¿Qué es phishing?
Se ha vuelto lugar común leer en sitios y blogs de internet sobre los fraudes via email (email scam). Un email scam es un email fraudulento que aparentemente es verdadero, que procede de alguna empresa existente (banco, gobierno, etc) con algún tipo de solicitud que sea justificable, tales como verificar tus datos en una cuenta bancaria, en algún sitio de compras o pagos, o actualización de información.
Un ejemplo concreto y común es recibir un email proveniente de su banco (o cualquier otro banco) solicitando le des clic a una liga para actualizar o verificar tu información personal o bancaria. De igual manera, el email comunica que de no hacerlo el usuario se verá afectado por algún tipo de suspensión o cancelación de su cuenta. Por supuesto que el objetivo primordial de los que envían este tipo de emails es conocer la información personal o de cuenta bancaria/tarjeta de crédito de la persona receptora del email. Este tipo de fraude via email (email scam) es también conocido como phishing.
Una definición de phishing lo caracterizaría como:
Término utilizado en informática con el con el cual se designa la intención de adquirir información confidencial de forma fraudulenta. Datos tales como contraseñas (password), usuarios, información confidencial sobre tarjetas de crédito, bancos, etc.
El PHISHER se hace pasar por una empresa de confianza, simulando una comunicación oficial electrónica, ya sea en uso de email o de sistemas de mensajes intántaneos, e incluso vía teléfonica.
Técnicas usadas en phishing
La mayoría de métodos de phishing usan por lo general métodos técnicos de engaño, tales como una liga en un email que simula provenir de una empresa confiable. Direcciones (URLs) muy similares o el uso de subdominios son trucos comunes usados por los phishers. Por ejemplo http://www.tubanco.com.ejemplo.com/ . Otro truco es simplemente hacer aparecer una liga como verdadera cuando en realidad te conduce al sitio fraudulento.
Una vez la víctima visita el sitio, no todo está aún terminado. El phisher puede usar comandos de javascript para alterar la dirección en la barra de direcciones. Esto puede realizarse con fácilidad por medio de colocar una imagen encima de la dirección verdadera, o cerrando la barra de direcciones original y abriendo una con la dirección falsa.
Otro método utilizado y mucho más difícil de detectar es cuando el phisher utiliza los agujeros de seguridad en la programación o scripts del mismo sitio en contra de la posible víctima. Esto es conocido como cross-site scripting. Este es un punto problemático ya que el usuario es direccionado a la misma página, la real, del banco por ejemplo, donde todo luce correcto y sin rastro de estar alterado. Este tipo de ataques es muy difícil de detectar y generalmente lo deben verificar especialistas en seguridad informática.
Características del email phishing
En primera instancia puede no ser obvio para el recipiente que en su correo existe una comunicación no legítima de una empresa con la cual ella/él hacen algún tipo de operación.
El campo DE (FROM) puede contener la dirección real de la empresa con la cual se hace negocio. Y la liga, al hacer clic, puede llevar igualmente a un sitio que parece ser el real, pero en realidad puede estar conduciendo al usuario a un sitio fraudulento.
Los elementos comunes de un email que practica el phishing son:
1. el campo DE (FROM) parace ser real. Sin embargo, es importante mencionar que es fácil cambiar el campo DE en cualquier cliente de email para personal con el conocimiento técnico necesario.
2. El email generalmente incluirá logos o imágenes que se han tomado del sitio real de la empresa.
3. El email tendrá una liga para hacer clic, sugiriendo que es necesario darle clic y verificar la información, actualizarla, etc.
4. Otros puntos a tomar en cuenta para identificar email phishing son: los logos pueden no ser exactamente los mismos, errores de escritura, signos de porcentaje % seguidos de números o un signo de arroba @ dentro de la liga, o incluso encabezados que no tienen nada que ver con la empresa a la cual suplantan.
Sentido común
Después de leer este boletín, esperamos que no sea muy difícil para el usuario detectar correos fraudulentos. Generalmente el phishing trata de suplantar empresas tales como bancos, tarjetas de crédito, Paypal, Ebay, etc - básicamente cualquier persona que tenga una cuenta, y que haya proporcionado información financiera cuando se registró.
