Tecnología Segura

Tag: Ingeniería social

Phishing y Smishing. Consejos frente a ataques de ingeniería social

by on Mar.31, 2010, under Seguridad

Twitter Resumen, en un Tweet
Los ataques por Phishing son realmente frecuentes, vienen de cualquiera y hay que tener claro cómo combatirlos. Lee más en este artículo.

Asumo que la terminología (generalmente anglófona) que utilizamos en TI dificulta a veces que las personas ajenas a este sector nos entiendan. En cambio, algunos son conceptos que, se llamen como se llamen, deben ser asimilados por todas las personas con el fin de estar protegidos frente a cualquier tipo de incidente.

Dentro de este amplio glosario existe un término, en el que nos queremos centrar hoy, que se refiere a un tipo de ataque muy común y causante de una parte importante de los incidentes de seguridad actuales: Phishing y sus variantes.

Phishing
se puede definir como estafa telemática basada en ingeniería social a través de la cual un usuario malintencionado intenta obtener datos importantes o comprometedores de la persona estafada para después ser utilizados con diferentes fines. El estafador, conocido como phisher, se hace pasar por una persona o entidad de confianza en una aparente comunicación oficial electrónica. Los métodos de contacto utilizados generalmente son el correo electrónico, sistemas de mensajería instantánea o redes sociales.
Smishing
es una estafa telemática de la familia de los ataques por Phishing e Ingeniería Social, destinado a usuarios de telefonía móvil utilizando como canal de contacto el sistema de SMS (Short Message Service) y MMS (Multimedia Messaging System). El objetivo de estos mensajes cortos es suplantar la identidad de una persona u organización para intentar captar visitas hacia cierta  página web o número de teléfono (generalmente de tarificación adicional) donde se cometerá el acto delectivo. + info.

Realmente los ataques por phishing y el spam están relativamente relacionados. Al fin y al cabo, los dos son correos (o comunicaciones) no deseados. Yo diría que la única diferencia entre ambos es que los ataques por phishing suplantan la identidad de una institución existente (banco, organismo, …) mientras que el spam es una burda publicidad molesta de productos o contactos nada confiables, falsos o imitaciones.

Aquí te mostramos algunos ejemplos de phishing, con diferentes empresas e instituciones, para que compruebes que cualquiera puede ser objeto de suplantación de identidad:

Técnicas y características de un ataque por phishing

A la víctima le llega, a través de cualquiera de los medios utilizados, un mensaje de una supuesta fuente confiable pidiendo que abra un documento adjunto o que acceda a un link por algún motivo: oferta, problema de seguridad, comprobación de datos… lo que sea. Es común que, por motivos obvios, siempre aparezca “su cuenta será desactivada”, “urgente”, “en menos de 48 horas” o similar.

En el caso de hacer click en ese link, se abrirá una web exactamente igual que la verdadera (con mismos logotipos, colores, tipos de letra…) pero manipulada malintencionadamente. En ella se solicitarán más datos de los habituales o quizá se pediría instalar algún programa, depende, pues una vez dentro del site falsificado, existen diferentes variantes para explotar un ataque por phishing (modificaciones JavaScript, ataques Cross Site Scripting (XSS), redirecciones a URLs maliciosas…). Se pedirán básicamente todos los datos necesarios para que luego el receptor de los mismos pueda utilizarlos de manera fraudulenta.

Generalmente el problema de este tipo de ataques es detectar la URL. La página web falsa copia la apariencia de la web verdadera, pero no la dirección URL, que cambia siempre. Existen técnicas para “enmascarar” una URL falsa y hacerla parecer verdadera, técnicas verdaderamente sofisticadas e imperceptibles, en ocasiones. Los navegadores más recientes ofrecen herramientas para detectar direcciones web válidas o identificar las páginas falsas.

URLs mal escritas, uso de terceros niveles o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL, http://www.nombredetubanco.com.phishingsite.com/ en vez de http://www.nombredetubanco.com/

Otro problema relacionado con las URL es el referente al manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dοminiο.com, aunque en el segundo las letras “o” hayan sido reemplazadas por la correspondiente letra griega ómicron, “ο”). Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homógrafos, ningún ataque conocido de phishing lo ha utilizado.

