UNIVERSIDAD NACIONAL DEL NORDESTE Facultad de Ciencias Exactas Y Naturales y Agrimensura PHISHING Disertante: Lic. Litwak Noelia • ¿Qué es el Phishing?. • Historia del phishing. • Phishing en AOL. • Intentos recientes de phishing. • Técnicas de phishing. • Lavado de dinero producto del phishing. • Daños causados por el phishing. • Respuesta social. • Respuestas técnicas. • Respuestas legislativas y judiciales. • Conclusiones. La masiva utilización de las computadoras y redes como medios para almacenar, transferir y procesar información se ha incrementado en los últimos años, al grado de convertirse en un elemento indispensable para el funcionamiento de la sociedad actual.* Como consecuencia, la información en todas sus formas y estados se ha convertido en un activo de altísimo valor, el cual se debe proteger y asegurar.* INTERNET • Son abiertas y accesibles • Permiten intercambios rápidos y eficientes a nivel mundial y a bajo costo. •Este concepto hace posible nuevas formas de funcionamiento de la sociedad actual que se ve dificultada por las inseguridades que van dejando al descubierto. Datos Interesantes Internet ha pasado de tener miles de usuarios en 1983 a más de 800 millones de usuarios en el mundo en el 2004 y 1000 millones en el 2005. PROGRESION DE USUARIOS EN EL MUNDO AÑO Nº Usuarios 1990 0,7-1 millón 2000 300-400 millones 2002 400-500 millones 2003 500-600 millones 2004 800 millones 2005 1.000 millones Fuente: Angus Reid Group Cantidad de Usuarios de INTERNET en Argentina • De acuerdo a un estudio realizado por una consultora, Internet fue uno de los indicadores que continuó creciendo durante la crisis en Argentina durante el 2002. • Si bien la tasa de crecimiento fue menor que en tiempos anteriores, en el año 2005, la cantidad de Usuarios de Internet en el país llegó a los 3.900.000 (10% población). • Mientras que hoy hay mas de 10 millones de usuarios, lo que representa aproximadamente, el 26% de la población. Fuente: D'Alessio IROL Tracking sobre penetración de Internet-2003 Comercio electrónico En el pasado, la posibilidad de conectarse con millones de clientes las 24 horas al día, los 7 días de la semana, era solamente posible para las grandes corporaciones. Ahora, incluso una compañía con recursos limitados puede competir con rivales más grandes ofreciendo productos y servicios por Internet con una inversión modesta. www.mercadolibre.com.ar/ Los clientes no solamente compran fácilmente sus productos, sino que las compañías también han innovado el uso de conceptos como “personalización” para crear relaciones exclusivas e individuales con los clientes. Las compañías que utilizan la personalización pueden identificar a sus clientes virtuales por el nombre, ofrecerles productos basados en hábitos de compra previos y almacenar de manera segura la información de la dirección del domicilio para agilizar las compras en línea. Artículo obtenido de infobae.com del día 15 de agosto de 2006. • “Más de un millón de argentinos realizan compras en Internet”. • El 32,94% de los usuarios de Internet de la Argentina usa la red para realizar compras, lo que representa más de 1,3 millones de personas. • Los datos surgen de una encuesta realizada por DeRemate.com en conjunto con Zoomerang.com, un motor de encuestas online utilizado por empresas de todo el mundo para hacer investigaciones entre personas que tienen acceso a Internet y navegan en forma habitual. • El informe revela que para el 35,25% de las personas que compra por Internet lo hace por "la comodidad que ofrecen las diferentes variantes de comercio electrónico que existen". • Un 29,51% señaló que lo hace porque es allí donde encuentran los mejores precios y un 23,77% dijo que usa este medio debido a que le facilita encontrar productos que tienen particularidades que hacen que sea complejo encontrarlos de otro modo. • El relevamiento abarcó 2.632 casos seleccionados al azar a través de una metodología que incluyó 29 preguntas sobre diferentes temas relacionados con el comercio electrónico. Principales motivos de compras en INTERNET 11,47% 29,51% 35,25% 23,77% M ejo res precio s M ás Variedad Co mo didad Otro s M o tivo s http://www.infobae.com/notas/nota.php?Idx=157323&IdxSeccion=100439 Surgen nuevos desafíos que las empresas deben superar para tener éxito: “Deben ofrecer servicios fáciles de utilizar y totalmente seguros porque guardan información confidencial como direcciones o 11,47 números de las tarjetas de crédito personales, información de cuentas bancarias, historias médicas, etc.”