¿Qué es Phishing y Cómo Evitarlo?

    Mayo 15 2007, No. 16, Nueva Epoca

 

Qué es phishing y cómo evitarlo
¿Qué es phishing?
Se ha vuelto lugar común leer en sitios y blogs de internet sobre
los fraudes via email (email scam). Un email scam es un email fraudulento que
aparentemente es verdadero, que procede de alguna empresa existente (banco, gobierno, etc)
con algún tipo de solicitud que sea justificable, tales como verificar tus datos
en una cuenta bancaria, en algún sitio de compras o pagos, o actualización de información.

Un ejemplo concreto y común es recibir un email proveniente de su banco (o cualquier otro
banco) solicitando le des clic a una liga para actualizar o verificar tu información personal
o bancaria. De igual manera, el email comunica que de no hacerlo el usuario se verá
afectado por algún tipo de suspensión o cancelación de su cuenta. Por supuesto que
el objetivo primordial de los que envían este tipo de emails es conocer la información personal
o de cuenta bancaria/tarjeta de crédito de la persona receptora del email. Este tipo
de fraude via email (email scam) es también conocido como phishing.

Una definición de phishing lo caracterizaría como:

Término utilizado en informática con el con el cual se designa la
intención de adquirir información confidencial de forma fraudulenta.
Datos tales como contraseñas (password), usuarios, información confidencial sobre
tarjetas de crédito, bancos, etc.

El PHISHER se hace pasar por una empresa de confianza, simulando una comunicación
oficial electrónica, ya sea en uso de email o de sistemas de mensajes intántaneos,
e incluso vía teléfonica.

Técnicas usadas en phishing

La mayoría de métodos de phishing usan por lo general métodos técnicos de engaño,
tales como una liga en un email que simula provenir de una empresa confiable.
Direcciones (URLs) muy similares o el uso de subdominios son trucos comunes usados
por los phishers. Por ejemplo http://www.tubanco.com.ejemplo.com/ . Otro truco
es simplemente hacer aparecer una liga como verdadera cuando en realidad te conduce
al sitio fraudulento.

Una vez la víctima visita el sitio, no todo está aún terminado. El phisher puede usar
comandos de javascript para alterar la dirección en la barra de direcciones. Esto puede
realizarse con fácilidad por medio de colocar una imagen encima de la dirección verdadera, o cerrando
la barra de direcciones original y abriendo una con la dirección falsa.

Otro método utilizado y mucho más difícil de detectar es cuando el phisher utiliza los agujeros de seguridad en la
programación o scripts del mismo sitio en contra de la posible víctima. Esto es conocido
como cross-site scripting. Este es un punto problemático ya que el usuario es direccionado
a la misma página, la real, del banco por ejemplo, donde todo luce correcto y sin rastro
de estar alterado. Este tipo de ataques es muy difícil de detectar y generalmente lo deben
verificar especialistas en seguridad informática.

Características del email phishing

En primera instancia puede no ser obvio para el recipiente que en su correo existe una
comunicación no legítima de una empresa con la cual ella/él hacen algún tipo de operación.

El campo DE (FROM) puede contener la dirección real de la empresa con la cual se hace negocio.
Y la liga, al hacer clic, puede llevar igualmente a un sitio que parece ser el real, pero
en realidad puede estar conduciendo al usuario a un sitio fraudulento.

Los elementos comunes de un email que practica el phishing son:

1. el campo DE (FROM) parace ser real. Sin embargo, es importante mencionar que es
fácil cambiar el campo DE en cualquier cliente de email para personal con el conocimiento técnico
necesario.

2. El email generalmente incluirá logos o imágenes que se han tomado del sitio real
de la empresa.

3. El email tendrá una liga para hacer clic, sugiriendo que es necesario darle clic y
verificar la información, actualizarla, etc.

4. Otros puntos a tomar en cuenta para identificar email phishing son: los logos pueden
no ser exactamente los mismos, errores de escritura, signos de porcentaje % seguidos
de números o un signo de arroba @ dentro de la liga, o incluso encabezados que no tienen
nada que ver con la empresa a la cual suplantan.

Sentido común

Después de leer este boletín, esperamos que no sea muy difícil para el usuario
detectar correos fraudulentos. Generalmente el phishing trata de suplantar empresas
tales como bancos, tarjetas de crédito, Paypal, Ebay, etc – básicamente cualquier
persona que tenga una cuenta, y que haya proporcionado información financiera cuando
se registró.