Así pues, es muy recomendable revisar las opciones de seguridad de tu navegador e instálarte un analizador de URLs para evitar este tipo de engaños.

Fases de un ataque por phishing

  • Previo al ataque por phishing, los usuarios malintencionados hacen acopio de direcciones de correo electrónico y teléfonos de potenciales víctimas de phishing. Para ello se valen de chats, foros, hoaxes, scamming, datos de registro en falsos concursos o en falsas páginas web, etcétera.
  • Se comete el phishing, escogiendo entre cualquiera de los medios más comunes (correo electrónico, red social, teléfono, SMS…), copiando la imagen y diseño web de la persona u organización que desean suplantar.
  • Las personas responden al falso llamamiento pinchando en un link o facilitando a los phishers los datos que éstos precisan para efectuar su delito.
  • Se ejecuta el acto, delictivo o malintencionado, que puede tener distintos objetivos en función del tipo de campaña. Puede consistir en infectar el equipo al acceder a una página web manipulada, obtener las claves para operar con la cuenta bancaria o de pago por Internet de la víctima desvalijándola y blanqueando el dinero, suplantación de identidad, falsas ofertas de trabajo, falsas donaciones, aplicando técnicas de comercio agresivo… etcétera.

Consejos para evitar ser víctima de un ataque por phishing

  • Evita que los phishers capturen tu correo electrónico:
    • Toma medidas frente a los hoaxes: no los reenvíes y advierte a tus contactos para que tampoco los reenvíen.
    • En caso de necesitarlo, haz los reenvíos “masivos” que necesites añadiendo a tus contactos al campo CCO (“Con Copia Oculta/Copia de Carbón Oculta”).
    • No publiques tu cuenta de correo en foros o comentarios de webs.
    • No rellenes tus datos en formulario de registro de páginas o concursos de dudosa procedencia.
  • Lee atentamente las recomendaciones de seguridad de tu banco e instituciones. Comprueba también a menudo que no existen movimientos anormales en tu cuenta, por poca cantidad que suponga.
  • Debes tener claro que los bancos o instituciones jamás te pedirán por correo electrónico ningún dato, ni que entres a su portal a verificar tu información o credenciales de acceso. Tampoco es común que los bancos envíen ficheros adjuntos: desconfía también de ello.
  • Un error de seguridad de una institución nunca te será comunicado por correo electrónico. Y en caso de utilizar este canal, nunca supondrá que tú tengas que realizar ninguna operación.
  • Custodia adecuadamente tus contraseñas y datos de contacto. Vigila dónde los facilitas y recuerda que nunca jamás te pedirán claves secretas ni por correo, ni por teléfono ni presencialmente.
  • Confirma por teléfono (a través de la plataforma oficial de Atención al Cliente) si la información de un correo electrónico que has recibido de ellos es cierta.
  • Si tienes cualquier duda, consulta antes por teléfono al servicio de Atención al Cliente.
  • Observa detenidamente la ortografía y la gramática la comunicación que has recibido. Casi siempre son burdas traducciones mal realizadas (se aprecia en algunos de los ejemplos que aquí te mostramos).
  • Desconfía igualmente de los correos electrónicos provenientes de fuentes conocidas, pero en idiomas distintos de los que maneja o que suela utilizar para comunicarse contigo.
  • Guarda en los favoritos de tu navegador las páginas de inicio de tus bancos y portales “críticos”. Evita teclear las direcciones y ten mucho ojo cuando accedes desde un buscador.
  • Asegúrate que en páginas importantes funcionan bajo Hypertext Transfer Protocol Secure (HTTPS).
  • Mantén tu equipo securizado, con todas las actualizaciones de seguridad instaladas, antivirus instalado y actualizado y algún analizador de URL activado.
  • Toma medidas si piensas que has podido ser víctima de phishing: contacta con la Policía y con la entidad que ha sido objeto del phishing.

Pero claro, no podríamos dejar pasar la oportunidad de recordarte nuestra regla estrella: utiliza el sentido común frente a ataques de phishing.

1 Comment :, , , , , , , , more...

Buscar en Internet

Loading