Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Phishing - 2.

Anuncio 
UNIVERSIDAD
NACIONAL DEL
NORDESTE
Facultad de Ciencias Exactas,
Naturales y Agrimensura
PHISHING
Disertante: Estela Vogelman Martínez
TEMAS
•
Introducción.
•
¿Qué es el Phishing?.
•
Histo ia del phishing.
Historia
phishing
•
Phishing en AOL.
•
Intentos recientes de phishing.
p
g
•
Técnicas de phishing.
•
Rock Phish.
•
Lavado de dinero producto del phishing.
•
Kits de phishing.
•
Daños causados por el phishing.
phishing
•
Respuesta social.
•
Respuestas técnicas.
•
Respuestas legislativas y judiciales.
•
Conclusiones.
INTRODUCCION
La masiva utilización de las computadoras y redes
como medios para
pa a almacenar,
almacena
t ansfe i
transferir
y
procesar información se ha incrementado en los
últimos años.
La información se ha convertido en un activo de altísimo
valor, el cual se debe proteger y asegurar.
INTRODUCCION
INTERNET
• Son abiertas y accesibles.
• Permiten intercambios
rápidos
á id y eficientes
fi i t a nivel
i l
mundial y a bajo costo.
• Este concepto hace posible nuevas formas de
funcionamiento de la sociedad actual que se ve
dificultada por las inseguridades que van dejando al
descubierto.
INTRODUCCION
El contenido más visto (Marzo 2007)
Tomando como base una muestra de 10 millones de
usuarios de Internet, se obtuvieron los siguientes
resultados respecto a los contenidos de sitios Web
más vistos.
11.6% -9.9% -8.6% -7.8% -7.8% -7.6% -6.0% -3.5% -2.8% -1 8% -1.8%
Contenido Adulto
Correo electrónico
Entretenimiento
Motores de Búsqueda
Negocios / Finanzas
Compras
Redes sociales
Noticias
Educación
Vi j
Viajes
Encuesta realizada y publicada por Hitwise.
INTRODUCCION
Tipos de Correo recibidos
Cantidades y tipo de correo electrónico que se recibe
por parte de los usuarios de Internet. Se nota una
fuerte incidencia del correo no solicitado y comercial.
0
1-10
11-30
31-50
50+
SPAM
3%
20%
19%
17%
41%
Trabajo o Negocios
7%
20%
20%
16%
37%
Amigos o Familia
0%
36%
38%
15%
11%
Oferta de Venta autorizada
3%
50%
34%
9%
4%
Interés personal o hobby
8%
59%
23%
6%
4%
17%
58%
17%
5%
3%
6%
84%
8%
1%
1%
Boletin de Negocios
Estado de Cuenta o Factura
estudio realizado por ROI Research
INTRODUCCION
E t dí ti
Estadísticas
M
Mundiales
di l sobre
b IInternet(2006)
t
t(2006)
INTRODUCCION
El tamaño de Internet
E t dí ti
Estadísticas
h
hechas
h por lla comScore.Networks
S
N t
k (2006):
(2006)
• 14% de toda la población mundial menor de 15 años
utiliza internet.
• Sitios web más visitados:
MSN con 538 millones de visitas.
Google con 495 millones de visitas.
Yahoo! con 480 millones de visitas.
visitas
Ebay con unas 300 millones de visitas.
Time Warner Network con 241 millones de visitas.
Amazon con 154 millones de visitas.
Wikipedia con un estimado de 132 millones de visitas.
INTRODUCCION
El tamaño de Internet
•
Según Infobae, más de 1.100 millones de personas usan
Internet.
•
Las causas del incremento del uso de la capacidad
instalada de Internet son el aumento de:
• La cantidad de usuarios.
• Dispositivos de acceso a la red.
• Masificación de aplicaciones de audio y video.
•
Más de un tercio del tráfico de Internet son aplicaciones
de imágenes y audio, esto atrae problemas, como
servicios lentos o con cortes,
cortes ya que se requiere más
calidad y más ancho de banda.
