Tecnología Segura

Tag: Correo electrónico

Phishing y Smishing. Consejos frente a ataques de ingeniería social

by on Mar.31, 2010, under Seguridad

Twitter Resumen, en un Tweet
Los ataques por Phishing son realmente frecuentes, vienen de cualquiera y hay que tener claro cómo combatirlos. Lee más en este artículo.

Asumo que la terminología (generalmente anglófona) que utilizamos en TI dificulta a veces que las personas ajenas a este sector nos entiendan. En cambio, algunos son conceptos que, se llamen como se llamen, deben ser asimilados por todas las personas con el fin de estar protegidos frente a cualquier tipo de incidente.

Dentro de este amplio glosario existe un término, en el que nos queremos centrar hoy, que se refiere a un tipo de ataque muy común y causante de una parte importante de los incidentes de seguridad actuales: Phishing y sus variantes.

Phishing
se puede definir como estafa telemática basada en ingeniería social a través de la cual un usuario malintencionado intenta obtener datos importantes o comprometedores de la persona estafada para después ser utilizados con diferentes fines. El estafador, conocido como phisher, se hace pasar por una persona o entidad de confianza en una aparente comunicación oficial electrónica. Los métodos de contacto utilizados generalmente son el correo electrónico, sistemas de mensajería instantánea o redes sociales.
Smishing
es una estafa telemática de la familia de los ataques por Phishing e Ingeniería Social, destinado a usuarios de telefonía móvil utilizando como canal de contacto el sistema de SMS (Short Message Service) y MMS (Multimedia Messaging System). El objetivo de estos mensajes cortos es suplantar la identidad de una persona u organización para intentar captar visitas hacia cierta  página web o número de teléfono (generalmente de tarificación adicional) donde se cometerá el acto delectivo. + info.

Realmente los ataques por phishing y el spam están relativamente relacionados. Al fin y al cabo, los dos son correos (o comunicaciones) no deseados. Yo diría que la única diferencia entre ambos es que los ataques por phishing suplantan la identidad de una institución existente (banco, organismo, …) mientras que el spam es una burda publicidad molesta de productos o contactos nada confiables, falsos o imitaciones.

Aquí te mostramos algunos ejemplos de phishing, con diferentes empresas e instituciones, para que compruebes que cualquiera puede ser objeto de suplantación de identidad:

Técnicas y características de un ataque por phishing

A la víctima le llega, a través de cualquiera de los medios utilizados, un mensaje de una supuesta fuente confiable pidiendo que abra un documento adjunto o que acceda a un link por algún motivo: oferta, problema de seguridad, comprobación de datos… lo que sea. Es común que, por motivos obvios, siempre aparezca “su cuenta será desactivada”, “urgente”, “en menos de 48 horas” o similar.

En el caso de hacer click en ese link, se abrirá una web exactamente igual que la verdadera (con mismos logotipos, colores, tipos de letra…) pero manipulada malintencionadamente. En ella se solicitarán más datos de los habituales o quizá se pediría instalar algún programa, depende, pues una vez dentro del site falsificado, existen diferentes variantes para explotar un ataque por phishing (modificaciones JavaScript, ataques Cross Site Scripting (XSS), redirecciones a URLs maliciosas…). Se pedirán básicamente todos los datos necesarios para que luego el receptor de los mismos pueda utilizarlos de manera fraudulenta.

Generalmente el problema de este tipo de ataques es detectar la URL. La página web falsa copia la apariencia de la web verdadera, pero no la dirección URL, que cambia siempre. Existen técnicas para “enmascarar” una URL falsa y hacerla parecer verdadera, técnicas verdaderamente sofisticadas e imperceptibles, en ocasiones. Los navegadores más recientes ofrecen herramientas para detectar direcciones web válidas o identificar las páginas falsas.

URLs mal escritas, uso de terceros niveles o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL, http://www.nombredetubanco.com.phishingsite.com/ en vez de http://www.nombredetubanco.com/

Otro problema relacionado con las URL es el referente al manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dοminiο.com, aunque en el segundo las letras “o” hayan sido reemplazadas por la correspondiente letra griega ómicron, “ο”). Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homógrafos, ningún ataque conocido de phishing lo ha utilizado.