La regla de oro para evitar caer en el phishing es: NUNCA HAGA CLIC EN LAS LIGAS DENTRO DE UN EMAIL con esas características. Elimina el email, y vacía tu cesta de basura (recycle bin). Esto eliminará incluso un clic accidental en el futuro sobre alguno de esos correos. Si al recibir algún email, tienes la impresión de que es un email real, y te quedas con la duda, NO le des clic a la liga del email. Abre una ventana nueva del navegador y teclea directamente en la barra de direcciones la ruta correcta para entrar al banco. Allí, en el sitio del banco encontrarás alguna indicación en caso la haya. Sin embargo, NUNCA llegar vía la liga del email.
Un paso adelante es reportar cualquier actividad de phishing recibida a y visitar los sitios siguientes para mayor información sobre estas actividades:
http://www.navegaprotegido.org.mx
http://alertaenlinea.gob
http://www.condusef.gob.mx
Spear phishing
Una nueva modalidad de phishing tiene una práctica ligeramente distinta, lo cual lo hace más difícil de detectar. La más reciente forma de phishing es la que se concentra o ejecuta dentro de una organización o departamento de la misma. El email aparenta ser una dirección legítima de alguien dentro de la empresa, casi siempre de alguien en un puesto de confianza, y solicita información sobre usuarios y password. Generalmente proceden del departamento de Recursos Humanos, o áreas de Soporte Técnico, que pueden solicitarle a los empleados actualizar su información. Una vez el phisher a conseguido esta información, puede tener acceso a las redes seguras de esa empresa.
Spyware
Otro tipo de phishing muy utilizado es darle clic a un link que instala un SPYWARE para reenviarse los datos que puedas teclear en tu computadora. Este envío de información sucede sin tu consentimiento y por supuesto, sin que te enteres, usando para enviar los datos tu conexión a internet. Es como tener al phisher sentado contigo en la computadora.
Reglas básicas
1. Desconfía de todo email con solicitudes urgentes de actualizar información personal o financiera.
2. NO des clic en ligas dentro de tu email o sistema de mensajes intántaneos (tipo messenger), chats, etc para llegar a alguna página si no conoces al remitente. De preferencia, no des clic en ellos, a menos que estés completamente seguro del entorno en que se desarrolla la conversación.
3. No llenes formas en mensajes de email que solicitan información financiera.
4. Siempre verifica que estás usando un sitio seguro cuando utilices información relacionada con tarjetas de crédito o cualquier otro tipo de información financiera en un navegador. La barra de direcciones debe iniciar https://www.dominio… ( observa la S al final del HTTPS://, eso indica que es un sitio seguro). Tanto el candado amarrilo como el HTTPS son suceptibles de ser falsificados. ASEGURATE siempre que entras a tu banco tecleando la dirección en tu navegador y no por medio de una liga.
5. Al tiempo que verificas que el sitio contenga un HTTPS en su inicio, verifica la barra de estado del navegador (la barra inferior del navegador). Debe ser un hábito personal al navegar la internet observar la barra de estado y ver si el lugar al cual te estás dirigiendo es realmente el lugar al que pretendes entrar. Estás entrando a Paypal? Inicia la dirección con https://www.paypal.com? O La barra de estado indica algo distinto? Confirma a donde te lleva tu navegador.
6. Considera la opción de instalar una barra de herramientas de algún navegador que te proteja de sitios fraudulentos. El navegador Explorer 7 y Firefox versión 2 lo incluyen.
7. Verifica de manera regular tus cuentas en línea.
8. Verifica tus estados de cuenta bancarios, de tarjetas de crédito, para confirmar que las transacciones son légitimas y correctas.
9. Asegúrate que tu navegador está actualizado con los últimos parches de segurdad.
10. Mantén en tu computadora un antivirus actualizado diariamente. Esto evitará muchos problemas relacionados con spyware, malware y viruses.
11. No realices actividades que requieran validación de información, como entrar un usuario y un password para actividades financieras, en cafés internet o computadoras de uso público en universidades, etc.
12. Utiliza contraseñas seguras, en longitud y combinación de caracteres. Incluye números, letras y algún símbolo como mínimo.
Fuente: Blog Guatemala