INTRODUCCION
El tamaño de Internet
•
Las direcciones de e-mail crecieron de 253 millones en el
año 1998 a 1.600 millones en el año 2006 y ese año, el
tráfico incluyendo el spam,
tráfico,
spam alcanzó los 6 exabytes.
exabytes
•
Para el año 2010 se espera que haya unos 1.600
millones de usuarios.
INTRODUCCION
Cantidad de Usuarios de INTERNET en Argentina
• Internet
12.000.000
continuó
creciendo
d
durante
t lla crisis
i i
en Argentina
durante el 2002.
10.000.000
8.000.000
6.000.000
4.000.000
2.000.000
0
Mar. '00
S
Sep.
'00
Abr. '01
Dic. '01
O . '02
Oct
Abr. '03
May. '05
Ene. '06
• La cantidad de Usuarios de Internet en el país llegó a
l 3.900.000
los
3 900 000 (10% población).
bl ió )
• Hoy hay mas de 10 millones de usuarios, lo que
representa
población.
aproximadamente
aproximadamente,
el
26%
de
la
Fuente: D'Alessio IROL Tracking sobre penetración de Internet-2003
INTRODUCCION
Comercio electrónico
En el pasado, la posibilidad de conectarse con millones
de clientes las 24 horas al día, los 7 días de la semana,
era solamente posible para las grandes corporaciones.
Ahora, incluso una compañía con
recursos limitados puede competir
con rivales más grandes ofreciendo
productos y servicios por Internet con
una inversión modesta.
modesta
www.mercadolibre.com.ar/
INTRODUCCION
Comercio electrónico
Las compañías han innovado el uso de conceptos
como “personalización”
personalización para crear relaciones
exclusivas e individuales con los clientes.
Pueden identificar a sus clientes virtuales por el
nombre, ofrecerles productos basados en
hábitos de compra previos y almacenar de
manera segura la información de la dirección del
domicilio para agilizar las compras en línea.
INTRODUCCION
Artículo obtenido de infobae.com (agosto 2006)
• “Más
Más de un millón de argentinos realizan compras en
Internet”.
• El 32,94% de los usuarios de Internet de la Argentina usa la
red
d para realizar
li
compras, lo
l que representa
t más
á de
d 1,3
13
millones de personas.
P i i l
Principales
motivos
ti
de
d compras en
INTERNET
11,47%
29,51%
35,25%
23,77%
M ejo res precio s
M ás Variedad
Co mo didad
Otro s M o tivo s
encuesta realizada por DeRemate.com con Zoomerang.com
INTRODUCCION
Surgen nuevos desafíos que las empresas deben
s pe a pa
superar
para
a tener
tene éxito:
é ito
“Deben
Deben ofrecer servicios fáciles de utilizar y
totalmente seguros 11,47
porque guardan
información
ó confidencial como direcciones o
números de las tarjetas de crédito
personales, información de cuentas
bancarias, historias médicas, etc.”.
INTRODUCCION
Se ofrece un nuevo campo de acción a
conductas antisociales y delictivas,
ofreciendo la posibilidad de cometer delitos
tradicionales en formas no tradicionales.
tradicionales
INTRODUCCION
El Anonimato
• Hasta ahora, los estudios realizados son basado en
estadísticas que tratan de relacionar la edad y el
género de los internautas con el tipo
g
p de p
página
g
visitada.
• Podría llegar a extraerse información, con un nuevo
tipo de “cookie” que guardaría
í las páginas
á
visitadas,
o a través de servidores proxy.
INTRODUCCION
El Lado Oscuro
• Google dijo que uno de cada diez páginas web que
investigó, contiene software malicioso.
• Google dice que ha empezado a identificar las
páginas potencialmente peligrosas, y a desplegar
j de advertencia en ellas.
mensajes
• La ubicación de código malicioso en sitios de
internet representa una tendencia utilizando
archivos
adjuntos
a
mensajes
de
correo
electrónico.
