Tecnología Segura

Tag: Hoax

Phishing y Smishing. Consejos frente a ataques de ingeniería social

by on Mar.31, 2010, under Seguridad

Twitter Resumen, en un Tweet
Los ataques por Phishing son realmente frecuentes, vienen de cualquiera y hay que tener claro cómo combatirlos. Lee más en este artículo.

Asumo que la terminología (generalmente anglófona) que utilizamos en TI dificulta a veces que las personas ajenas a este sector nos entiendan. En cambio, algunos son conceptos que, se llamen como se llamen, deben ser asimilados por todas las personas con el fin de estar protegidos frente a cualquier tipo de incidente.

Dentro de este amplio glosario existe un término, en el que nos queremos centrar hoy, que se refiere a un tipo de ataque muy común y causante de una parte importante de los incidentes de seguridad actuales: Phishing y sus variantes.

Phishing
se puede definir como estafa telemática basada en ingeniería social a través de la cual un usuario malintencionado intenta obtener datos importantes o comprometedores de la persona estafada para después ser utilizados con diferentes fines. El estafador, conocido como phisher, se hace pasar por una persona o entidad de confianza en una aparente comunicación oficial electrónica. Los métodos de contacto utilizados generalmente son el correo electrónico, sistemas de mensajería instantánea o redes sociales.
Smishing
es una estafa telemática de la familia de los ataques por Phishing e Ingeniería Social, destinado a usuarios de telefonía móvil utilizando como canal de contacto el sistema de SMS (Short Message Service) y MMS (Multimedia Messaging System). El objetivo de estos mensajes cortos es suplantar la identidad de una persona u organización para intentar captar visitas hacia cierta  página web o número de teléfono (generalmente de tarificación adicional) donde se cometerá el acto delectivo. + info.

Realmente los ataques por phishing y el spam están relativamente relacionados. Al fin y al cabo, los dos son correos (o comunicaciones) no deseados. Yo diría que la única diferencia entre ambos es que los ataques por phishing suplantan la identidad de una institución existente (banco, organismo, …) mientras que el spam es una burda publicidad molesta de productos o contactos nada confiables, falsos o imitaciones.

Aquí te mostramos algunos ejemplos de phishing, con diferentes empresas e instituciones, para que compruebes que cualquiera puede ser objeto de suplantación de identidad:

Técnicas y características de un ataque por phishing

A la víctima le llega, a través de cualquiera de los medios utilizados, un mensaje de una supuesta fuente confiable pidiendo que abra un documento adjunto o que acceda a un link por algún motivo: oferta, problema de seguridad, comprobación de datos… lo que sea. Es común que, por motivos obvios, siempre aparezca “su cuenta será desactivada”, “urgente”, “en menos de 48 horas” o similar.

En el caso de hacer click en ese link, se abrirá una web exactamente igual que la verdadera (con mismos logotipos, colores, tipos de letra…) pero manipulada malintencionadamente. En ella se solicitarán más datos de los habituales o quizá se pediría instalar algún programa, depende, pues una vez dentro del site falsificado, existen diferentes variantes para explotar un ataque por phishing (modificaciones JavaScript, ataques Cross Site Scripting (XSS), redirecciones a URLs maliciosas…). Se pedirán básicamente todos los datos necesarios para que luego el receptor de los mismos pueda utilizarlos de manera fraudulenta.

Generalmente el problema de este tipo de ataques es detectar la URL. La página web falsa copia la apariencia de la web verdadera, pero no la dirección URL, que cambia siempre. Existen técnicas para “enmascarar” una URL falsa y hacerla parecer verdadera, técnicas verdaderamente sofisticadas e imperceptibles, en ocasiones. Los navegadores más recientes ofrecen herramientas para detectar direcciones web válidas o identificar las páginas falsas.

URLs mal escritas, uso de terceros niveles o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL, http://www.nombredetubanco.com.phishingsite.com/ en vez de http://www.nombredetubanco.com/

Otro problema relacionado con las URL es el referente al manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dοminiο.com, aunque en el segundo las letras “o” hayan sido reemplazadas por la correspondiente letra griega ómicron, “ο”). Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homógrafos, ningún ataque conocido de phishing lo ha utilizado.

Así pues, es muy recomendable revisar las opciones de seguridad de tu navegador e instálarte un analizador de URLs para evitar este tipo de engaños.

