UNIVERSIDAD NACIONAL DEL NORDESTE Facultad de Ciencias Exactas Y Naturales y Agrimensura PHISHING Disertante: Maneiro Yanina TEMAS • Introducción • ¿Qué es el Phishing?. • Historia del phishing. • Intentos recientes de phishing. • Técnicas de phishing. • Lavado de dinero producto del phishing. • Daños causados por el phishing. • Respuesta social. • Respuestas técnicas. • Respuestas legislativas y judiciales. • Notas Importantes. • Como lo denuncio?. • Conclusiones. INTRODUCCION La masiva utilización de las computadoras y redes como medios para almacenar, transferir y procesar información se ha incrementado en los últimos años. La información se ha convertido en un activo de altísimo valor, el cual se debe proteger y asegurar. INTRODUCCION INTERNET • Son abiertas y accesibles • Permiten intercambios rápidos y eficientes a nivel mundial y a bajo costo. •Este concepto hace posible nuevas formas de funcionamiento de la sociedad actual que se ve dificultada por las inseguridades que van dejando al descubierto. INTRODUCCION Datos Interesantes Internet ha pasado de tener miles de usuarios en 1983 a más de 800 millones de usuarios en el mundo en el 2004 y 1000 millones en el 2005. PROGRESION DE USUARIOS EN EL MUNDO AÑO Nº Usuarios 1990 0,7-1 millón 2000 300-400 millones 2002 400-500 millones 2003 500-600 millones 2004 800 millones 2005 1.000 millones Fuente: Angus Reid Group INTRODUCCION El contenido más visto (Marzo 2007) Tomando como base una muestra de 10 millones de usuarios de Internet, se obtuvieron los siguientes resultados respecto a los contenidos de sitios Web más vistos. 11.6% -9.9% -8.6% -7.8% -7.8% -7.6% -6.0% -3.5% -2.8% -1.8% -- Contenido Adulto Correo electrónico Entretenimiento Motores de Búsqueda Negocios / Finanzas Compras Redes sociales Noticias Educación Viajes Encuesta realizada y publicada por Hitwise. INTRODUCCION Tipos de Correo recibidos Cantidades y tipo de correo electrónico que se recibe por parte de los usuarios de Internet. Se nota una fuerte incidencia del correo no solicitado y comercial. 0 1-10 11-30 31-50 50+ SPAM 3% 20% 19% 17% 41% Trabajo o Negocios 7% 20% 20% 16% 37% Amigos o Familia 0% 36% 38% 15% 11% Oferta de Venta autorizada 3% 50% 34% 9% 4% Interés personal o hobby 8% 59% 23% 6% 4% 17% 58% 17% 5% 3% 6% 84% 8% 1% 1% Boletin de Negocios Estado de Cuenta o Factura estudio realizado por ROI Research INTRODUCCION El tamaño de Internet Estadísticas hechas por la comScore.Networks (2006): • 14% de toda la población mundial menor de 15 años utiliza internet. • Sitios web más visitados: MSN con 538 millones de visitas. Google con 495 millones de visitas. Yahoo! con 480 millones de visitas. Ebay con unas 300 millones de visitas. Time Warner Network con 241 millones de visitas. Amazon con 154 millones de visitas. Wikipedia con un estimado de 132 millones de visitas. INTRODUCCION El tamaño de Internet • • Las direcciones de e-mail crecieron de 253 millones en el año 1998 a 1.600 millones en el año 2006 y ese año, el tráfico, incluyendo el spam, alcanzó los 6 exabytes. Para el año 2010 se espera que haya unos 1.600 millones de usuarios. INTRODUCCION Cantidad de Usuarios de INTERNET en Argentina • Internet 12.000.000 continuó creciendo durante la crisis en Argentina durante el 2002. 10.000.000 8.000.000 6.000.000 4.000.000 2.000.000 0 Mar. '00 Sep. '00 Abr. '01 Dic. '01 Oct . '02 Abr. '03 May. '05 Ene. '06 • La cantidad de Usuarios de Internet en el país llegó a los 3.900.000 (10% población). • Hoy hay mas de 10 millones de usuarios, lo que representa población. aproximadamente, el 26% de la Fuente: D'Alessio IROL Tracking sobre penetración de Internet-2003 INTRODUCCION Comercio electrónico En el pasado, la posibilidad de conectarse con millones de clientes las 24 horas al día, los 7 días de la semana, era solamente posible para las grandes corporaciones. Ahora, incluso una compañía con recursos limitados puede competir con rivales más grandes ofreciendo productos y servicios por Internet con una inversión modesta. www.mercadolibre.com.ar/ INTRODUCCION Comercio electrónico Las compañías han innovado el uso de conceptos como “personalización” para crear relaciones exclusivas e individuales con los clientes. Pueden identificar a sus clientes virtuales por el nombre, ofrecerles productos basados en hábitos de compra previos y almacenar de manera segura la información de la dirección del domicilio