INTRODUCCION
El Lado Oscuro
• Para el estudio, los blogs se han sumado al
problema:
bl
comentarios
i
spam que contienen
i
vínculos a imágenes y contenidos peligrosos.
• Las cifras son contundentes, de las 4,5 millones de
páginas web analizadas, cerca de 450.000 tenían
la capacidad de instalar código malicioso o
“spyware”
spyware , sin conocimiento del usuario y unas
700.000 páginas contenían código que podría
comprometer la seguridad de la computadora del
usuario.
INTRODUCCION
Caso real:
• Empezó a distribuirse un virus en las instalaciones de
una empresa.
•
La distribución consistía de tomar las listas de
distribución de los miembros.
• Toda la compañía quedó sin comunicaciones, ya que el
poderoso virus congestionó la Red completa, por el
lapso de tres horas. La facturación de la empresa es
alrededor de 2.000.000.000,00 de dólares anuales.
• 2.000.000.000 se dividen por 4380 horas de trabajo
all año
ñ y se multiplica
l i li
por 3 horas
h
perdidas,
did
l que nos
lo
arroja un total de $1.369.863,01 USD.
Phishing
g
“Se
Se conoce
co oce como
co o ‘phishing’
p s
g a la
a
suplantación de identidad con el fin de
apropiarse de datos confidenciales de
los usuarios ”.
¿Qué es el Phishing?
• Uso de un tipo de ingeniería social, caracterizado por
intentar adquirir información confidencial de forma
fraudulenta.
• El
estafador (phisher) se hace pasar por una
persona o empresa de confianza en una aparente
comunicación oficial electrónica, por lo común un
correo electrónico
ó
o algún
ú sistema de mensajería
í
instantánea.
Historia del phishing
• El término phishing viene de la palabra en inglés
"fishing" (pesca).
• También se dice que el término "phishing" es la
contracción de "password harvesting fishing" (cosecha
y pesca de contraseñas).
contraseñas)
• La primera mención
ó del término
é
phishing data en
1996, fue adoptado por crackers que intentaban
"pescar"
p
cuentas de miembros de AOL.
Phishing en AOL
AOL tomó medidas tardíamente
1995 para prevenir el Phishing.
en
• Un cracker se hacía pasar como un empleado de AOL
y enviaba un mensaje instantáneo a una víctima
potencial.
• Para
P
poder
d
engañar
ñ
a la
l víctima
í ti
d modo
de
d que diera
di
información sensitiva, el mensaje podía contener
textos como "verificando cuenta" o "confirmando
información de factura".
Phishing en AOL
• En 1997, AOL reforzó su política respecto al phishing y
fueron terminantemente expulsados de los servidores de
AOL.
• Decidieron añadir en su sistema de mensajería instantánea,
una línea que indicaba que "nadie que trabaje en AOL le
pedirá a usted su contraseña o información de facturación
facturación"..
•
Simultáneamente AOL desarrolló un sistema que
desactivaba de forma automática una cuenta involucrada en
phishing, comúnmente antes de que la víctima pudiera
responder.
Intentos recientes de phishing
• Los intentos más recientes de phishing se han comenzado a
dirigir a clientes de bancos y servicios de pago en línea.
• En principio es enviado por phishers de forma
indiscriminada con la esperanza de encontrar a un cliente
de dicho banco o servicio.
• Estudios recientes muestran que los phishers son capaces
qué banco una p
posible víctima tiene
de establecer con q
relación, y de ese modo enviar un e-mail, falseado
apropiadamente, a la posible víctima.
• En términos generales, esta variante
hacia objetivos específicos en el phishing
se ha denominado spear
p
phishing
p
g
(literalmente phishing con lanza).
Técnicas de phishing
Disfrazar un enlace
• Mostrar que un enlace en un correo electrónico
parezca una copia de la organización por la cual se
hace pasar.
• URLs mal escritas o el uso de subdominios son
trucos comúnmente usados por phishers.
