Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Phishing.

Anuncio 
UNIVERSIDAD
NACIONAL DEL
NORDESTE
Facultad de Ciencias Exactas Y
Naturales y Agrimensura
PHISHING
Disertante: Maneiro Yanina
TEMAS
•
Introducción
•
¿Qué es el Phishing?.
•
Historia del phishing.
•
Intentos recientes de phishing.
•
Técnicas de phishing.
•
Lavado de dinero producto del phishing.
•
Daños causados por el phishing.
•
Respuesta social.
•
Respuestas técnicas.
•
Respuestas legislativas y judiciales.
•
Notas Importantes.
•
Como lo denuncio?.
•
Conclusiones.
INTRODUCCION
La masiva utilización de las computadoras y redes
como medios para almacenar, transferir y
procesar información se ha incrementado en los
últimos años.
La información se ha convertido en un activo de altísimo
valor, el cual se debe proteger y asegurar.
INTRODUCCION
INTERNET
• Son abiertas y accesibles
• Permiten intercambios
rápidos y eficientes a nivel
mundial y a bajo costo.
•Este concepto hace posible nuevas formas de
funcionamiento de la sociedad actual que se ve
dificultada por las inseguridades que van dejando al
descubierto.
INTRODUCCION
Datos Interesantes
Internet ha pasado de tener miles de usuarios
en 1983 a más de 800 millones de usuarios en el
mundo en el 2004 y 1000 millones en el 2005.
PROGRESION DE USUARIOS EN EL MUNDO
AÑO
Nº Usuarios
1990
0,7-1 millón
2000
300-400 millones
2002
400-500 millones
2003
500-600 millones
2004
800 millones
2005
1.000 millones
Fuente: Angus Reid Group
INTRODUCCION
El contenido más visto (Marzo 2007)
Tomando como base una muestra de 10 millones de
usuarios de Internet, se obtuvieron los siguientes
resultados respecto a los contenidos de sitios Web
más vistos.
11.6% -9.9% -8.6% -7.8% -7.8% -7.6% -6.0% -3.5% -2.8% -1.8% --
Contenido Adulto
Correo electrónico
Entretenimiento
Motores de Búsqueda
Negocios / Finanzas
Compras
Redes sociales
Noticias
Educación
Viajes
Encuesta realizada y publicada por Hitwise.
INTRODUCCION
Tipos de Correo recibidos
Cantidades y tipo de correo electrónico que se recibe
por parte de los usuarios de Internet. Se nota una
fuerte incidencia del correo no solicitado y comercial.
0
1-10
11-30
31-50
50+
SPAM
3%
20%
19%
17%
41%
Trabajo o Negocios
7%
20%
20%
16%
37%
Amigos o Familia
0%
36%
38%
15%
11%
Oferta de Venta autorizada
3%
50%
34%
9%
4%
Interés personal o hobby
8%
59%
23%
6%
4%
17%
58%
17%
5%
3%
6%
84%
8%
1%
1%
Boletin de Negocios
Estado de Cuenta o Factura
estudio realizado por ROI Research
INTRODUCCION
El tamaño de Internet
Estadísticas hechas por la comScore.Networks (2006):
• 14% de toda la población mundial menor de 15 años
utiliza internet.
• Sitios web más visitados:
MSN con 538 millones de visitas.
Google con 495 millones de visitas.
Yahoo! con 480 millones de visitas.
Ebay con unas 300 millones de visitas.
Time Warner Network con 241 millones de visitas.
Amazon con 154 millones de visitas.
Wikipedia con un estimado de 132 millones de visitas.
INTRODUCCION
El tamaño de Internet
•
•
Las direcciones de e-mail crecieron de 253 millones en el
año 1998 a 1.600 millones en el año 2006 y ese año, el
tráfico, incluyendo el spam, alcanzó los 6 exabytes.
Para el año 2010 se espera que haya unos 1.600
millones de usuarios.
INTRODUCCION
Cantidad de Usuarios de INTERNET en Argentina
• Internet
12.000.000
continuó
creciendo
durante la crisis
en Argentina
durante el 2002.