Así pues, es muy recomendable revisar las opciones de seguridad de tu navegador e instálarte un analizador de URLs para evitar este tipo de engaños.

Fases de un ataque por phishing

  • Previo al ataque por phishing, los usuarios malintencionados hacen acopio de direcciones de correo electrónico y teléfonos de potenciales víctimas de phishing. Para ello se valen de chats, foros, hoaxes, scamming, datos de registro en falsos concursos o en falsas páginas web, etcétera.
  • Se comete el phishing, escogiendo entre cualquiera de los medios más comunes (correo electrónico, red social, teléfono, SMS…), copiando la imagen y diseño web de la persona u organización que desean suplantar.
  • Las personas responden al falso llamamiento pinchando en un link o facilitando a los phishers los datos que éstos precisan para efectuar su delito.
  • Se ejecuta el acto, delictivo o malintencionado, que puede tener distintos objetivos en función del tipo de campaña. Puede consistir en infectar el equipo al acceder a una página web manipulada, obtener las claves para operar con la cuenta bancaria o de pago por Internet de la víctima desvalijándola y blanqueando el dinero, suplantación de identidad, falsas ofertas de trabajo, falsas donaciones, aplicando técnicas de comercio agresivo… etcétera.

Consejos para evitar ser víctima de un ataque por phishing

  • Evita que los phishers capturen tu correo electrónico:
    • Toma medidas frente a los hoaxes: no los reenvíes y advierte a tus contactos para que tampoco los reenvíen.
    • En caso de necesitarlo, haz los reenvíos “masivos” que necesites añadiendo a tus contactos al campo CCO (“Con Copia Oculta/Copia de Carbón Oculta”).
    • No publiques tu cuenta de correo en foros o comentarios de webs.
    • No rellenes tus datos en formulario de registro de páginas o concursos de dudosa procedencia.
  • Lee atentamente las recomendaciones de seguridad de tu banco e instituciones. Comprueba también a menudo que no existen movimientos anormales en tu cuenta, por poca cantidad que suponga.
  • Debes tener claro que los bancos o instituciones jamás te pedirán por correo electrónico ningún dato, ni que entres a su portal a verificar tu información o credenciales de acceso. Tampoco es común que los bancos envíen ficheros adjuntos: desconfía también de ello.
  • Un error de seguridad de una institución nunca te será comunicado por correo electrónico. Y en caso de utilizar este canal, nunca supondrá que tú tengas que realizar ninguna operación.
  • Custodia adecuadamente tus contraseñas y datos de contacto. Vigila dónde los facilitas y recuerda que nunca jamás te pedirán claves secretas ni por correo, ni por teléfono ni presencialmente.
  • Confirma por teléfono (a través de la plataforma oficial de Atención al Cliente) si la información de un correo electrónico que has recibido de ellos es cierta.
  • Si tienes cualquier duda, consulta antes por teléfono al servicio de Atención al Cliente.
  • Observa detenidamente la ortografía y la gramática la comunicación que has recibido. Casi siempre son burdas traducciones mal realizadas (se aprecia en algunos de los ejemplos que aquí te mostramos).
  • Desconfía igualmente de los correos electrónicos provenientes de fuentes conocidas, pero en idiomas distintos de los que maneja o que suela utilizar para comunicarse contigo.
  • Guarda en los favoritos de tu navegador las páginas de inicio de tus bancos y portales “críticos”. Evita teclear las direcciones y ten mucho ojo cuando accedes desde un buscador.
  • Asegúrate que en páginas importantes funcionan bajo Hypertext Transfer Protocol Secure (HTTPS).
  • Mantén tu equipo securizado, con todas las actualizaciones de seguridad instaladas, antivirus instalado y actualizado y algún analizador de URL activado.
  • Toma medidas si piensas que has podido ser víctima de phishing: contacta con la Policía y con la entidad que ha sido objeto del phishing.