. El amplio desarrollo de las nuevas tecnologías informáticas está ofreciendo un nuevo campo de acción a conductas antisociales y delictivas manifestadas en formas antes imposibles de imaginar, ofreciendo la posibilidad de cometer delitos tradicionales en formas no tradicionales. John Schwarz, presidente y gerente de operaciones de Symantec, comparte sus opiniones sobre por qué la seguridad demanda una atención especial de los directivos. 1. ¿Por qué la seguridad es tan importante para los directivos? Con las amenazas al ciberespacio cada vez más frecuentes y complejas, una violación a la seguridad podría ser devastadora para una empresa al afectar sus operaciones, la reputación corporativa y la confianza de los clientes y accionistas. 2. ¿Qué cambios percibe en relación con las amenazas al ciberespacio? La nueva generación de amenazas en Internet puede atacar sin avisar puesto que la velocidad de distribución ha pasado de semanas a días y de días a horas. En el futuro, veremos amenazas que se propagan en minutos o incluso segundos. Caso real: • Aproximadamente a las 15:00 horas empezó a distribuirse un virus en las instalaciones de una empresa, a través de un correo electrónico que le llegó al área de ventas. • La distribución consistía de tomar las listas de distribución de los miembros. • Toda la compañía quedó sin comunicaciones, ya que el poderoso virus congestionó la Red completa, por el lapso de tres horas, quedando prácticamente fuera de línea, sin brindar ningún servicio. La facturación de la empresa es alrededor de 2,000,000,000.00 de dólares anuales. • 2,000,000,000 se dividen por 4380 horas de trabajo al año y se multiplica por 3 horas perdidas, lo que nos arroja un total de $1'369,863.01 USD. Pishing “Se conoce como ‘phishing’ a la suplantación de identidad con el fin de apropiarse de datos confidenciales de los usuarios ”. ¿Qué es el Phishing? • Uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta, (contraseñas, información detallada sobre tarjetas de crédito, información bancaria). • El estafador, mejor conocido como phisher se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico o algún sistema de mensajería instantánea. Historia del phishing •El término phishing viene de la palabra en inglés "fishing" (pesca) haciendo alusión al acto de pescar usuarios mediante señuelos cada vez más sofisticados y de este modo obtener información financiera y contraseñas. •También se dice que el término "phishing" es la contracción de "password harvesting (cosecha y pesca de contraseñas). fishing" •La primera mención del término phishing data en 1996, fue adoptado por crackers que intentaban "pescar" cuentas de miembros de AOL. Phishing en AOL AOL tomó medidas tardíamente en 1995 para prevenir el Phishing. • Un cracker se hacía pasar como un empleado de AOL y enviaba un mensaje instantáneo a una víctima potencial. • Para poder engañar a la víctima de modo que diera información sensitiva, el mensaje podía contener textos como "verificando cuenta" o "confirmando información de factura". •Una vez el usuario enviaba su contraseña, el atacante podía tener acceso a la cuenta de la víctima y utilizarla para varios propósitos. •En 1997, AOL reforzó su política respecto al phishing y fueron terminantemente expulsados de los servidores de AOL. •Durante ese tiempo el phishing era tan frecuente que decidieron añadir en su sistema de mensajería instantánea, una línea que indicaba que "no one working at AOL will ask for your password or billing information" ("nadie que trabaje en AOL le pedirá a usted su contraseña o información de facturación"). • Simultáneamente AOL desarrolló un sistema que desactivaba de forma automática una cuenta involucrada en phishing, comúnmente antes de que la víctima pudiera responder. Intentos recientes de phishing • Los intentos más recientes de phishing se han comenzado a dirigir a clientes de bancos y servicios de pago en línea. • En principio es enviado por phishers de forma indiscriminada con la esperanza de encontrar a un cliente de dicho banco o servicio. • Estudios recientes muestran que los phishers son capaces de establecer con qué banco una posible víctima tiene relación, y de ese modo enviar un e-mail, falseado apropiadamente, a la posible víctima. • En términos generales, esta variante hacia objetivos específicos en el phishing se ha denominado spear phishing (literalmente phishing con lanza). Hemos recibido el aviso que has procurado recientemente retirar la siguiente suma de tu cuenta. Ejemplo de un intento de phishing, haciéndose pasar por un Si esta