Técnicas de phishing
Disfrazar un enlace
• Este
se
tipo
po de a
ataque
aque resulta
esu a pa
particularmente
cu a e e
problemático, ya que dirigen al usuario a iniciar
sesión en la propia página del banco o servicio, donde
la URL y los certificados de seguridad parecen
correctos.
• El "phishing"
p
g tiene relativamente un alto índice de
éxito, y uno de cada 20 emails consigue su objetivo.
Técnicas de phishing
Disfrazar un enlace
•
Hay varios métodos para disfrazar un enlace, entre los más
usados se encuentran:
Técnicas de phishing
Disfrazar un enlace
17%
20%
19%
24%
20%
Técnicas de phishing
Disfrazar un enlace
2%
2%
21%
15%
60%
Técnicas de phishing
Disfrazar un enlace
31%
0%
1%
59%
9%
Técnicas de phishing
Disfrazar un enlace
• Otro
ejemplo es el de utilizar direcciones que
contengan
el
carácter
arroba:
@,
para
posteriormente preguntar el nombre de usuario y
contraseña.
contraseña
• Por ejemplo, el enlace:
http://[email protected]/
p //
g g
@
p
/
se puede creer que el enlace va a abrir en la página
de www.google.com, cuando realmente el enlace
envía
al
navegador
a
la
página
de
members tripod com (y al intentar entrar con el
members.tripod.com
nombre de usuario de www.google.com, si no existe
tal usuario, la página abrirá normalmente).
• E
Este
t método
ét d ha
h sido
id erradicado
di d desde
d d entonces
t
en
los navegadores de Mozilla e Internet Explorer.
Técnicas de phishing
Técnicas de phishing
Hemos recibido el aviso que has procurado recientemente retirar la siguiente
suma de tu cuenta.
Ejemplo de un intento de phishing, haciéndose pasar por un
Si esta información no está correcta, alguien desconocido puede tener acceso a tu
e-mailComo
oficial,
trata
de engañar
a los
banco
cuenta.
medida
de seguridad,
visite nuestro
sitiomiembros
Web, a travésdel
del link
que
se encuentra aquí abajo para verificar tu información personal
para que den información acerca de su cuenta con un enlace
Una
que has
esto, nuestro departamento de fraude trabajará para
a lavez
página
delhecho
phisher.
resolverlo.
Técnicas de phishing
Disfrazar un enlace
• Una vez cumplimentado el formulario de recogida
g
de
datos, estos ya están en manos de los estafadores
• Los estafadores pueden conseguir engañar a muchos
usuarios ya que envían un gran número de e-mails
no solicitados
li i d
(
(spam),
) por lo
l que ell porcentaje
j de
d
estafados aumenta.
Técnicas de phishing
Disfrazar un enlace
• Algunos afirman que no existen casos de Phishing en
Argentina y Latinoamérica.
• Este caso ha estado activo en Argentina
g
desde
febrero en distintas variantes y en distintos dominios.
• Este es uno más de tantos ejemplos.
ejemplos Observando el
código fuente puede notarse la modificación trivial
realizada para cambiar el destino de los datos
obtenidos (documento,
(documento clave,
clave etc.):
etc ):
ESET Latinoamérica 1 Abril 2008
Técnicas de phishing
Técnicas de phishing
Comandos en JavaScripts
• Otros intentos de p
phishing
g utilizan comandos en
JavaScripts para alterar la barra de direcciones. Esto
se hace poniendo una imagen de la URL de la entidad
legítima sobre la barra de direcciones,
direcciones o cerrando la
barra de direcciones original y abriendo una nueva
que contiene la URL legítima.
Técnicas de phishing
Phlashing
• Los atacantes han empezado a usar animaciones
hechas con Flash para crear sitios falsos.
• Estrategia para evadir los programas anti-phishing.
• Dichos programas revisan el texto de una página
Web en busca de frases sospechosas.
• En un principio, los phishers escribían la página en
HTML después la pasaron a Javascript para dificultar
HTML,
el análisis del código fuente.
• El uso de Flash representa el siguiente paso en esta
evolución.