para agilizar las compras en línea. INTRODUCCION Artículo obtenido de infobae.com (agosto 2006) • “Más de un millón de argentinos realizan compras en Internet”. • El 32,94% de los usuarios de Internet de la Argentina usa la red para realizar compras, lo que representa más de 1,3 millones de personas. Principales motivos de compras en INTERNET 11,47% 29,51% 35,25% 23,77% M ejo res precio s M ás Variedad Co mo didad Otro s M o tivo s encuesta realizada por DeRemate.com con Zoomerang.com INTRODUCCION Surgen nuevos desafíos que las empresas deben superar para tener éxito: “Deben ofrecer servicios fáciles de utilizar y totalmente seguros 11,47 porque guardan información confidencial como direcciones o números de las tarjetas de crédito personales, información de cuentas bancarias, historias médicas, etc.”. INTRODUCCION Se ofrece un nuevo campo de acción a conductas antisociales y delictivas, ofreciendo la posibilidad de cometer delitos tradicionales en formas no tradicionales. INTRODUCCION Caso real: • Empezó a distribuirse un virus en las instalaciones de una empresa. • La distribución consistía de distribución de los miembros. tomar las listas de • Toda la compañía quedó sin comunicaciones, ya que el poderoso virus congestionó la Red completa, por el lapso de tres horas. La facturación de la empresa es alrededor de 2.000.000.000,00 de dólares anuales. • 2.000.000.000 se dividen por 4380 horas de trabajo al año y se multiplica por 3 horas perdidas, lo que nos arroja un total de $1.369.863,01 USD. Phishing “Se conoce como ‘phishing’ a la suplantación de identidad con el fin de apropiarse de datos confidenciales de los usuarios ”. ¿Qué es el Phishing? • Uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta. • El estafador (phisher) se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico o algún sistema de mensajería instantánea. Historia del phishing •El término phishing viene de la palabra en inglés "fishing" (pesca). •También se dice que el término "phishing" es la contracción de "password harvesting (cosecha y pesca de contraseñas). fishing" •La primera mención del término phishing data en 1996, fue adoptado por crackers que intentaban "pescar" cuentas de miembros de AOL. Intentos recientes de phishing • Los intentos más recientes de phishing se han comenzado a dirigir a clientes de bancos y servicios de pago en línea. • En principio es enviado por phishers de forma indiscriminada con la esperanza de encontrar a un cliente de dicho banco o servicio. • Estudios recientes muestran que los phishers son capaces de establecer con qué banco una posible víctima tiene relación, y de ese modo enviar un e-mail, falseado apropiadamente, a la posible víctima. • En términos generales, esta variante hacia objetivos específicos en el phishing se ha denominado spear phishing (literalmente phishing con lanza). Técnicas de phishing Disfrazar un enlace • Mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar. • URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers. Técnicas de phishing Disfrazar un enlace • Este tipo de ataque resulta particularmente problemático, ya que dirigen al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. • El "phishing" tiene relativamente un alto índice de éxito, y uno de cada 20 emails consigue su objetivo. Técnicas de phishing Disfrazar un enlace • Hay varios métodos para disfrazar un enlace, entre los más usados se encuentran: Técnicas de phishing Disfrazar un enlace 17% 20% 19% 24% 20% Técnicas de phishing Disfrazar un enlace 31% 0% 1% 59% 9% Técnicas de phishing Disfrazar un enlace • Otro ejemplo es el de utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar el nombre de usuario y contraseña. • Por ejemplo, el enlace: http://[email protected]/ se puede creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente). • Este método ha sido erradicado desde entonces en los navegadores de Mozilla e Internet Explorer. Técnicas de phishing Técnicas de phishing Hemos recibido el aviso que has procurado recientemente retirar la siguiente suma de tu cuenta. Ejemplo de un intento de phishing, haciéndose pasar por un Si esta información no está correcta, alguien desconocido puede tener acceso a tu e-mailComo oficial, trata de engañar a los banco cuenta. medida de seguridad, visite nuestro sitiomiembros Web, a travésdel del link que se encuentra aquí abajo para verificar tu información