Fases de un ataque por phishing

  • Previo al ataque por phishing, los usuarios malintencionados hacen acopio de direcciones de correo electrónico y teléfonos de potenciales víctimas de phishing. Para ello se valen de chats, foros, hoaxes, scamming, datos de registro en falsos concursos o en falsas páginas web, etcétera.
  • Se comete el phishing, escogiendo entre cualquiera de los medios más comunes (correo electrónico, red social, teléfono, SMS…), copiando la imagen y diseño web de la persona u organización que desean suplantar.
  • Las personas responden al falso llamamiento pinchando en un link o facilitando a los phishers los datos que éstos precisan para efectuar su delito.
  • Se ejecuta el acto, delictivo o malintencionado, que puede tener distintos objetivos en función del tipo de campaña. Puede consistir en infectar el equipo al acceder a una página web manipulada, obtener las claves para operar con la cuenta bancaria o de pago por Internet de la víctima desvalijándola y blanqueando el dinero, suplantación de identidad, falsas ofertas de trabajo, falsas donaciones, aplicando técnicas de comercio agresivo… etcétera.

Consejos para evitar ser víctima de un ataque por phishing

  • Evita que los phishers capturen tu correo electrónico:
    • Toma medidas frente a los hoaxes: no los reenvíes y advierte a tus contactos para que tampoco los reenvíen.
    • En caso de necesitarlo, haz los reenvíos “masivos” que necesites añadiendo a tus contactos al campo CCO (“Con Copia Oculta/Copia de Carbón Oculta”).
    • No publiques tu cuenta de correo en foros o comentarios de webs.
    • No rellenes tus datos en formulario de registro de páginas o concursos de dudosa procedencia.
  • Lee atentamente las recomendaciones de seguridad de tu banco e instituciones. Comprueba también a menudo que no existen movimientos anormales en tu cuenta, por poca cantidad que suponga.
  • Debes tener claro que los bancos o instituciones jamás te pedirán por correo electrónico ningún dato, ni que entres a su portal a verificar tu información o credenciales de acceso. Tampoco es común que los bancos envíen ficheros adjuntos: desconfía también de ello.
  • Un error de seguridad de una institución nunca te será comunicado por correo electrónico. Y en caso de utilizar este canal, nunca supondrá que tú tengas que realizar ninguna operación.
  • Custodia adecuadamente tus contraseñas y datos de contacto. Vigila dónde los facilitas y recuerda que nunca jamás te pedirán claves secretas ni por correo, ni por teléfono ni presencialmente.
  • Confirma por teléfono (a través de la plataforma oficial de Atención al Cliente) si la información de un correo electrónico que has recibido de ellos es cierta.
  • Si tienes cualquier duda, consulta antes por teléfono al servicio de Atención al Cliente.
  • Observa detenidamente la ortografía y la gramática la comunicación que has recibido. Casi siempre son burdas traducciones mal realizadas (se aprecia en algunos de los ejemplos que aquí te mostramos).
  • Desconfía igualmente de los correos electrónicos provenientes de fuentes conocidas, pero en idiomas distintos de los que maneja o que suela utilizar para comunicarse contigo.
  • Guarda en los favoritos de tu navegador las páginas de inicio de tus bancos y portales “críticos”. Evita teclear las direcciones y ten mucho ojo cuando accedes desde un buscador.
  • Asegúrate que en páginas importantes funcionan bajo Hypertext Transfer Protocol Secure (HTTPS).
  • Mantén tu equipo securizado, con todas las actualizaciones de seguridad instaladas, antivirus instalado y actualizado y algún analizador de URL activado.
  • Toma medidas si piensas que has podido ser víctima de phishing: contacta con la Policía y con la entidad que ha sido objeto del phishing.

Pero claro, no podríamos dejar pasar la oportunidad de recordarte nuestra regla estrella: utiliza el sentido común frente a ataques de phishing.

1 Comment :, , , , , , , , more...

¿Qué es un HOAX?

by on Dic.05, 2009, under Seguridad

Definición de HOAX

HOAX
HOAX (Mentira, Bulo) aplicado a la informática, se puede denominar como aquel correo electrónico no deseado, proveniente o no de personas conocidas que advierte de una falsa o engañosa amenaza. Se vale de rumores o leyendas urbanas y a veces de consejos nimios para llegar al mayor número de personas por la técnica de la “carta en cadena”. Sus fines son variados, pero todos “malévolos”.

