motivos de compras en INTERNET 11,47% 29,51% 35,25% 23,77% M e j re s p re c io s o M ás Varie d ad C o m o d id ad O tro s M o tivo s http://www.infobae.com/notas/nota.php?Idx=157323&IdxSeccion=100439
  • 12. Surgen nuevos desafíos que las empresas deben superar paratener éxito: “Deben ofrecer servicios fáciles de utilizar y totalmente seguros porque guardan información confidencial como direcciones o 11,47 números de las tarjetas de crédito personales, información de cuentas bancarias, historias médicas, etc.”.
  • 13. El amplio desarrollo de las nuevas tecnologías informáticas está ofreciendo un nuevo campo de acción a conductas antisociales y delictivas manifestadas en formas antesimposibles de imaginar, ofreciendo la posibilidad de cometer delitos tradicionales en formas no tradicionales.
  • 14. John Schwarz, presidente y gerente de operaciones de Symantec, comparte sus opiniones sobre por qué la seguridad demanda una atención especial de los directivos.1. ¿Por qué la seguridad es tan importante para los directivos? Con las amenazas al ciberespacio cada vez más frecuentes y complejas, una violación a la seguridad podría ser devastadora para una empresa al afectar sus operaciones, la reputación corporativa y la confianza de los clientes y accionistas.2. ¿Qué cambios percibe en relación con las amenazas al ciberespacio? La nueva generación de amenazas en Internet puede atacar sin avisar puesto que la velocidad de distribución ha pasado de semanas a días y de días a horas. En el futuro, veremos amenazas que se propagan en minutos o incluso segundos.
  • 15. Caso real:• Aproximadamente a las 15:00 horas empezó a distribuirse un virus en las instalaciones de una empresa, a través de un correo electrónico que le llegó al área de ventas.• La distribución consistía de tomar las listas de distribución de los miembros.• Toda la compañía quedó sin comunicaciones, ya que el poderoso virus congestionó la Red completa, por el lapso de tres horas, quedando prácticamente fuera de línea, sin brindar ningún servicio. La facturación de la empresa es alrededor de 2,000,000,000.00 de dólares anuales.• 2,000,000,000 se dividen por 4380 horas de trabajo al año y se multiplica por 3 horas perdidas, lo que nos arroja un total de $1369,863.01 USD.
  • 16. Pishing “Se conoce como ‘phishing’ a lasuplantación de identidad con el fin deapropiarse de datos confidenciales de los usuarios ”.
  • 17. ¿Qué es el Phishing?• Uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta, (contraseñas, información detallada sobre tarjetas de crédito, información bancaria).• El estafador, mejor conocido como phisher se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico o algún sistema de mensajería instantánea.
  • 18. Historia del phishing•El término phishing viene de la palabra en inglés"fishing" (pesca) haciendo alusión al acto de pescarusuarios mediante señuelos cada vez mássofisticados y de este modo obtener informaciónfinanciera y contraseñas.•También se dice que el término "phishing" es lacontracción de "password harvesting fishing"(cosecha y pesca de contraseñas).•La primera mención del término phishing data en1996, fue adoptado por crackers que intentaban"pescar" cuentas de miembros de AOL.
  • 19. Phishing en AOL AOL tomó medidas tardíamente en 1995 para prevenir el Phishing.• Un cracker se hacía pasar como un empleado de AOL y enviaba un mensaje instantáneo a una víctima potencial.• Para poder engañar a la víctima de modo que diera información sensitiva, el mensaje podía contener textos como "verificando cuenta" o "confirmando información de factura".
  • 20. •Una vez el usuario enviaba su contraseña, el atacante podíatener acceso a la cuenta de la víctima y utilizarla para variospropósitos.•En 1997, AOL reforzó su política respecto al phishing yfueron terminantemente expulsados de los servidores deAOL.•Durante ese tiempo el phishing era tan frecuente quedecidieron añadir en su sistema de mensajería instantánea,una línea que indicaba que "no one working at AOL will askfor your password or billing information" ("nadie que trabajeen AOL le pedirá a usted su contraseña o información defacturación").• Simultáneamente AOL desarrolló un sistema quedesactivaba de forma automática una cuenta involucrada enphishing, comúnmente antes de que la víctima pudieraresponder.
  • 21. Intentos recientes de phishing• Los intentos más recientes de phishing se han comenzado a dirigir a clientes de bancos y servicios de pago en línea.• En principio es enviado por phishers de forma indiscriminada con la esperanza de encontrar a un cliente de dicho banco o servicio.• Estudios recientes muestran que los phishers son capaces de establecer con qué banco una posible víctima tiene relación, y de ese modo enviar un e-mail, falseado apropiadamente, a la posible víctima.• En términos generales, esta variante hacia objetivos específicos en el phishing se ha denominado spear phishing (literalmente phishing con lanza).