información no está correcta, alguien desconocido puede tener acceso a tu e-mailComo oficial, trata de engañar a los banco cuenta. medida de seguridad, visite nuestro sitiomiembros Web, a travésdel del link que se encuentra aquí abajo para verificar tu información personal para que den información acerca de su cuenta con un enlace Una que has esto, nuestro departamento de fraude trabajará para a lavez página delhecho phisher. resolverlo. Técnicas de phishing • La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar. • URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL: http://www.trustedbank.com/general/custverifyinfo.asp • Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar el nombre de usuario y contraseña. • Por ejemplo, el enlace: http://[email protected]/ puede engañar a un observador casual a creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente). • Este método ha sido erradicado desde entonces en los navegadores de Mozilla e Internet Explorer. • Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL legítima. • En otro método popular de phishing, el atacante utiliza los propios códigos del banco o servicio del cual se hacen pasar contra la víctima. • Este tipo de ataque resulta particularmente problemático, ya que dirigen al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. • En este método de ataque los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica en realidad, el enlace esta modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios. Lavado de dinero producto del phishing • Se está tendiendo actualmente a la captación de personas por medio de e-mails, chats, donde empresas ficticias les ofrecen trabajo,ofreciendoles ejercer desde su propia casa y amplios beneficios. • Todas aquellas personas que aceptan se convierten automáticamente en víctimas que incurren en un grave delito bajo su ignorancia: el blanqueo de dinero obtenido a través del acto fraudulento de phishing. • Para que una persona pueda darse de alta con esta clase de empresas debe rellenar un formulario en el cual se indicarán entre otros datos, la cuenta bancaria. • Esto tiene la finalidad de ingresar en la cuenta del trabajador-víctima el dinero procedente de las estafas bancarias realizadas por el método de phishing. • Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su cuenta bancaria y es avisado por parte de la empresa del mismo. • Una vez hecho este ingreso la víctima se quedará un porcentaje del dinero total, pudiendo rondar el 10%20%, como comisión de trabajo y el resto lo reenviará a través de sistemas de envío de dinero a cuentas indicadas por la seudo-empresa. • Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad económica) esta se ve involucrada en un acto de estafa importante, pudiéndose ver requerido por la justicia, previa denuncia de los bancos. • Estas denuncias se suelen resolver con la imposición de devolver todo el dinero sustraído a la víctima, obviando que esta únicamente recibió una comisión. Daños causados por el phishing La gráfica muestra el incremento en los reportes de phishing desde Octubre del 2004 hasta junio de 2005. Los daños causados oscilan entre la pérdida del acceso al correo electrónico a pérdidas económicas sustanciales. Este estilo de robo de identidad se está haciendo más popular por la facilidad con que personas confiadas revelan información personal a los phishers. • Se estima que entre mayo del 2004 y mayo del 2005, aproximadamente 1.2 millones de usuarios de computadoras en los Estados Unidos tuvieron pérdidas a causa del phishing, lo que suma a aproximadamente $929 millones de dólares estadounidenses. • Los negocios en los Estados Unidos perdieron cerca de 2000 millones de dólares al año mientras sus clientes eran víctimas. • El Reino Unido también sufrió el alto incremento en la práctica del phishing. En marzo del 2005, la cantidad de dinero que perdió el Reino Unido era de aproximadamente £12 millones de libras esterlinas. Respuesta social • Una estrategia para combatir el phishing consiste en entrenar a los usuarios para enfrentarse a posibles ataques. • Un usuario que es contactado sobre la necesidad de "verificar" un cuenta puede o bien contactar con la compañía la cual es tema del correo, o teclee la dirección web de un sitio web seguro en la barra de direcciones de su navegador. • Muchas compañías, se dirigen a sus clientes por su nombre de usuario en los correos electrónicos, de manera que si un correo electrónico se dirige al usuario de una manera genérica como ("Querido miembro de xxxx") es probable de que sea un intento de phishing. • Las páginas han añadido herramientas de verificación que permite a los usuarios ver imágenes secretas que los usuarios seleccionan por adelantado, sí estas imágenes no aparecen, entonces el sitio no es legítimo. • Monitorización continua, analizando y utilizando medios legales para cerrar páginas con contenido phishing. Procedimientos para protegerse del "phishing“: 1. Nunca responda a solicitudes de información personal a través de correo electrónico. Si tiene alguna duda, póngase en contacto con la entidad que supuestamente le ha enviado el mensaje. 