• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
U T P L Conferencia Diadeinternet 2009
 

U T P L Conferencia Diadeinternet 2009

on

  • 704 views

 

Statistics

Views

Total Views
704
Views on SlideShare
704
Embed Views
0

Actions

Likes
0
Downloads
5
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    U T P L Conferencia Diadeinternet 2009 U T P L Conferencia Diadeinternet 2009 Presentation Transcript

    • PHISHING Ing. María José Meza Ayala DIRECCIÓN GENERAL DE INVESTIGACIÓN  ESPECIAL EN TELECOMUNICACIONES
    • DEFINICIÓN • El  Phishing  es  un  tipo  de  delito  incluido  dentro  del  ámbito de las estafas, se comete mediante el uso de  un  tipo  de  ingeniería  social  caracterizado  por  intentar  adquirir  información  confidencial  de  forma  fraudulenta.  El  estafador  se  hace  pasar  por  una  persona  o  empresa  de  confianza  en  una  aparente  comunicación  oficial  electrónica;  por  lo  común  un  correo  electrónico,  o  algún  sistema  de  mensajería  instantánea.
    • TÉCNICAS DE PHISHING (I) • Engaño  en  el  diseño  para  lograr  que  un  enlace  en  un  correo  electrónico  parezca una copia de la organización por la cual se hace pasar el impostor.  URLs mal escritas o el uso de subdominios son trucos comúnmente usados  por phishers.  http://www.nombredetubanco.com.ejemplo.com/. • Utilización  de  direcciones  que  contengan  el  carácter  arroba  (@),  para  posteriormente preguntar el nombre de usuario y contraseña.  http://www.google.com@members.tripod.com/ La dirección mostrada puede engañar a un observador casual y hacerlo creer  que  el  enlace  va  a  abrir  en  la  página  de  www.google.com,  cuando  realmente  el  enlace  envía  al  navegador  a  la  página  de  members.tripod.com.
    • TÉCNICAS DE PHISHING (II) • Recepción de un mensaje (generalmente un correo electrónico), en el cual  se solicita la verificación de cuentas bancarias, seguido por un enlace que  aparenta  ser  la  página  web  auténtica;  en  realidad,  el  enlace  está modificado para dirigir al usuario a iniciar sesión en la página del banco o  servicio,  donde  la  URL  y  los  certificados  de  seguridad  parecen  ser   auténticos. • Otro problema con las URL es el relacionado con el manejo de Nombre de  dominio  internacionalizado  (IDN)  en  los  navegadores,  puesto  que  puede  ser  que  direcciones  que  resulten  idénticas  a  la  vista  puedan  conducir  a  diferentes  sitios  (por  ejemplo  dominio.com se  ve  similar  a  dοminiο.com,  aunque  en  el  segundo  las  letras  quot;oquot;  hayan  sido  reemplazadas  por  la  correspondiente letra griega ómicron, quot;οquot;). 
    • DAÑOS CAUSADOS  Este  tipo  de  robo  de  identidad  se  está haciendo  cada  vez  más  popular  por  la  facilidad  con  que  personas  confiadas  normalmente  revelan  información  personal  a  los  phishers,  una  vez  esta  información  es  adquirida,  los  phishers  pueden  usarla  para  crear  cuentas  falsas  utilizando  el  nombre  de  la  víctima,  gastar  el  crédito  de  la  víctima,  o  incluso  impedir  a  las  víctimas  acceder a sus propias cuentas.
    • ESTADÍSTICAS  (Enero 2008) • Se divulgaron 20,305 páginas Web de “phishing” • 131 marcas de fábrica fueron “secuestradas” • 92.4 por  ciento  de  todos  los  ataques  tratan  del  sector  de  servicios financieros  • Los Países que alojan páginas Web de “phishing”: #1: Estados Unidos (37.25 por ciento) #2: Rusia (11.66 por ciento) #3: China (10.3 por ciento)
    • EJEMPLOS (I)
    • EJEMPLOS (II)
    • EJEMPLOS (III)
    • EJEMPLOS (IV)
    • EJEMPLOS (V) http://www.jangsunlu.co.kr/da/chase/actualizacion/s https://www.produbanco.com/GFPNetSeguro/ ervicios/produbanco/persona/produbancopersona...
    • PISHING EN MSN • Dos  de  los  ejemplos  más  recientes  son  las  páginas  quienteadmite.com y  noadmitido.com destinadas  a  robar  el  nombre  y  contraseña  de  los  usuarios  de  MSN a  cambio  de  mostrarle  a  los  visitantes  que  las  utilicen,  quien  los  ha  borrado  de  su  lista de contactos. • El  servicio  que  brindan  puede  obtenerse  fácilmente  desde  la  solapa  quot;privacidadquot;  del  menú opciones  desde  el  Msn  messenger. 