  • 22. Hemos recibido el aviso que has procurado recientemente retirar la siguientesuma de tu cuenta.Ejemplo de un intento de phishing, haciéndose pasar por unSi esta información no está correcta, alguien desconocido puede tener acceso a tucuenta. Como medida de seguridad, visite nuestro sitio Web, a travésdel link quee-mail oficial, trata de engañar a los miembros del bancose encuentra aquí abajo para verificar tu información personalpara que den información acerca de su cuenta con un enlaceUna vez que has hecho esto, nuestro departamento de fraude trabajará paraa la página del phisher.resolverlo.
  • 23. Técnicas de phishing• La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar.• URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL: http://www.trustedbank.com/general/custverifyinfo.asp• Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar el nombre de usuario y contraseña.
  • 24. • Por ejemplo, el enlace: http://www.google.com@members.tripod.com/ puede engañar a un observador casual a creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente).• Este método ha sido erradicado desde entonces en los navegadores de Mozilla e Internet Explorer.• Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL legítima.
  • 25. • En otro método popular de phishing, el atacante utiliza los propios códigos del banco o servicio del cual se hacen pasar contra la víctima.• Este tipo de ataque resulta particularmente problemático, ya que dirigen al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos.• En este método de ataque los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica en realidad, el enlace esta modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios.
  • 26. Lavado de dinero producto del phishing• Se está tendiendo actualmente a la captación de personas por medio de e-mails, chats, donde empresas ficticias les ofrecen trabajo,ofreciendoles ejercer desde su propia casa y amplios beneficios.• Todas aquellas personas que aceptan se convierten automáticamente en víctimas que incurren en un grave delito bajo su ignorancia: el blanqueo de dinero obtenido a través del acto fraudulento de phishing.• Para que una persona pueda darse de alta con esta clase de empresas debe rellenar un formulario en el cual se indicarán entre otros datos, la cuenta bancaria.• Esto tiene la finalidad de ingresar en la cuenta del trabajador-víctima el dinero procedente de las estafas bancarias realizadas por el método de phishing.
  • 27. • Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su cuenta bancaria y es avisado por parte de la empresa del mismo.• Una vez hecho este ingreso la víctima se quedará un porcentaje del dinero total, pudiendo rondar el 10%-20%, como comisión de trabajo y el resto lo reenviará a través de sistemas de envío de dinero a cuentas indicadas por la seudo-empresa.• Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad económica) esta se ve involucrada en un acto de estafa importante, pudiéndose ver requerido por la justicia, previa denuncia de los bancos.• Estas denuncias se suelen resolver con la imposición de devolver todo el dinero sustraído a la víctima, obviando que esta únicamente recibió una comisión.
  • 28. Daños causados por el phishingLa gráfica muestra el incremento en los reportes de phishingdesde Octubre del 2004 hasta junio de 2005.Los daños causados oscilan entre la pérdida del acceso al correoelectrónico a pérdidas económicas sustanciales.Este estilo de robo de identidad se está haciendo más popularpor la facilidad con que personas confiadas revelan informaciónpersonal a los phishers.
  • 29. • Se estima que entre mayo del 2004 y mayo del 2005, aproximadamente 1.2 millones de usuarios de computadoras en los Estados Unidos tuvieron pérdidas a causa del phishing, lo que suma a aproximadamente $929 millones de dólares estadounidenses.• Los negocios en los Estados Unidos perdieron cerca de 2000 millones de dólares al año mientras sus clientes eran víctimas.• El Reino Unido también sufrió el alto incremento en la práctica del phishing. En marzo del 2005, la cantidad de dinero que perdió el Reino Unido era de aproximadamente £12 millones de libras esterlinas.
  • 30. Respuesta social• Una estrategia para combatir el phishing consiste en entrenar a los usuarios para enfrentarse a posibles ataques.• Un usuario que es contactado sobre la necesidad de "verificar" un cuenta puede o bien contactar con la compañía la cual es tema del correo, o teclee la dirección web de un sitio web seguro en la barra de direcciones de su navegador.• Muchas compañías, se dirigen a sus clientes por su nombre de usuario en los correos electrónicos, de manera que si un correo electrónico se dirige al usuario de una manera genérica como ("Querido miembro de xxxx") es probable de que sea un intento de phishing.• Las páginas han añadido herramientas de verificación que permite a los usuarios ver imágenes secretas que los usuarios seleccionan por adelantado, sí estas imágenes no aparecen, entonces el sitio no es legítimo.• Monitorización continua, analizando y utilizando medios legales para cerrar páginas con contenido phishing.