10.000.000
8.000.000
6.000.000
4.000.000
2.000.000
0
Mar. '00
Sep. '00
Abr. '01
Dic. '01
Oct . '02
Abr. '03
May. '05
Ene. '06
• La cantidad de Usuarios de Internet en el país llegó a
los 3.900.000 (10% población).
• Hoy hay mas de 10 millones de usuarios, lo que
representa
población.
aproximadamente,
el
26%
de
la
Fuente: D'Alessio IROL Tracking sobre penetración de Internet-2003
INTRODUCCION
Comercio electrónico
En el pasado, la posibilidad de conectarse con millones
de clientes las 24 horas al día, los 7 días de la semana,
era solamente posible para las grandes corporaciones.
Ahora, incluso una compañía con
recursos limitados puede competir
con rivales más grandes ofreciendo
productos y servicios por Internet con
una inversión modesta.
www.mercadolibre.com.ar/
INTRODUCCION
Comercio electrónico
Las compañías han innovado el uso de conceptos
como “personalización” para crear relaciones
exclusivas e individuales con los clientes.
Pueden identificar a sus clientes virtuales por el
nombre, ofrecerles productos basados en
hábitos de compra previos y almacenar de
manera segura la información de la dirección del
domicilio para agilizar las compras en línea.
INTRODUCCION
Artículo obtenido de infobae.com (agosto 2006)
• “Más de un millón de argentinos realizan compras en
Internet”.
• El 32,94% de los usuarios de Internet de la Argentina usa la
red para realizar compras, lo que representa más de 1,3
millones de personas.
Principales motivos de compras en
INTERNET
11,47%
29,51%
35,25%
23,77%
M ejo res precio s
M ás Variedad
Co mo didad
Otro s M o tivo s
encuesta realizada por DeRemate.com con Zoomerang.com
INTRODUCCION
Surgen nuevos desafíos que las empresas deben
superar para tener éxito:
“Deben ofrecer servicios fáciles de utilizar y
totalmente seguros 11,47
porque guardan
información confidencial como direcciones o
números de las tarjetas de crédito
personales, información de cuentas
bancarias, historias médicas, etc.”.
INTRODUCCION
Se ofrece un nuevo campo de acción a
conductas antisociales y delictivas,
ofreciendo la posibilidad de cometer delitos
tradicionales en formas no tradicionales.
INTRODUCCION
Caso real:
• Empezó a distribuirse un virus en las instalaciones de
una empresa.
• La
distribución consistía de
distribución de los miembros.
tomar
las
listas
de
• Toda la compañía quedó sin comunicaciones, ya que el
poderoso virus congestionó la Red completa, por el
lapso de tres horas. La facturación de la empresa es
alrededor de 2.000.000.000,00 de dólares anuales.
• 2.000.000.000 se dividen por 4380 horas de trabajo
al año y se multiplica por 3 horas perdidas, lo que nos
arroja un total de $1.369.863,01 USD.
Phishing
“Se conoce como ‘phishing’ a la
suplantación de identidad con el fin de
apropiarse de datos confidenciales de
los usuarios ”.
¿Qué es el Phishing?
• Uso de un tipo de ingeniería social, caracterizado
por intentar adquirir información confidencial de
forma fraudulenta.
• El estafador (phisher) se hace pasar por una
persona o empresa de confianza en una aparente
comunicación oficial electrónica, por lo común un
correo electrónico o algún sistema de mensajería
instantánea.
Historia del phishing
•El término phishing viene de la palabra en inglés
"fishing" (pesca).
•También se dice que el término "phishing" es la
contracción de "password harvesting
(cosecha y pesca de contraseñas).
fishing"
•La primera mención del término phishing data en
1996, fue adoptado por crackers que intentaban
"pescar" cuentas de miembros de AOL.
Intentos recientes de phishing
• Los intentos más recientes de phishing se han comenzado a
dirigir a clientes de bancos y servicios de pago en línea.
• En principio es enviado por phishers de forma indiscriminada
con la esperanza de encontrar a un cliente de dicho banco o
servicio.