Técnicas de phishing
Vishing
Técnicas de phishing
Vishing
• En Australia y Estados Unidos se ha variado el modo
de operar y utilizan la telefonía IP para enviar el
mensaje
j electrónico e indican un número de teléfono
al que llamar.
• Mediante una grabación
ó virtual solicitan a la victima su
número de tarjeta, contraseña y datos bancarios.
• El correo malicioso en vez de invitarnos a acceder a
una página maliciosa, nos sugiere con la excusa de
turno que llamemos a un número de teléfono.
teléfono
Técnicas de phishing
Smishing
• Usa los mensajes SMS de los teléfonos móviles para
realizar el ataque. Los mensajes intentan convencer
para que se visite un enlace fraudulento.
fraudulento
• No llegan
g
por correo electrónico sino p
p
por mensaje
j
corto (SMS) al móvil.
• El primer caso ocurrió en china. Algunas personas
comenzaron a recibir un sms con el siguiente texto:
“Estamos confirmando que se ha dado de alta para un
servicio
i i de
d citas.
it
S le
Se
l cobrará
b á 2 dólares
dól
all día
dí a
menos que cancele su petición: www.XXXXXX.com”.
Técnicas de phishing
Smishing
• Los usuarios, temerosos de la amenaza de cobro,
acudían a obtener más información a la dirección
indi ada En ella,
indicada.
ella el incauto
in a to era
e a infectado
infe tado por
po un
n
troyano.
• En otros casos el mensaje adjuntaba un número de
teléfono al que llamar.
• Un ciudadano de Pequín lo hizo y una voz grabada le
pidió los datos de su cuenta. Horas después le habían
vaciado su cuenta bancaria.
Rock Phish
• Los creadores de Rock Phish tienen la intención de
ocultar los sitios de phishing utilizando un “flujo
rápido" para mantener estos sitios webs de
rápido
phishing activos durante un período más largo de
tiempo.
• El flujo rápido es una técnica de cambio de DNS
empleado
l d para ocultar
l
l
los
sitios
ii
d á de
detrás
d una red
d
de ordenadores comprometidos y en constante
cambio que actúan como proxies.
Rock Phish
• El Anti-Phishing Work Group (APWG) comunicó que el
Rock Phishing está presente en casi la mitad de los
intentos de phishing registrados.
• Estos sitios no pueden ser eliminados con suficiente
rapidez provocando que las visitas a las webs de
phishing
h h
se incrementen.
Lavado de dinero producto del phishing
Otra forma de Estafa
• Se tiendiende a la captación
apta ión de personas
pe sonas por
po medio
de e-mails, chats, donde empresas ficticias les
ofrecen trabajo.
• Las personas que aceptan se convierten en víctimas
que incurren en un grave delito : el blanqueo de
dinero obtenido a través del acto fraudulento de
phishing.
Lavado de dinero producto del phishing
Otra forma de Estafa
•
Para darse de alta debe rellenar un formulario
indicando entre otros datos,
datos la cuenta bancaria.
bancaria
• La
L finalidad
fi lid d es ingresar
i
en esa cuenta
t ell dinero
di
d
de
las estafas bancarias realizadas por el phishing.
• Con cada acto la víctima recibe el cuantioso ingreso
en su cuenta bancaria y es avisado por parte de la
empresa del mismo.
mismo
Lavado de dinero producto del phishing
Otra forma de Estafa
• Después del ingreso la víctima se quedará con un
10% 20%, como comisión de trabajo y el resto lo
10%-20%,
reenviará a cuentas indicadas por la seudoempresa.
• Dado el desconocimiento de la víctima,
víctima esta se ve
involucrada en un acto de estafa importante,
pudiéndose ver requerido por la justicia.
Kits de phishing
• PandaLabs ha descubierto una serie de kits de
phishing
p
gq
que se ofrecen en Internet y p
permiten a los
ciberdelincuentes llevar a cabo envíos de correos
fraudulentos sin coste alguno.