La regla de oro para evitar caer en el phishing es: NUNCA HAGA CLIC EN LAS LIGAS
DENTRO DE UN EMAIL con esas características. Elimina el email, y vacía tu cesta de basura
(recycle bin). Esto eliminará incluso un clic accidental en el futuro sobre alguno de esos
correos. Si al recibir algún email, tienes la impresión de que es un email real, y te quedas
con la duda, NO le des clic a la liga del email. Abre una ventana nueva del navegador y teclea
directamente en la barra de direcciones la ruta correcta para entrar al banco. Allí,
en el sitio del banco encontrarás alguna indicación en caso la haya. Sin embargo, NUNCA
llegar vía la liga del email.

Un paso adelante es reportar cualquier actividad de phishing recibida a y visitar los
sitios siguientes para mayor información sobre estas actividades:

http://www.navegaprotegido.org.mx

http://alertaenlinea.gob

http://www.condusef.gob.mx

Spear phishing

Una nueva modalidad de phishing tiene una práctica ligeramente distinta, lo cual lo hace
más difícil de detectar. La más reciente forma de phishing es la que se concentra
o ejecuta dentro de una organización o departamento de la misma. El email aparenta ser
una dirección legítima de alguien dentro de la empresa, casi siempre de alguien en un puesto de confianza, y
solicita información sobre usuarios y password. Generalmente proceden del departamento
de Recursos Humanos, o áreas de Soporte Técnico, que pueden solicitarle a los empleados
actualizar su información. Una vez el phisher a conseguido esta información, puede
tener acceso a las redes seguras de esa empresa.

Spyware

Otro tipo de phishing muy utilizado es darle clic a un link que instala un SPYWARE
para reenviarse los datos que puedas teclear en tu computadora. Este envío de
información sucede sin tu consentimiento y por supuesto, sin que te enteres, usando
para enviar los datos tu conexión a internet. Es como tener al phisher sentado contigo en la computadora.

Reglas básicas

1. Desconfía de todo email con solicitudes urgentes de actualizar información personal
o financiera.

2. NO des clic en ligas dentro de tu email o sistema de mensajes intántaneos (tipo messenger),
chats, etc para llegar a alguna página si no conoces al remitente. De preferencia, no des
clic en ellos, a menos que estés completamente seguro del entorno en que se desarrolla la conversación.

3. No llenes formas en mensajes de email que solicitan información financiera.

4. Siempre verifica que estás usando un sitio seguro cuando utilices información
relacionada con tarjetas de crédito o cualquier otro tipo de información financiera en un
navegador. La barra de direcciones debe iniciar https://www.dominio… ( observa la S al final
del HTTPS://, eso indica que es un sitio seguro). Tanto el candado amarrilo como el HTTPS son
suceptibles de ser falsificados. ASEGURATE siempre que entras a tu banco tecleando
la dirección en tu navegador y no por medio de una liga.

5. Al tiempo que verificas que el sitio contenga un HTTPS en su inicio, verifica la barra
de estado del navegador (la barra inferior del navegador). Debe ser un hábito personal
al navegar la internet observar la barra de estado y ver si el lugar al cual te estás dirigiendo
es realmente el lugar al que pretendes entrar. Estás entrando a Paypal? Inicia la dirección
con https://www.paypal.com? O La barra de estado indica algo distinto? Confirma a donde
te lleva tu navegador.

6. Considera la opción de instalar una barra de herramientas de algún navegador que te proteja
de sitios fraudulentos. El navegador Explorer 7 y Firefox versión 2 lo incluyen.

7. Verifica de manera regular tus cuentas en línea.

8. Verifica tus estados de cuenta bancarios, de tarjetas de crédito, para confirmar
que las transacciones son légitimas y correctas.

9. Asegúrate que tu navegador está actualizado con los últimos parches de segurdad.

10. Mantén en tu computadora un antivirus actualizado diariamente. Esto evitará
muchos problemas relacionados con spyware, malware y viruses.

11. No realices actividades que requieran validación de información, como entrar un
usuario y un password para actividades financieras, en cafés internet o computadoras
de uso público en universidades, etc.

12. Utiliza contraseñas seguras, en longitud y combinación de caracteres. Incluye números, letras y algún símbolo como mínimo.

 

antivirus avast

Distribuidores autorizados.
Soporte técnico en español

 

CONTENIDO
DEL BOLETIN MENSUAL EN EL NUMERO 17
DE JUNIO, 2007

Formas de fraude más extendidas en internet (2)   
– Detección y prevención

 

  ETISA,
Estrategias de Tecnología de la Información, S.A. de C.V. © Derechos
Reservados 2006 – 2009.

México, Distrito Federal Teléfono (52-55)8421-8452 —- Los Angeles, California Teléfono (323) 319-6129