Pero claro, no podríamos dejar pasar la oportunidad de recordarte nuestra regla estrella: utiliza el sentido común frente a ataques de phishing.

1 Comment :, , , , , , , , more...

Internet: Una habitación de tu casa más para proteger

by on Feb.09, 2010, under Internet, Seguridad

Twitter Resumen, en un Tweet
9 Feb – Día Mundial por la Seguridad en Internet. Internet es seguro, pero si se usa con sentido común.

Hoy se celebra el Día Mundial por la Seguridad en Internet cuyo lema en su séptima edición es claro: Piensa antes de publicar (Think B4 U Post!).

Imagen de previsualización de YouTube

¿Es peligroso Internet?, ¿corremos riesgos navegando?, ¿hasta dónde llegan los fraudes en la red?, ¿realmente peligra nuestra integridad física?. Para responder a todas estas preguntas es necesario huir del amarillismo alarmista, porque Internet sí es seguro.

Parece interesante hacer hoy una pequeña reflexión sobre nosotros y nuestro álter ego en la red de redes. Es curioso comprobar cómo las personas “se convierten” delante de su ordenador. ¿Se comportan las personas igual en la vida real que en Internet?. Parece que por regla general no. Encontrarte frente a una pantalla de ordenador aporta, en cierto modo, una falsa sensación de intimidad mientras que comunicarte por Internet genera una (falsa también) sensación de anonimato que nos arroja a hacer y decir cosas que no haríamos o diríamos en otras situaciones más presenciales.

Conclusión: igual que un coche es más seguro si cumplimos las normas de circulación, Internet es seguro, si sabes cómo utilizarlo (acabo de darle la idea de un nuevo libro a Allen Carr). Me explico: en Internet puede llegar a circular mucha información personal sensible, pero muy fragmentada. Datos que por sí solos no suponen una amenaza, pero que juntos podrían aportar a un usuario malintencionado información suficiente para sus fines (posiblemente fraudulentos). No pretendo resultar paranoico, si realmente se quiere y bajo ciertas condiciones a veces remotas, se podrían hacer cosas que aterran sólo de pensarlas, pero esos casos son muy, muy reducidos. No pasa nada si le dices a un amigo que te vas de vacaciones pero… ¿se lo dirías a un desconocido, quedándose tu casa sola?. No, ¿verdad?. Pues en Internet deberían imperar las mismas normas que en la vida real.

Para evitar problemas, bajo mi punto de vista, el truco simplemente está en cumplir siempre estas tres premisas: discreción, vistas a largo plazo y sentido común. Discreción porque la información que facilites en Internet debe estar bien filtrada y los receptores deben estar correctamente definidos: seguro que no quieres que tus amigos íntimos tengan la misma información de ti que tus compañeros de trabajo, jefes o incluso desconocidos. Con “vistas a largo plazo” me refiero a publicar únicamente aquello que sepas que nunca pueda dañarte o afectar a tu imagen pública y profesional. Un ejemplo extremo: una foto, inocente en su momento, de una fiesta en tu dieciséis cumpleaños publicada en Internet, por más que lo intentes, nunca quedará completamente borrada (algún usuario puede haberla guardado y existen también sistemas de guardado automático de páginas, caché de perfiles, etcétera). Si esa foto comprometedora sale a relucir años después, cuando eres director de una gran multinacional, quizá tu imagen profesional quede gravemente tocada. Insisto en que se trata de un ejemplo extremo, muy poco frecuente. Y con el sentido común, pocos comentarios más que hacer: sencillamente consiste en poner en práctica los mismos consejos que nos daba nuestra abuela, pero traducidos a código binario.

Si bien estos consejos están más enfocados a las redes sociales (donde sí es verdad que hay que tener especial precaución), los riesgos asociados a la red no se acaban pulsando el botón de cerrar sesión de Facebook. Hay que prestar atención también a otros ámbitos como las transacciones bancarias, compras por internet, virus informáticos y sobre todo, custodia de contraseñas.