personal para que den información acerca de su cuenta con un enlace Una que has esto, nuestro departamento de fraude trabajará para a lavez página delhecho phisher. resolverlo. Técnicas de phishing Phlashing • Los atacantes han empezado a usar animaciones hechas con Flash para crear sitios falsos. • Estrategia para evadir los programas anti-phishing. • Dichos programas revisan el texto de una página Web en busca de frases sospechosas. • El uso de Flash representa el siguiente paso en esta evolución. Lavado de dinero producto del phishing Otra forma de Estafa • Se tiendiende a la captación de personas por medio de e-mails, chats, donde empresas ficticias les ofrecen trabajo. • Las personas que aceptan se convierten en víctimas que incurren en un grave delito : el blanqueo de dinero obtenido a través del acto fraudulento de phishing. Lavado de dinero producto del phishing Otra forma de Estafa • Para darse de alta debe rellenar un formulario indicando entre otros datos, la cuenta bancaria. • La finalidad es ingresar en esa cuenta el dinero de las estafas bancarias realizadas por el phishing. • Con cada acto la víctima recibe el cuantioso ingreso en su cuenta bancaria y es avisado por parte de la empresa del mismo. Lavado de dinero producto del phishing Otra forma de Estafa • Después del ingreso la víctima se quedará con un 10%-20%, como comisión de trabajo y el resto lo reenviará a cuentas indicadas por la seudoempresa. • Dado el desconocimiento de la víctima, esta se ve involucrada en un acto de estafa importante, pudiéndose ver requerido por la justicia. Daños causados por el phishing • Los daños causados oscilan entre la pérdida del acceso al correo electrónico a pérdidas económicas sustanciales. • Esto se da por la facilidad con que las personas revelan información personal a los phishers. Respuesta Social Como combatir el Phishing • La mejor arma es estar informado de que existe y de cómo se lleva a cabo. • Una estrategia es entrenar a enfrentarse a posibles ataques. los usuarios para • Todas las entidades bancarias han anunciado ya por activo y por pasivo que nunca solicitarían datos a sus clientes vía email ni telefónicamente. Respuesta Social Como combatir el Phishing • Si un correo electrónico se dirige al usuario de una manera genérica como ("Querido miembro de xxxx") es probable que sea un intento de phishing. • Las páginas han añadido herramientas de verificación que permite a los usuarios ver imágenes secretas que los usuarios seleccionan por adelantado, sí estas imágenes no aparecen, entonces el sitio no es legítimo. Respuesta Social Procedimientos para protegerse del "phishing“: Paso 1: “Nunca responda a solicitudes de información personal a través de correo electrónico”. • Las entidades u organismos NUNCA solicitan contraseñas, números de tarjeta de crédito o cualquier información personal por correo electrónico, por teléfono o SMS. Ellos ya tienen sus datos. • Si piensa que el mensaje es legítimo, comuníquese con la empresa . Respuesta Social Procedimientos para protegerse del "phishing“: Paso 2: “Para visitar sitios Web, introduzca la dirección URL en la barra de direcciones”. • Si sospecha de la legitimidad de un mensaje de correo electrónico de la empresa, no siga los enlaces. • Las nuevas versiones de Internet Explorer hacen más difícil falsificar la barra de direcciones, visite Windows Update regularmente y actualice su software. Respuesta Social Procedimientos para protegerse del "phishing“: Paso 3: “Asegúrese de que el sitio Web utiliza cifrado”. • Antes de ingresar cualquier tipo de información personal, compruebe si el sitio Web utiliza cifrado para transmitir la información personal. • En Internet Explorer puede comprobarlo con el icono de color amarillo situado en la barra de estado. Respuesta Social Procedimientos para protegerse del "phishing“: Paso 4: “Consulte frecuentemente los saldos bancarios y de sus tarjetas de crédito”. • Incluso si sigue los tres pasos anteriores, puede convertirse en víctima. • Si consulta sus saldos bancarios y de sus tarjetas de crédito al menos sorprender al estafador. una vez al mes, podrá Respuesta Social Procedimientos para protegerse del "phishing“: Paso 5: “Comunique los posibles delitos relacionados con su información personal a las autoridades competentes”. • Si cree que ha sido víctima de "phishing", proceda del siguiente modo: 9 Informe inmediatamente del fraude a la empresa afectada. 