• Un usuario accede a una de las URLs desde las que
se ofrecen, puede conseguir los archivos que le
permitirán
iti á crear su correo fraudulento,
f
d l t es decir,
d i un
archivo para falsificar los emails y otro para crear
una página fraudulenta similar a la original.
• Además, el kit incluye un programa PHP, también
gratuito, para enviar emails desde la página falsa
creada.
Daños causados por el phishing
• Los daños causados oscilan entre la pérdida del acceso al
correo electrónico a pérdidas económicas sustanciales.
• Esto se da por la facilidad con que las personas revelan
información personal a los phishers.
Daños causados por el Phishing
• Entre mayo
y
del 2004 y mayo
y
del
aproximadamente 1.2 millones de usuarios
en los Estados Unidos tuvieron
pérdidas, con aprox. $929
millones de dólares estadounidenses.
2005,,
• Los negocios en los Estados Unidos perdieron cerca
de 2000 millones de dólares
ó
al año mientras sus
clientes eran víctimas.
• El Reino Unido también
é sufrió
ó el ataque de phishing.
En marzo del 2005, la cantidad de dinero
era de aproximadamente
£12 millones de libras esterlinas.
esterlinas
Daños causados por el phishing
• E
Estados
t d
U id
Unidos
perdió
dió 3.200
3 200 millones
ill
d dólares
de
dól
por
culpa del phishing en 2007. Desde agosto de 2006 a
agosto de 2007 y centrado.
• Son 3.6 millones de usuarios los que han perdido los
más de 3.000 millones de dólares.
• El 3.3% de los usuarios q
que recibieron correos de
phishing perdieron dinero, mientras que en 2006
fueron "sólo" el 2.3%.
Respuesta Social
Como combatir el Phishing
• La mejor arma es estar informado de que existe y de
cómo
ó
se lleva
ll
a cabo.
b
• Una estrategia es entrenar a
enfrentarse a posibles ataques.
los
usuarios
para
• Todas las entidades bancarias han anunciado ya por
activo y por pasivo que nunca solicitarían datos a sus
clientes vía email ni telefónicamente.
Respuesta Social
Como combatir el Phishing
• Si un correo electrónico se dirige al usuario de una
manera genérica como ("Querido miembro de xxxx")
es probable que sea un intento de phishing.
• Las páginas han añadido herramientas de verificación
que permite a los usuarios ver imágenes secretas
que los usuarios seleccionan por adelantado, sí estas
imágenes no aparecen, entonces el sitio no es
legítimo.
Respuesta Social
Procedimientos para protegerse del "phishing“:
Paso 1:
“Nunca
Nunca responda a solicitudes de información
personal a través de correo electrónico”.
• Las
entidades u organismos NUNCA solicitan
contraseñas, números de tarjeta de crédito o
cualquier información personal por correo electrónico,
por teléfono o SMS. Ellos ya tienen sus datos.
• Si piensa que el mensaje es legítimo, comuníquese
con la
l empresa .
Respuesta Social
Procedimientos para protegerse del "phishing“:
Paso 2:
“Para visitar sitios Web, introduzca la dirección
URL en la barra de direcciones”.
• Si sospecha de la legitimidad de un mensaje de
correo electrónico de la empresa, no siga los enlaces.
• Las nuevas versiones de Internet Explorer hacen más
difícil falsificar la barra de direcciones, visite Windows
Update regularmente y actualice su software.
software
Respuesta Social
Procedimientos para protegerse del "phishing“:
Paso 3:
“Asegúrese de que el sitio Web utiliza cifrado”.
• Antes
de ingresar cualquier tipo de información
personal, compruebe si el sitio Web utiliza cifrado para
transmitir la información personal.
personal
• En Internet Explorer puede comprobarlo con el icono de
color
l amarillo
ll situado
d en la
l barra
b
d estado.
de
d
Respuesta Social
Procedimientos para protegerse del "phishing“:
Paso 4:
“Consulte
Consulte frecuentemente los saldos bancarios y
de sus tarjetas de crédito”.