• Estudios recientes muestran que los phishers son capaces de
establecer con qué banco una posible víctima tiene relación,
y de ese modo enviar un e-mail, falseado apropiadamente, a
la posible víctima.
• En términos generales, esta variante
hacia objetivos específicos en el phishing
se ha denominado spear phishing
(literalmente phishing con lanza).
Técnicas de phishing
Disfrazar un enlace
• Mostrar que un enlace en un correo electrónico
parezca una copia de la organización por la cual se
hace pasar.
• URLs mal escritas o el uso de subdominios son
trucos comúnmente usados por phishers.
Técnicas de phishing
Disfrazar un enlace
• Este
tipo de ataque resulta particularmente
problemático, ya que dirigen al usuario a iniciar
sesión en la propia página del banco o servicio, donde
la URL y los certificados de seguridad parecen
correctos.
• El "phishing" tiene relativamente un alto índice de
éxito, y uno de cada 20 emails consigue su objetivo.
Técnicas de phishing
Disfrazar un enlace
•
Hay varios métodos para disfrazar un enlace, entre los más
usados se encuentran:
Técnicas de phishing
Disfrazar un enlace
17%
20%
19%
24%
20%
Técnicas de phishing
Disfrazar un enlace
31%
0%
1%
59%
9%
Técnicas de phishing
Disfrazar un enlace
• Otro
ejemplo es el de utilizar direcciones que
contengan
el
carácter
arroba:
@,
para
posteriormente preguntar el nombre de usuario y
contraseña.
• Por ejemplo, el enlace:
http://[email protected]/
se puede creer que el enlace va a abrir en la página
de www.google.com, cuando realmente el enlace
envía
al
navegador
a
la
página
de
members.tripod.com (y al intentar entrar con el
nombre de usuario de www.google.com, si no existe
tal usuario, la página abrirá normalmente).
• Este método ha sido erradicado desde entonces en
los navegadores de Mozilla e Internet Explorer.
Técnicas de phishing
Técnicas de phishing
Hemos recibido el aviso que has procurado recientemente retirar la siguiente
suma de tu cuenta.
Ejemplo de un intento de phishing, haciéndose pasar por un
Si esta información no está correcta, alguien desconocido puede tener acceso a tu
e-mailComo
oficial,
trata
de engañar
a los
banco
cuenta.
medida
de seguridad,
visite nuestro
sitiomiembros
Web, a travésdel
del link
que
se encuentra aquí abajo para verificar tu información personal
para que den información acerca de su cuenta con un enlace
Una
que has
esto, nuestro departamento de fraude trabajará para
a lavez
página
delhecho
phisher.
resolverlo.
Técnicas de phishing
Phlashing
• Los atacantes han empezado a usar animaciones
hechas con Flash para crear sitios falsos.
• Estrategia para evadir los programas anti-phishing.
• Dichos programas revisan el texto de una página
Web en busca de frases sospechosas.
• El uso de Flash representa el siguiente paso en esta
evolución.
Lavado de dinero producto del phishing
Otra forma de Estafa
• Se tiendiende a la captación de personas por medio
de e-mails, chats, donde empresas ficticias les
ofrecen trabajo.
• Las personas que aceptan se convierten en víctimas
que incurren en un grave delito : el blanqueo de
dinero obtenido a través del acto fraudulento de
phishing.
Lavado de dinero producto del phishing
Otra forma de Estafa
•
Para darse de alta debe rellenar un formulario
indicando entre otros datos, la cuenta bancaria.
• La finalidad es ingresar en esa cuenta el dinero de
las estafas bancarias realizadas por el phishing.
• Con cada acto la víctima recibe el cuantioso ingreso
en su cuenta bancaria y es avisado por parte de la
empresa del mismo.
Lavado de dinero producto del phishing
Otra forma de Estafa
• Después del ingreso la víctima se quedará con un
10%-20%, como comisión de trabajo y el resto lo
reenviará a cuentas indicadas por la seudoempresa.