Pongamos, para terminar, casos prácticos para ilustrar que el funcionamiento de las reglas en Internet es muy similar al de la vida diaria, ¿por qué nos cuesta tanto extrapolarlo?:

  • Caso 1: María está harta de llevar las llaves en el bolso y decide quitar la cerradura de la puerta de su casa. Aunque María jamás ejecutaría tan demencial idea, ella decide poner la misma contraseña a todos los portales y servicios donde está registrada y la pega con un Post-It en la pantalla del ordenador de su trabajo, no vaya a ser que se le olvide.
  • Caso 2: Juan es una persona muy cortés y se para en la calle a atender a un desconocido que le pide su cuenta bancaria para pasarle recibos cuyo importe irá destinado supuestamente a ayudas sociales. Por el contrario Juan sabe perfectamente que los voluntarios de ONG deben ir debidamente identificados y no cae en el timo, aunque comete el error de atender un correo electrónico fraudulento que simula ser de su banco y que dice tener problemas informáticos pidiéndole que facilite todas sus credenciales de acceso en una web muy parecida a la de su entidad.
  • Caso 3: Luis y Alicia salen a la calle en el invierno más frío de los últimos 20 años vestidos sólo con un bañador. Si bien no se les ocurriría salir de esta guisa a la calle porque caerían enfermos al instante, ellos tienen conectado el ordenador de su casa a la red sin ningún tipo de antivirus, firewall ni programa anti-spyware, así, al equipo sólo le falta contraer el virus de la Gripe A.
  • Caso 4: Alfredo decide darse un solitario paseo de madrugada por el barrio más peligroso de su ciudad. Alfredo, por el contrario, sabe que si lo hiciera acabaría desvalijado y con menos ropa que Luis y Alicia. En cambio, Alfredo navega por unas páginas extrañas que le piden instalar un programa de dudosa procedencia para entrar en un sorteo de un iPhone.

En definitiva, Internet se podría definir como una puerta más de tu casa que te comunica con el exterior, pero multiplicado a la enésima potencia. Una puerta que precisa ser protegida con casi las mismas normas que cualquier otra puerta de tu vivienda y que sólo debe ser abierta a quien tú determines. Los beneficios de Internet son infinitos, se trata de la herramienta más potente, necesaria y versátil que jamás haya existido. La puedes utilizar para casi todo: comunicarte con tu gente, conocer a nuevas personas, comprar cualquier cosa, aprender sobre infinidad de temas, … pero como pasa con cualquier creación, debe ser bien utilizado: protege tu ordenador, no agregues a tus redes sociales a cualquiera que te contacte, filtra y selecciona tus datos en las redes sociales donde participes, no publiques de otros lo que no te gustaría que publicaran de ti, custodia tus contraseñas (protégelas, no las repitas y cámbialas con relativa frecuencia), verifica una información desde fuentes fiables las veces que haga falta antes de creértela, compra únicamente en canales de venta contrastados, ten cuidado con los correos entrantes (incluso si provienen de contactos conocidos), ojo con las promociones/regalos que se ofrecen en la red como reclamo y sobre todo, debes estar siempre vigilante, porque tú, sin duda, eres la mejor herramienta de seguridad informática.

Mientras, desde aquí, seguiremos proponiéndote temas sobre el amplio mundo de la seguridad lógica, te esperamos, pues, en TecnologiaSegura.com para que sigas aprendiendo trucos y consejos para hacer tu navegación por Internet más segura, rápida y eficaz.

Leave a Comment :, , , , , , , , , more...

¿Qué es un HOAX?

by on Dic.05, 2009, under Seguridad

Definición de HOAX

HOAX
HOAX (Mentira, Bulo) aplicado a la informática, se puede denominar como aquel correo electrónico no deseado, proveniente o no de personas conocidas que advierte de una falsa o engañosa amenaza. Se vale de rumores o leyendas urbanas y a veces de consejos nimios para llegar al mayor número de personas por la técnica de la “carta en cadena”. Sus fines son variados, pero todos “malévolos”.