  • 31. Procedimientos para protegerse del "phishing“: 1. Nunca responda a solicitudes de información personal a través de correo electrónico. Si tiene alguna duda, póngase en contacto con la entidad que supuestamente le ha enviado el mensaje. 2. Para visitar sitios Web, introduzca la dirección URL en la barra de direcciones. 3. Asegúrese de que el sitio Web utiliza cifrado. 4. Consulte frecuentemente los saldos bancarios y de sus tarjetas de crédito. 5. Comunique los posibles delitos relacionados con su información personal a las autoridades competentes.
  • 32. Paso 1: Nunca responda a solicitudes de información personal através de correo electrónico.Las empresas de prestigio nunca solicitan contraseñas, númerosde tarjeta de crédito u otro tipo de información personal porcorreo electrónico. Si recibe un mensaje que le solicita este tipode información, no responda.Si piensa que el mensaje es legítimo, comuníquese con laempresa por teléfono o a través de su sitio Web para confirmarla información recibida.Paso 2: Para visitar sitios Web, introduzca la dirección URL enla barra de direcciones.Si sospecha de la legitimidad de un mensaje de correoelectrónico de la empresa de su tarjeta de crédito, banco oservicio de pagos electrónicos, no siga los enlaces que lollevarán al sitio Web desde el que se envió el mensaje.Las nuevas versiones de Internet Explorer hacen más difícilfalsificar la barra de direcciones, por lo que es una buena ideavisitar Windows Update regularmente y actualizar su software.
  • 33. Paso 3: Asegúrese de que el sitio Web utiliza cifrado.Si no se puede confiar en un sitio Web por su barra dedirecciones, ¿cómo se sabe que será seguro?Existen varias formas: En primer lugar, antes de ingresarcualquier tipo de información personal, compruebe si el sitioWeb utiliza cifrado para transmitir la información personal.En Internet Explorer puede comprobarlo con el icono de coloramarillo situado en la barra de estado.Este símbolo significa que el sitio Web utiliza cifrado paraproteger la información personal que introduzca.
  • 34. Paso 4: Consulte frecuentemente los saldos bancarios y desus tarjetas de crédito.Incluso si sigue los tres pasos anteriores, puedeconvertirse en víctima de las usurpaciones de identidad. Siconsulta sus saldos bancarios y de sus tarjetas de créditoal menos una vez al mes, podrá sorprender al estafador ydetenerlo antes de que provoque daños significativos.Paso 5: Comunique los posibles delitos relacionados consu información personal a las autoridades competentes.Si cree que ha sido víctima de "phishing", proceda delsiguiente modo:•Informe inmediatamente del fraude a la empresaafectada. Si no está seguro de cómo comunicarse con laempresa, visite su sitio Web para obtener la información decontacto adecuada.
  • 35. • Proporcione los detalles del estafador, como los mensajesrecibidos, a la autoridad competente a través del Centro dedenuncias de fraude en Internet.•Este centro trabaja en todo el mundo en colaboración con lasautoridades legales para clausurar con celeridad los sitios Webfraudulentos e identificar a los responsables del fraude.
  • 36. Respuestas técnicas• Varios programas de software anti-phishing están disponibles. La mayoría de estos programas trabajan identificando contenidos phishing en sitios web y correos electrónicos.• El software anti-phishing puede integrarse con los navegadores web y clientes de correo electrónico como una barra de herramientas que muestra el dominio real del sitio visitado.• Los filtros de spam también ayudan a proteger a los usuarios de los phishers, ya que reducen el número de correos electrónicos relacionados con el phishing que un usuario puede recibir.
  • 37. Anti-PhishingExisten varias técnicas para combatir el phishing, incluyendo lalegislación y la creación de tecnologías específicas que tienencomo blanco evitar el phishing.Indicador de nivel de Pishing actual La Asociación de Internautas ha creado el indicador AlertPhising para uso de los sitios web que deseen ofrecer a sus visitantes información en línea del estado de los ataques. El indicador AlertPhising es una aplicación sencilla, que indica mediante distintos colores y niveles el estado de alerta de ataques de Phishing a las entidades que están siendo suplantadas.