• Incluso si sigue los tres pasos anteriores, puede
convertirse en víctima.
• Si consulta sus saldos bancarios y de sus tarjetas de
crédito al menos una vez al mes,
mes podrá sorprender al
estafador.
Respuesta Social
Procedimientos para protegerse del "phishing“:
Paso 5:
“Comunique los posibles delitos relacionados con su
i f
información
ió personall a las
l
autoridades
t id d
competentes”.
• Si cree que ha sido víctima de "phishing",
"phishing" proceda del
siguiente modo:
9 Informe inmediatamente del fraude a la empresa
afectada.
9 Proporcione los detalles del estafador y los mensajes
recibidos a la autoridad competente a través del
recibidos,
Centro de denuncias de fraude en Internet.
Respuesta Social
Procedimientos para protegerse del "phishing“:
Paso 5:
• Este
centro trabaja en todo el mundo en
colaboración
l b
ió
con las
l
autoridades
t id d
l
legales
l
para
clausurar con celeridad los sitios Web fraudulentos e
identificar a los responsables del fraude.
Respuestas técnicas
Anti-Phishing
• Varios programas de software anti-phishing están
disponibles. Identifican contenidos phishing en sitios
web y correos electrónicos.
• El software puede integrarse como una barra de
herramientas que muestra el dominio real del sitio
visitado.
• Los filtros de spam también protegen, ya que
reducen el número de correos electrónicos recibidos
relacionados con el phishing.
Respuestas técnicas
Anti-Phishing
Existen tecnologías específicas que tienen como blanco evitar
el phishing.
• Indicador
Indicado de nivel
ni el de Pishing actual
act al
La AI ha creado el indicador AlertPhising ofrecen a sus
q
visitantes información del estado de los ataques.
Respuestas técnicas
Anti-Phishing
• Filtro anti-phishing en Internet Explorer 7
• Internet Explorer
p
7,, incorporó
p
un filtro p
para p
proteger
g
de
sitios webs falsificados.
• La tecnología será similar a la desplegada por las barras de
herramientas anti-phishing,
anti phishing basándose en la detección:
9"heurística" (patrones genéricos),
9listas negras,
9listas blancas de sitios confiables.
• El usuario podrá visualizar diferentes avisos que le indicarán
el grado de peligrosidad de la página web que visita.
Respuestas técnicas
Anti-Phishing
Barras anti-phishing para navegadores
Respuestas legislativas y judiciales
• El 26 de enero de 2004, la FTC ((Federal Trade
Commission) llevó a juicio el primer caso contra un
phisher sospechoso.
• Un adolescente de California, creó y utilizó una
página web con un diseño que aparentaba ser la
página de American Online para poder robar números
de tarjetas de crédito.
• Tanto Europa como Brasil siguieron la práctica de los
Estados Unidos, rastreando y arrestando a presuntos
p s e s
phishers.
Respuestas legislativas y judiciales
• A finales de marzo del 2005, un hombre de 24 años
fue arrestado utilizando un backdoor, a partir de que
las víctimas visitaron su sitio web falso.
• Del mismo modo, las autoridades arrestaron al
denominado phisher kingpin,
kingpin
Valdir Paulo de
Almeida, líder de una de las más grandes redes de
phishing que en dos años había robado entre $18 a
$37 millones de dólares estadounidenses.
$
Respuestas legislativas y judiciales
• En los Estados Unidos, se introdujo el Acta AntiPhishing del 2005 el 1 de marzo del 2005.
• Esta ley federal establecía una multa de hasta
$250 000 USD y penas de cárcel por un término de
$250.000
hasta cinco años.
• La compañía Microsoft también se ha unido al
esfuerzo de combatir el phishing.
Respuestas legislativas y judiciales
• El 31 de marzo del 2005,, Microsoft llevó a la Corte
del Distrito de Washington 117 pleitos federales.