    • MÉTODOS DE PREVENCIÓN (I) • Un  usuario  al  que  se  le  contacta  mediante  un  mensaje  electrónico  y  se  le  hace  mención  sobre  la  necesidad  de  quot;verificarquot;  una  cuenta  electrónica  puede  escribir  la  dirección  web  en  la  barra  de  direcciones  de  su  navegador  para  evitar  usar  el  enlace  que  aparece  en  el  mensaje  sospechoso  de  phishing.  • Muchas compañías se dirigen a sus clientes por su nombre de  usuario  en  los  correos  electrónicos,  de  manera  que  si  un  correo electrónico se dirige al usuario de una manera genérica  como (quot;Querido miembro de XXXXquot;) es probable que se trate  de un intento de phishing.
    • MÉTODOS DE PREVENCIÓN (II) • Uso de software anti‐phishing.  • El uso de filtros de spam. • Muchas  organizaciones  han  introducido  la  característica  denominada  pregunta  secreta,  en  la  que  se  pregunta  información  que  sólo  debe  ser  conocida por el usuario y la organización. Las páginas de Internet también  han  añadido  herramientas  de  verificación  que  permite  a  los  usuarios  ver  imágenes  secretas  que  los  usuarios  seleccionan  por  adelantado;  sí estas  imágenes no aparecen, entonces el sitio no es legítimo. • Muchas  compañías  ofrecen  a  bancos  y  otras  entidades  que  sufren  de  ataques  de  phishing,  servicios  de  monitoreo  continuos,  analizando  y  utilizando medios legales para cerrar páginas con contenido phishing.
    • MÉTODOS DE PREVENCIÓN (III) • Informar  enlaces  sospechosos  • Los  servidores  de  correo  más  haciendo  click  en  ayuda  y  populares  también  cuentan  con  pulsando  en  quot;Informar  de  opciones para  denunciar  intentos  falsificación webquot;: de phishing:
    • LEGISLACION CÓDIGO PENAL “…… Artículo 202.‐ ...  Artículo ...‐ El que empleando cualquier medio electrónico, informático o afín, violentare claves o sistemas de  seguridad,  para  acceder  u  obtener  información  protegida,  contenida  en  sistemas  de  información;  para  vulnerar  el  secreto,  confidencialidad  y  reserva,  o  simplemente  vulnerar  la  seguridad,  será reprimido  con  prisión  de  seis  meses  a  un  año  y  multa  de  quinientos  a  mil  dólares  de  los  Estados  Unidos  de  Norteamérica. “…… ……” Artículo  ...‐ Obtención  y  utilización  no  autorizada  de  información.‐ La  persona  o  personas  que  obtuvieren  información  sobre  datos  personales  para  después  cederla,  publicarla,  utilizarla  o  transferirla  a  cualquier  título, sin la autorización de su titular o titulares, serán sancionadas con pena de prisión de dos meses a  dos años y multa de mil a dos mil dólares de los Estados Unidos de Norteamérica. Nota:  Artículo  agregado  por  Ley  No.  67,  publicada  en  Registro  Oficial  Suplemento  557  de  17  de Abril  del  2002. ……”
    • OBSERVACIONES • Tanto  los  servicios  de  correo  como  cualquier  otro  servicio  (bancos,  cuentas  para  compras  por  internet,  actualizaciones de antivirus,  etc.)  nunca  piden  información sensible del usuario a través del correo electrónico. • Para  defenderse  de  estos  ataques  es  recomendable  utilizar  el  escepticismo  inteligente  en  cualquier  relación  en  la  que  se  solicite  al  usuario  que  divulgue  datos personales, por otro lado, siempre que se tenga que hablar con el banco,  se  lo  debe  hacer  a  través  de  los  números  de  teléfono  oficiales,  y  no  facilitar  datos personales ni financieros a través de correos electrónicos. • Si  se  recibe  un  correo  con  un  enlace  que  sospechemos  que  es  de  phishing,  además  de  informarlo  a  la  web,  se  lo  debe  notificar  también  al  Centro  de  Información y Reclamos de la SUPERTEL, comunicándose sin costo al 1800 567  567. Para que de este modo la SUPERTEL pueda interceder para que la página  sea bloqueada y evitar que nuevas víctimas sean engañadas. • La  SUPERTEL  se  está preparando  técnicamente  para  desarrollar  técnicas  de  detección frente a este nuevo tipo de fraude, las cuales nos permitirán  no solo  prevenir sino corregir técnicamente este tipo de estafas.
    • Acciones realizadas por   la SUPERTEL