Clasificación de HOAXES

Básicamente, podemos dividir los hoaxes en las siguientes categorías:

  • Falsas alertas sobre virus incurables
  • Mensajes de temática religiosa
  • Cadenas de solidaridad
  • Cadenas de la suerte
  • Leyendas urbanas
  • Métodos para hacerse millonario
  • Regalos de grandes compañías
  • También se reciben mensajes tomando el pelo a la gente que reenvía hoaxes.
  • Mitos falsos sobre riesgos para la salud de alimentos, cosmética, etcétera.
  • Constantes avisos falsos de cierre de Hotmail y otros proveedores de correo electrónico.
  • Constantes riesgos inventados de estafas en telefonía e Internet (que invitan, por ejemplo, a no coger el teléfono si la llamada proviene de ciertos números telefónicos, o cuando una operadora te solicita pulsar cierta numeración).

Hay otros mensajes que no nacen como hoaxes pero pueden ser considerados como tales:

  • Poemas y mensajes de amor y esperanza (éstos suelen venir en un archivo de Power Point pesadísimo).
  • Mensajes para unirte a programas de afiliados.
  • Chistes y fotos que circulan en cadena

¿Cómo detectar un HOAX?

Desconfía de los correos electrónicos, provenientes de personas conocidas o no, que sean reenviados y que cumplan alguna o todas las siguientes características:

  • No tienen firma.
  • Algunos invocan los nombres de grandes compañías e instituciones públicas.
  • En el texto aparecen frases como “un amigo que trabaja allí me lo ha dicho”.
  • Piden al receptor que lo envíe a todos sus contactos.
  • Te amenazan con grandes desgracias si no lo reenvías.

¿Cómo puedes saber si se trata de un HOAX?

  • Copia y pega fragmentos significativos del texto (donde aparezcan, por ejemplo, nombres, empresas, …) del correo en buscadores. Te saldrán decenas de páginas que te marcarán el correo como falso.
  • Las entidades importantes e instituciones públicas no difunden noticias ni alarmas através de correos electrónicos encadenados. Suelen utilizar la prensa y, en caso de ser verdad, el correo electrónico que recibas debería ser del dominio propietario de la institución o debería redirigirnos a una web oficial donde se publicara un comunicado que reafirmara la misma información.
  • Las empresas e instituciones públicas disponen de Gabinetes de prensa. Nunca utilizarán a terceros para dar una noticia.

Este tipo de correos electrónicos son creados malintencionadamente con las siguientes finalidades y consecuencias:

Objetivos

  • Conseguir direcciones de mail. Se utilizan para mandar correo basura o para venderlas a empresas que mandan correo basura.
  • Congestionar los servidores.
  • Alimentar el ego del autor.

Consecuencias

  • Hacen perder tiempo y dinero al receptor y al remitente.
  • Congestionan los servidores.
  • Nos llenan nuestra cuenta de publicidad y basura.
  • Hacen perder valor a cadenas creadas por gente que realmente lo necesita.

¿Para qué conseguir direcciones de e-mail?

Si te fijas, un correo en cadena es renviado muchas veces. Cada reenvío añade cierta información al cuerpo del mensaje con todos los destinatarios de dicho correo. A todos los parrafos del texto con destinatarios en los campos Para… y CC… se les llama histórico del correo.
Cuando una carta en cadena de éstas cae en las manos de un SPAMMER, éste utilizará todas las direcciones del histórico del correo para hacer listados a donde difundir más SPAM (correo no deseado) e incluso “mercadear” con las direcciones y venderlas a otras empresas de spam. El Spammer sabe que todas son direcciones de correo válidas, pues son reenvíos realizados entre conocidos y amigos.

¿Cómo actuar frente al SPAM y los HOAXES?

  • Por supuesto, es primordial que NUNCA reenvíes cartas en cadena.
  • Tampoco es conveniente que facilites tu dirección de correo verdadera al registrarte en todo tipo de portales y foros de dudosa procedencia. Si de verdad necesitas registrarte y no quieres dejar rastro de tu correo electrónico, puedes utilizar cuentas de correo temporales.
Leave a Comment :, , , , , more...

Buscar en Internet

Loading