• Dado el desconocimiento de la víctima, esta se ve
involucrada en un acto de estafa importante,
pudiéndose ver requerido por la justicia.
Daños causados por el phishing
• Los daños causados oscilan entre la pérdida del acceso al
correo electrónico a pérdidas económicas sustanciales.
• Esto se da por la facilidad con que las personas revelan
información personal a los phishers.
Respuesta Social
Como combatir el Phishing
• La mejor arma es estar informado de que existe y de
cómo se lleva a cabo.
• Una estrategia es entrenar a
enfrentarse a posibles ataques.
los
usuarios
para
• Todas las entidades bancarias han anunciado ya por
activo y por pasivo que nunca solicitarían datos a sus
clientes vía email ni telefónicamente.
Respuesta Social
Como combatir el Phishing
• Si un correo electrónico se dirige al usuario de una
manera genérica como ("Querido miembro de xxxx")
es probable que sea un intento de phishing.
• Las páginas han añadido herramientas de verificación
que permite a los usuarios ver imágenes secretas
que los usuarios seleccionan por adelantado, sí estas
imágenes no aparecen, entonces el sitio no es
legítimo.
Respuesta Social
Procedimientos para protegerse del "phishing“:
Paso 1:
“Nunca responda a solicitudes de información
personal a través de correo electrónico”.
• Las
entidades u organismos NUNCA solicitan
contraseñas, números de tarjeta de crédito o cualquier
información personal por correo electrónico, por
teléfono o SMS. Ellos ya tienen sus datos.
• Si piensa que el mensaje es legítimo, comuníquese
con la empresa .
Respuesta Social
Procedimientos para protegerse del "phishing“:
Paso 2:
“Para visitar sitios Web, introduzca la dirección
URL en la barra de direcciones”.
• Si sospecha de la legitimidad de un mensaje de
correo electrónico de la empresa, no siga los enlaces.
• Las nuevas versiones de Internet Explorer hacen más
difícil falsificar la barra de direcciones, visite Windows
Update regularmente y actualice su software.
Respuesta Social
Procedimientos para protegerse del "phishing“:
Paso 3:
“Asegúrese de que el sitio Web utiliza cifrado”.
• Antes
de ingresar cualquier tipo de información
personal, compruebe si el sitio Web utiliza cifrado para
transmitir la información personal.
• En Internet Explorer puede comprobarlo con el icono
de
color amarillo situado en la barra de estado.
Respuesta Social
Procedimientos para protegerse del "phishing“:
Paso 4:
“Consulte frecuentemente los saldos bancarios
y de sus tarjetas de crédito”.
• Incluso si sigue los tres pasos anteriores, puede
convertirse en víctima.
• Si consulta sus saldos bancarios y de sus tarjetas
de crédito al menos
sorprender al estafador.
una
vez
al
mes,
podrá
Respuesta Social
Procedimientos para protegerse del "phishing“:
Paso 5:
“Comunique los posibles delitos relacionados con su
información personal a las autoridades
competentes”.
• Si cree que ha sido víctima de "phishing", proceda del
siguiente modo:
9 Informe inmediatamente del fraude a la empresa
afectada.
9 Proporcione los detalles del estafador y los mensajes
recibidos, a la autoridad competente a través del
Centro de denuncias de fraude en Internet.
Respuesta Social
Procedimientos para protegerse del "phishing“:
Paso 5:
• Este
centro trabaja en todo el mundo en
colaboración con las autoridades legales para clausurar
con celeridad los sitios Web fraudulentos e identificar a
los responsables del fraude.
Respuestas técnicas
Anti-Phishing
Existen tecnologías específicas que tienen como blanco evitar
el phishing.
• Indicador de nivel de Phishing actual
Se ha creado el indicador AlertPhising que ofrecen a sus
visitantes información del estado de los ataques.
Respuestas técnicas
Anti-Phishing
• Filtro anti-phishing en Internet Explorer 7
• Internet Explorer 7, incorporó un filtro para proteger de sitios
webs falsificados.