Clasificación de HOAXES

Básicamente, podemos dividir los hoaxes en las siguientes categorías:

  • Falsas alertas sobre virus incurables
  • Mensajes de temática religiosa
  • Cadenas de solidaridad
  • Cadenas de la suerte
  • Leyendas urbanas
  • Métodos para hacerse millonario
  • Regalos de grandes compañías
  • También se reciben mensajes tomando el pelo a la gente que reenvía hoaxes.
  • Mitos falsos sobre riesgos para la salud de alimentos, cosmética, etcétera.
  • Constantes avisos falsos de cierre de Hotmail y otros proveedores de correo electrónico.
  • Constantes riesgos inventados de estafas en telefonía e Internet (que invitan, por ejemplo, a no coger el teléfono si la llamada proviene de ciertos números telefónicos, o cuando una operadora te solicita pulsar cierta numeración).

Hay otros mensajes que no nacen como hoaxes pero pueden ser considerados como tales:

  • Poemas y mensajes de amor y esperanza (éstos suelen venir en un archivo de Power Point pesadísimo).
  • Mensajes para unirte a programas de afiliados.
  • Chistes y fotos que circulan en cadena

¿Cómo detectar un HOAX?

Desconfía de los correos electrónicos, provenientes de personas conocidas o no, que sean reenviados y que cumplan alguna o todas las siguientes características:

  • No tienen firma.
  • Algunos invocan los nombres de grandes compañías e instituciones públicas.
  • En el texto aparecen frases como “un amigo que trabaja allí me lo ha dicho”.
  • Piden al receptor que lo envíe a todos sus contactos.
  • Te amenazan con grandes desgracias si no lo reenvías.

¿Cómo puedes saber si se trata de un HOAX?

  • Copia y pega fragmentos significativos del texto (donde aparezcan, por ejemplo, nombres, empresas, …) del correo en buscadores. Te saldrán decenas de páginas que te marcarán el correo como falso.
  • Las entidades importantes e instituciones públicas no difunden noticias ni alarmas através de correos electrónicos encadenados. Suelen utilizar la prensa y, en caso de ser verdad, el correo electrónico que recibas debería ser del dominio propietario de la institución o debería redirigirnos a una web oficial donde se publicara un comunicado que reafirmara la misma información.
  • Las empresas e instituciones públicas disponen de Gabinetes de prensa. Nunca utilizarán a terceros para dar una noticia.

Este tipo de correos electrónicos son creados malintencionadamente con las siguientes finalidades y consecuencias:

Objetivos

  • Conseguir direcciones de mail. Se utilizan para mandar correo basura o para venderlas a empresas que mandan correo basura.
  • Congestionar los servidores.
  • Alimentar el ego del autor.

Consecuencias

  • Hacen perder tiempo y dinero al receptor y al remitente.
  • Congestionan los servidores.
  • Nos llenan nuestra cuenta de publicidad y basura.
  • Hacen perder valor a cadenas creadas por gente que realmente lo necesita.

¿Para qué conseguir direcciones de e-mail?

Si te fijas, un correo en cadena es renviado muchas veces. Cada reenvío añade cierta información al cuerpo del mensaje con todos los destinatarios de dicho correo. A todos los parrafos del texto con destinatarios en los campos Para… y CC… se les llama histórico del correo.
Cuando una carta en cadena de éstas cae en las manos de un SPAMMER, éste utilizará todas las direcciones del histórico del correo para hacer listados a donde difundir más SPAM (correo no deseado) e incluso “mercadear” con las direcciones y venderlas a otras empresas de spam. El Spammer sabe que todas son direcciones de correo válidas, pues son reenvíos realizados entre conocidos y amigos.

¿Cómo actuar frente al SPAM y los HOAXES?

  • Por supuesto, es primordial que NUNCA reenvíes cartas en cadena.
  • Tampoco es conveniente que facilites tu dirección de correo verdadera al registrarte en todo tipo de portales y foros de dudosa procedencia. Si de verdad necesitas registrarte y no quieres dejar rastro de tu correo electrónico, puedes utilizar cuentas de correo temporales.
Leave a Comment :, , , , , more...

Buscar en Internet

Loading