2. Para visitar sitios Web, introduzca la dirección URL en la barra de direcciones. 3. Asegúrese de que el sitio Web utiliza cifrado. 4. Consulte frecuentemente los saldos bancarios y de sus tarjetas de crédito. 5. Comunique los posibles delitos relacionados con su información personal a las autoridades competentes. Paso 1: Nunca responda a solicitudes de información personal a través de correo electrónico. Las empresas de prestigio nunca solicitan contraseñas, números de tarjeta de crédito u otro tipo de información personal por correo electrónico. Si recibe un mensaje que le solicita este tipo de información, no responda. Si piensa que el mensaje es legítimo, comuníquese con la empresa por teléfono o a través de su sitio Web para confirmar la información recibida. Paso 2: Para visitar sitios Web, introduzca la dirección URL en la barra de direcciones. Si sospecha de la legitimidad de un mensaje de correo electrónico de la empresa de su tarjeta de crédito, banco o servicio de pagos electrónicos, no siga los enlaces que lo llevarán al sitio Web desde el que se envió el mensaje. Las nuevas versiones de Internet Explorer hacen más difícil falsificar la barra de direcciones, por lo que es una buena idea visitar Windows Update regularmente y actualizar su software. Paso 3: Asegúrese de que el sitio Web utiliza cifrado. Si no se puede confiar en un sitio Web por su barra de direcciones, ¿cómo se sabe que será seguro? Existen varias formas: En primer lugar, antes de ingresar cualquier tipo de información personal, compruebe si el sitio Web utiliza cifrado para transmitir la información personal. En Internet Explorer puede comprobarlo con el icono de color amarillo situado en la barra de estado. Este símbolo significa que el sitio Web utiliza cifrado para proteger la información personal que introduzca. Paso 4: Consulte frecuentemente los saldos bancarios y de sus tarjetas de crédito. Incluso si sigue los tres pasos anteriores, puede convertirse en víctima de las usurpaciones de identidad. Si consulta sus saldos bancarios y de sus tarjetas de crédito al menos una vez al mes, podrá sorprender al estafador y detenerlo antes de que provoque daños significativos. Paso 5: Comunique los posibles delitos relacionados con su información personal a las autoridades competentes. Si cree que ha sido víctima de "phishing", proceda del siguiente modo: •Informe inmediatamente del fraude a la empresa afectada. Si no está seguro de cómo comunicarse con la empresa, visite su sitio Web para obtener la información de contacto adecuada. • Proporcione los detalles del estafador, como los mensajes recibidos, a la autoridad competente a través del Centro de denuncias de fraude en Internet. •Este centro trabaja en todo el mundo en colaboración con las autoridades legales para clausurar con celeridad los sitios Web fraudulentos e identificar a los responsables del fraude. Respuestas técnicas • Varios programas de software anti-phishing están disponibles. La mayoría de estos programas trabajan identificando contenidos phishing en sitios web y correos electrónicos. • El software anti-phishing puede integrarse con los navegadores web y clientes de correo electrónico como una barra de herramientas que muestra el dominio real del sitio visitado. • Los filtros de spam también ayudan a proteger a los usuarios de los phishers, ya que reducen el número de correos electrónicos relacionados con el phishing que un usuario puede recibir. Anti-Phishing Existen varias técnicas para combatir el phishing, incluyendo la legislación y la creación de tecnologías específicas que tienen como blanco evitar el phishing. Indicador de nivel de Pishing actual La Asociación de Internautas ha creado el indicador AlertPhising para uso de los sitios web que deseen ofrecer a sus visitantes información en línea del estado de los ataques. El indicador AlertPhising es una aplicación sencilla, que indica mediante distintos colores y niveles el estado de