• La tecnología será similar a la desplegada por las barras de
herramientas anti-phishing, basándose en la detección:
9"heurística" (patrones genéricos),
9listas negras,
9listas blancas de sitios confiables.
• El usuario podrá visualizar diferentes avisos que le indicarán
el grado de peligrosidad de la página web que visita.
Respuestas técnicas
Anti-Phishing
Barras anti-phishing para navegadores
Respuestas legislativas y judiciales
• El 26 de enero de 2004, la FTC (Federal Trade
Commission) llevó a juicio el primer caso contra un
phisher sospechoso.
• Un adolescente de California, creó y utilizó una página
web con un diseño que aparentaba ser la página de
American Online para poder robar números de
tarjetas de crédito.
Respuestas legislativas y judiciales
• En los Estados Unidos, se introdujo el Acta AntiPhishing del 2005 el 1 de marzo del 2005.
• Esta ley federal establecía una multa de hasta
$250.000 USD y penas de cárcel por un término de
hasta cinco años.
• La compañía Microsoft también se ha unido al
esfuerzo de combatir el phishing.
Respuestas legislativas y judiciales
• El 31 de marzo del 2005, Microsoft llevó a la Corte
del Distrito de Washington 117 pleitos federales.
• En marzo del 2005 también se consideró la
asociación entre Microsoft y el gobierno de
Australia para educar sobre mejoras a la ley que
permitirían combatir varios crímenes cibernéticos,
incluyendo el phishing.
Notas Importantes
Tapa diario Clarín. Domingo 27 de agosto de 2006
Notas Importantes
Los 10 virus más detectados
¿Cómo lo denuncio?
• La Asociación de Internautas creó un conducto a través
del cual los internautas pueden denunciar las estafa por
medio del uso de phishing en internet.
• Para ello solo se tiene que mandar un correo a
[email protected] adjuntando el mail recibido
o la web que intenta el robo de datos.
• El propósito de la Asociación de Internautas es evitar y
ERRADICAR DE UNA VEZ los posibles intentos de estafas
realizado mediante el uso de phishing.
http://seguridad.internautas.org//
Conclusión
• Debemos
mencionar que no existe un sistema
computarizado que garantice al 100% la seguridad
de la información, por la inmensa mayoría de
diferentes formas con las cuales se pueden romper
la seguridad de un sistema.
• Dado
el creciente número de denuncias de
incidentes relacionados con el phishing se requieren
métodos adicionales de protección.
• Se han realizado intentos con leyes que castigan la
práctica, campañas para prevenir a los usuarios y
aplicación de medidas técnicas a los programas, y
aun así no es suficiente.
Bibliografía
Wikipedia, la enciclopedia libre. En:
es.wikipedia.org/wiki/Phishing
Páginas Web para robar datos. N. Rojo. Septiembre
20004. En:
http://www.consumer.es/web/es/tecnologia/internet/
2004/09/22/109261.php
Robo de datos Por Internet. El 'phishing', delito
informático de moda. L. Tejero. Julio de 2004. En:
http://www.elmundo.es/navegante/2004/07/29/esoci
edad/1091118343.html
Todo lo que debe saber acerca del "phishing“. Publicado:
27/05/04. En:
http://www.microsoft.com/latam/seguridad/hogar/spa
m/phishing.mspx
Filtro antiphishing en Internet Explorer 7.
http://www.desarrolloweb.com/articulos/2099.php
Bibliografía
Qué es el phishing y cómo protegerse
http://www.seguridad.internautas.org/wcontactar.php
Phishing: Un peligro para la banca on-line
http://www.delitosinformaticos.com
Un ejemplo de ataque phising
http://www.shellsegurity.com
Phishing
http://www.mattica.com
Phishing, otra forma de aprovecharse de las personas
http://www.infobaeprofesional.com
Documentos relacionados
Phishing es un término informático que denomina un tipo de delito
Phishing es un término informático que denomina un tipo de delito
DICCIONARIO DE TÉRMINOS TÉCNICOS.pdf
DICCIONARIO DE TÉRMINOS TÉCNICOS.pdf
Descargar
Anuncio
Anuncio