  • 38. Filtro antiphishing en Internet Explorer 7♦ Internet Explorer 7, incorporará un filtro antiphishing destinado a proteger a los usuarios de las estafas basadas en sitios webs falsificados.♦ La tecnología será similar a la ya desplegada en la actualidad por las barras de herramientas antiphishing, basándose tanto en la detección "heurística" (patrones genéricos), listas negras, y listas blancas de sitios confiables.♦ A efectos prácticos, el usuario podrá visualizar diferentes avisos que le indicarán el grado de peligrosidad de la página web que visita.♦ Si bien desde el punto de la tecnología no aporta ninguna novedad, el hecho de que se integre por defecto en el navegador más utilizado ayudará a que gran parte de los usuarios cuenten con una primera línea de defensa.
  • 39. Barras antiphishing para navegadores
  • 40. Respuestas legislativas y judiciales • El 26 de enero de 2004, la FTC (Federal Trade Commission) llevó a juicio el primer caso contra un phisher sospechoso. • El defendido, un adolescente de California, creó y utilizó una página web con un diseño que aparentaba ser la página de American Online para poder robar números de tarjetas de crédito. • Tanto Europa como Brasil siguieron la práctica de los Estados Unidos, rastreando y arrestando a presuntos phishers. • A finales de marzo del 2005, un hombre de 24 años fue arrestado utilizando un backdoor, a partir de que las víctimas visitaron su sitio web falso, en el que incluía un keylogger que le permitía monitorizar lo que los usuarios tecleaban.
  • 41. • Del mismo modo, las autoridades arrestaron al denominado phisher kingpin, Valdir Paulo de Almeida, líder de una de las más grandes redes de phishing que en dos años había robado entre $18 a $37 millones de dólares estadounidenses.• En los Estados Unidos, se introdujo el Acta Anti- Phishing del 2005 el 1 de marzo del 2005.• Esta ley federal de anti-phishing establecía que aquellos criminales que crearan páginas web falsas o enviaran spam a cuentas de e-mail con la intención de estafar a los usuarios podrían recibir una multa de hasta $250,000 USD y penas de cárcel por un término de hasta cinco años.
  • 42. • La compañía Microsoft también se ha unido al esfuerzo de combatir el phishing.• El 31 de marzo del 2005, Microsoft llevó a la Corte del Distrito de Washington 117 pleitos federales. En algunos de ellos se acusó al denominado phisher "John Doe" por utilizar varios métodos para obtener contraseñas e información confidencial.• Microsoft espera desenmascarar con estos casos a varios operadores de phishing de gran envergadura.• En marzo del 2005 también se consideró la asociación entre Microsoft y el gobierno de Australia para educar sobre mejoras a la ley que permitirían combatir varios crímenes cibernéticos, incluyendo el phishing.
  • 43. Tapa diario Clarín. Domingo 27 de agosto de 2006.
  • 44. Los 10 virus más detectados
  • 45. Conclusión• Debemos mencionar que no existe un sistema computarizado que garantice al 100% la seguridad de la información, por la inmensa mayoría de diferentes formas con las cuales se pueden romper la seguridad de un sistema.• Dado el creciente número de denuncias de incidentes relacionados con el phishing se requieren métodos adicionales de protección.• Se han realizado intentos con leyes que castigan la práctica, campañas para prevenir a los usuarios y aplicación de medidas técnicas a los programas, y aun así no es suficiente.
  • 46. BIBLIOGRAFIAWikipedia, la enciclopedia libre. En:es.wikipedia.org/wiki/PhishingPáginas Web para robar datos. N. Rojo. Septiembre20004. En:http://www.consumer.es/web/es/tecnologia/internet/2004/09/22/109261.phpRobo de datos Por Internet. El phishing, delitoinformático de moda. L. Tejero. Julio de 2004. En:http://www.elmundo.es/navegante/2004/07/29/esociedad/1091118343.htmlTodo lo que debe saber acerca del "phishing“. Publicado:27/05/04. En:http://www.microsoft.com/latam/seguridad/hogar/spam/phishing.mspxFiltro antiphishing en Internet Explorer 7.http://www.desarrolloweb.com/articulos/2099.php
  • 47. Heuristica: En computación, dos objetivos fundamentales para la mayoríade casos son encontrar algoritmos con buenos tiempos de ejecución ybuenas soluciones, usualmente las óptimas. Una heurística es un algoritmoque ofrece uno o ambos objetivos; por ejemplo, normalmente encuentranbuenas soluciones, aunque en ocasiones no hay pruebas de que la soluciónno pueda ser arbitrariamente errónea; o se ejecuta razonablemente rápido,aunque no existe tampoco prueba de que deba ser así.

×