9 Proporcione los detalles del estafador y los mensajes recibidos, a la autoridad competente a través del Centro de denuncias de fraude en Internet. Respuesta Social Procedimientos para protegerse del "phishing“: Paso 5: • Este centro trabaja en todo el mundo en colaboración con las autoridades legales para clausurar con celeridad los sitios Web fraudulentos e identificar a los responsables del fraude. Respuestas técnicas Anti-Phishing Existen tecnologías específicas que tienen como blanco evitar el phishing. • Indicador de nivel de Phishing actual Se ha creado el indicador AlertPhising que ofrecen a sus visitantes información del estado de los ataques. Respuestas técnicas Anti-Phishing • Filtro anti-phishing en Internet Explorer 7 • Internet Explorer 7, incorporó un filtro para proteger de sitios webs falsificados. • La tecnología será similar a la desplegada por las barras de herramientas anti-phishing, basándose en la detección: 9"heurística" (patrones genéricos), 9listas negras, 9listas blancas de sitios confiables. • El usuario podrá visualizar diferentes avisos que le indicarán el grado de peligrosidad de la página web que visita. Respuestas técnicas Anti-Phishing Barras anti-phishing para navegadores Respuestas legislativas y judiciales • El 26 de enero de 2004, la FTC (Federal Trade Commission) llevó a juicio el primer caso contra un phisher sospechoso. • Un adolescente de California, creó y utilizó una página web con un diseño que aparentaba ser la página de American Online para poder robar números de tarjetas de crédito. Respuestas legislativas y judiciales • En los Estados Unidos, se introdujo el Acta AntiPhishing del 2005 el 1 de marzo del 2005. • Esta ley federal establecía una multa de hasta $250.000 USD y penas de cárcel por un término de hasta cinco años. • La compañía Microsoft también se ha unido al esfuerzo de combatir el phishing. Respuestas legislativas y judiciales • El 31 de marzo del 2005, Microsoft llevó a la Corte del Distrito de Washington 117 pleitos federales. • En marzo del 2005 también se consideró la asociación entre Microsoft y el gobierno de Australia para educar sobre mejoras a la ley que permitirían combatir varios crímenes cibernéticos, incluyendo el phishing. Notas Importantes Tapa diario Clarín. Domingo 27 de agosto de 2006 Notas Importantes Los 10 virus más detectados ¿Cómo lo denuncio? • La Asociación de Internautas creó un conducto a través del cual los internautas pueden denunciar las estafa por medio del uso de phishing en internet. • Para ello solo se tiene que mandar un correo a [email protected] adjuntando el mail recibido o la web que intenta el robo de datos. • El propósito de la Asociación de Internautas es evitar y ERRADICAR DE UNA VEZ los posibles intentos de estafas realizado mediante el uso de phishing. http://seguridad.internautas.org// Conclusión • Debemos mencionar que no existe un sistema computarizado que garantice al 100% la seguridad de la información, por la inmensa mayoría de diferentes formas con las cuales se pueden romper la seguridad de un sistema. • Dado el creciente número de denuncias de incidentes relacionados con el phishing se requieren métodos adicionales de protección. • Se han realizado intentos con leyes que castigan la práctica, campañas para prevenir a los usuarios y aplicación de medidas técnicas a los programas, y aun así no es suficiente. Bibliografía Wikipedia, la enciclopedia libre. En: es.wikipedia.org/wiki/Phishing Páginas Web para robar datos. N. Rojo. Septiembre 20004. En: http://www.consumer.es/web/es/tecnologia/internet/ 2004/09/22/109261.php Robo de datos Por Internet. El 'phishing', delito informático de moda. L. Tejero. Julio de 2004. En: http://www.elmundo.es/navegante/2004/07/29/esoci edad/1091118343.html Todo lo que debe saber acerca del "phishing“. Publicado: 27/05/04. En: http://www.microsoft.com/latam/seguridad/hogar/spa m/phishing.mspx Filtro antiphishing en Internet Explorer 7. http://www.desarrolloweb.com/articulos/2099.php Bibliografía Qué es el phishing y cómo protegerse http://www.seguridad.internautas.org/wcontactar.php Phishing: Un peligro para la banca on-line http://www.delitosinformaticos.com Un ejemplo de ataque phising http://www.shellsegurity.com Phishing http://www.mattica.com Phishing, otra forma de aprovecharse de las personas http://www.infobaeprofesional.com