alerta de ataques de Phishing a las entidades que están siendo suplantadas. Filtro antiphishing en Internet Explorer 7 Internet Explorer 7, incorporará un filtro antiphishing destinado a proteger a los usuarios de las estafas basadas en sitios webs falsificados. La tecnología será similar a la ya desplegada en la actualidad por las barras de herramientas antiphishing, basándose tanto en la detección "heurística" (patrones genéricos), listas negras, y listas blancas de sitios confiables. A efectos prácticos, el usuario podrá visualizar diferentes avisos que le indicarán el grado de peligrosidad de la página web que visita. Si bien desde el punto de la tecnología no aporta ninguna novedad, el hecho de que se integre por defecto en el navegador más utilizado ayudará a que gran parte de los usuarios cuenten con una primera línea de defensa. Barras antiphishing para navegadores Respuestas legislativas y judiciales • El 26 de enero de 2004, la FTC (Federal Trade Commission) llevó a juicio el primer caso contra un phisher sospechoso. • El defendido, un adolescente de California, creó y utilizó una página web con un diseño que aparentaba ser la página de American Online para poder robar números de tarjetas de crédito. • Tanto Europa como Brasil siguieron la práctica de los Estados Unidos, rastreando y arrestando a presuntos phishers. • A finales de marzo del 2005, un hombre de 24 años fue arrestado utilizando un backdoor, a partir de que las víctimas visitaron su sitio web falso, en el que incluía un keylogger que le permitía monitorizar lo que los usuarios tecleaban. • Del mismo modo, las autoridades arrestaron al denominado phisher kingpin, Valdir Paulo de Almeida, líder de una de las más grandes redes de phishing que en dos años había robado entre $18 a $37 millones de dólares estadounidenses. • En los Estados Unidos, se introdujo el Acta AntiPhishing del 2005 el 1 de marzo del 2005. • Esta ley federal de anti-phishing establecía que aquellos criminales que crearan páginas web falsas o enviaran spam a cuentas de e-mail con la intención de estafar a los usuarios podrían recibir una multa de hasta $250,000 USD y penas de cárcel por un término de hasta cinco años. • La compañía Microsoft también se ha unido al esfuerzo de combatir el phishing. • El 31 de marzo del 2005, Microsoft llevó a la Corte del Distrito de Washington 117 pleitos federales. En algunos de ellos se acusó al denominado phisher "John Doe" por utilizar varios métodos para obtener contraseñas e información confidencial. • Microsoft espera desenmascarar con estos casos a varios operadores de phishing de gran envergadura. • En marzo del 2005 también se consideró la asociación entre Microsoft y el gobierno de Australia para educar sobre mejoras a la ley que permitirían combatir varios crímenes cibernéticos, incluyendo el phishing. Tapa diario Clarín. Domingo 27 de agosto de 2006. Los 10 virus más detectados Conclusión • Debemos mencionar que no existe un sistema computarizado que garantice al 100% la seguridad de la información, por la inmensa mayoría de diferentes formas con las cuales se pueden romper la seguridad de un sistema. • Dado el creciente número de denuncias de incidentes relacionados con el phishing se requieren métodos adicionales de protección. • Se han realizado intentos con leyes que castigan la práctica, campañas para prevenir a los usuarios y aplicación de medidas técnicas a los programas, y aun así no es suficiente. BIBLIOGRAFIA Wikipedia, la enciclopedia libre. En: es.wikipedia.org/wiki/Phishing Páginas Web para robar datos. N. Rojo. Septiembre 20004. En: http://www.consumer.es/web/es/tecnologia/internet/ 2004/09/22/109261.php Robo de datos Por Internet. El 'phishing', delito informático de moda. L. Tejero. Julio de 2004. En: http://www.elmundo.es/navegante/2004/07/29/esoci edad/1091118343.html Todo lo que debe saber acerca del "phishing“. Publicado: 27/05/04. En: http://www.microsoft.com/latam/seguridad/hogar/spa m/phishing.mspx Filtro antiphishing en Internet Explorer 7. http://www.desarrolloweb.com/articulos/2099.php Heuristica: En computación, dos objetivos fundamentales para la mayoría de casos son encontrar algoritmos con buenos tiempos de ejecución y buenas soluciones, usualmente las óptimas. Una heurística es un algoritmo que ofrece uno o ambos objetivos; por ejemplo, normalmente encuentran buenas soluciones, aunque en ocasiones no hay pruebas de que la solución no pueda ser arbitrariamente errónea; o se ejecuta razonablemente rápido, aunque no existe tampoco prueba de que deba ser así.