• Microsoft espera desenmascarar con estos casos a
varios
operadores
de
phishing
de
gran
envergadura.
g
• En marzo del 2005 también se consideró la
asociación entre Microsoft y el gobierno de
Australia para educar sobre mejoras a la ley que
permitirían combatir varios crímenes cibernéticos,,
p
incluyendo el phishing.
Notas Importantes
Tapa diario Clarín. Domingo 27 de agosto de 2006
Notas Importantes
Los 10 virus más detectados
¿Cómo lo denuncio?
• La Asociación de Internautas creó un conducto a través
del cual los internautas pueden denunciar las estafa por
medio del uso de phishing en internet.
• Para ello solo se tiene que mandar un correo a
[email protected]
adjuntando
el
mail
recibido o la web que intenta el robo de datos.
• El propósito
ó it de
d la
l Asociación
A
i ió de
d Internautas
I t
t
es evitar
it y
ERRADICAR DE UNA VEZ los posibles intentos de
estafas realizado mediante el uso de phishing.
http://seguridad.internautas.org//
¿Cómo lo denuncio?
¿Cómo lo denuncio?
Conclusión
• Debemos
mencionar que no existe un sistema
computarizado
p
que g
q
garantice al 100% la seguridad
g
de
la información, por la inmensa mayoría de diferentes
formas con las cuales se pueden romper la seguridad
de un sistema.
• Dado el creciente número de denuncias de incidentes
relacionados
l i
d
con ell phishing
hi hi
se requieren
i
métodos
ét d
adicionales de protección.
• Se han realizado intentos con leyes que castigan la
práctica, campañas para prevenir a los usuarios y
aplicación de medidas técnicas a los programas, y aun
así no es suficiente.
Bibliografía
Wikipedia, la enciclopedia libre. En:
es.wikipedia.org/wiki/Phishing
Páginas Web para robar datos. N. Rojo. Septiembre
20004. En:
http://www.consumer.es/web/es/tecnologia/internet/
2004/09/22/109261.php
Robo de datos Por Internet. El 'phishing', delito
informático de moda. L. Tejero. Julio de 2004. En:
htt //
http://www.elmundo.es/navegante/2004/07/29/esoci
l
d
/
t /2004/07/29/
i
edad/1091118343.html
Todo
odo lo
o que debe saber
sabe acerca
ace ca de
del "phishing“.
p s
g Publicado:
ub cado
27/05/04. En:
http://www.microsoft.com/latam/seguridad/hogar/spa
m/phishing.mspx
Filtro antiphishing en Internet Explorer 7.
http://www.desarrolloweb.com/articulos/2099.php
Bibliografía
Qué es el phishing y cómo protegerse
http://www.seguridad.internautas.org/wp //
g
g/
contactar.php
Phishing: Un peligro para la banca on-line
http://www.delitosinformaticos.com
Un ejemplo de ataque phising
http://www.shellsegurity.com
Phishing
g
http://www.mattica.com
Phishing,
g, otra forma de aprovecharse
p
de las p
personas
http://www.infobaeprofesional.com
Bibliografía
Smishing y vishing nuevas amenazas
http://www.messblog.com/?p=102
Informe de Symantec sobre Amenazas a la Seguridad
http://www.cwv.com.ve/index.php?option=com_conte
nt&task=view&id=260&Itemid=1
El phishing ha costado 3.200 millones de dólares a EE.
UU. en 2007
http://cxo-community.com.ar/index.php?option=com_c
ontent&task=view&id=170&Itemid=52
PandaLabs descubre kits que permiten lanzar ataques
phishing
g sin coste alguno
g
de p
http://www.pandasecurity.com/spain/homeusers/medi
a/press-releases/viewnews?noticia=9224
GRACIAS!!!
Documentos relacionados
Phishing es un término informático que denomina un tipo de delito
Phishing es un término informático que denomina un tipo de delito
DICCIONARIO DE TÉRMINOS TÉCNICOS.pdf
DICCIONARIO DE TÉRMINOS TÉCNICOS.pdf
Descargar
Anuncio
Anuncio