Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Phishing: el riesgo para las empresas

Anuncio 
Phishing: el riesgo para las empresas
Sophos
Diciembre de 2004
RESUMEN
Este monográfico habla del fraude online conocido como phishing. Estudia cómo
amenaza a las empresas y examina el aumento espectacular del número de
ataques durante los últimos años. Se describen los métodos y artimañas de esta
técnica de pesca de información y se tratan las medidas de protección de
ordenadores y redes contra este tipo de ataques.
Definición
La técnica de phishing, un tipo de fraude online cada vez más frecuente, consiste
en engañar a usuarios para que concedan el control de sus cuentas bancarias
online, normalmente mediante una combinación de mensajes y sitios Web
falsificados. El término “phishing” fue acuñado por hackers y procede del
paralelismo de este timo con la pesca (“fishing” en inglés), siendo los mensajes y
sitios Web falsos el “cebo” y las cuentas de las víctimas los peces o “phish”.* Esta
técnica de pesca de información se lleva a cabo enviando mensajes aparentemente
legítimos que afirman proceder de conocidas instituciones financieras o de
comercio por Internet, tales como Citibank, PayPal, e-Bay o America Online.
Estos email contienen diferentes mensajes, pero normalmente siguen la misma
fórmula: se pide al destinatario hacer clic en un enlace que aparece en el mensaje y
que le llevará a lo que parece ser una página Web auténtica. En realidad, el sitio
Web es una falsificación de lo más ingeniosa, a menudo prácticamente
indistinguible de la página auténtica.
La mayoría de usuarios
hará caso omiso de los
mensajes de phishing. No
obstante, tan sólo unas
pocas víctimas bastan para
hacer que el timo sea
rentable.
Los remitentes de estos ataques de phishing saben que la gran mayoría de
destinatarios no tendrá trato con la organización que aparece en el email y por
tanto hará caso omiso. Sin embargo, para estos delincuentes la probabilidad de
que un pequeño porcentaje de destinatarios disponga de una cuenta en esa
organización hace que el ataque merezca la pena. Aunque sólo unos pocos caigan
en la trampa, los atacantes pueden ganar bastante dinero mientras la página esté
activa; la mayor parte de páginas falsas están activas sólo durante unos días.
Teniendo en cuenta el bajo coste de crear una página Web y enviar miles de
mensajes, sólo unas cuantas víctimas bastan para convertir este truco en un plan
rentable. Según Anti-Phishing Working Group, una asociación formada para
luchar contra la pesca de información y falsificación de mensajes, estos timadores
llegan a convencer a casi un 5% de los destinatarios a que respondan.
Un crimen internacional
Una vez que la víctima ha introducido sus datos en la página Web falsa, los
delincuentes pueden hacer de ellos lo que quieran. Normalmente, el objetivo es
vaciar la cuenta, pero este timo tiene otras muchas utilidades. Dependiendo del
tipo de cuenta implicada, ésta puede usarse para ayudar a los timadores a cometer
más fraudes o a ganar acceso no autorizado a redes. Los timadores internacionales
*El dígrafo “ph” proviene de la terminología de los hackers, cuando en los 70 empezaron a introducirse en el sistema
telefónico estadounidense para hacer llamadas gratis, una actividad que se llamó “Phone Phreaking” (piratería telefónica).
© 2004 Sophos Plc. Ninguna parte de esta publicación se puede reproducir, almacenar o transmitir de ningún modo, ni por ningún medio, sin la previa autorización escrita del propietario.
2
MONOGRÁFICO DE SOPHOS
pueden tener dificultades para retirar dinero robado de un país sin dejar rastro,
así que es posible que envíen más mensajes de spam para ayudarles a reclutar
“cómplices”, usuarios informáticos que cobrarán una suma por dejar que entre
dinero en sus cuentas. Sophos advirtió de un timo en el que se pedía a personas
inocentes ayudar a delincuentes a transferir sus fondos, bajo el pretexto de ser una
oportunidad lucrativa.
Por qué las empresas son vulnerables
La técnica de phishing representa un aspecto de las amenazas de seguridad cada
vez más complejas y convergentes que afrontan las empresas hoy en día. Los
métodos que usan los spammers se han vuelto más sofisticados y cada vez más a
menudo el spam se combina con programas maliciosos y se usa como una
herramienta para fraudes online o para propagar código malintencionado.
La pesca de información es
sólo una de las varias
amenazas de seguridad de
email que puede
comprometer la seguridad
de una red.
El uso de código malicioso por estos delincuentes pone de manifiesto esta
convergencia. Sophos informó de un ejemplo en Brasil, donde se arrestó a 53
personas sospechosas de instalar troyanos en ordenadores sin el conocimiento de
los usarios. Los troyanos se ejecutaban en un segundo plano, monitorizaban los
datos de acceso de los usuarios cuando visitaban los sitios Web de ciertos bancos
online y se los facilitaban en secreto a los delincuentes.2 Éste es un ejemplo de
phishing sin el uso de una página Web falsificada. Todo lo que se necesita es un
email de spam que intente instalar código malicioso de forma secreta. Otra técnica
de pesca de información, denunciada también en Brasil, era mediante el uso de un
troyano instalado de forma secreta para redirigir el navegador del usuario a una
página falsa, incluso introduciendo la dirección auténtica del banco online en la
barra del navegador.3
La técnica de phishing puede considerarse, pues, como un ataque combinado
dentro de las complejas y cambiantes amenazas a las que se enfrentan las redes
corporativas y puede incluir spam y varios tipos de programas maliciosos. No
obstante, en sí mismo es una amenaza para las empresas. Aunque los ataques de
phishing generalmente se dirigen al gran público, las PYMES podrían correr
peligro, sobre todo si las cuentas de la empresa están controladas por una o dos
personas con pocos conocimientos informáticos. Es menos probable que
organizaciones de mayor tamaño se conviertan en víctimas de un timo por email,
pero es preferible proteger a los empleados contra fraudes procedentes de sus
buzones de correo mediante la protección de la red de la empresa.
Por esta razón, es importante que las empresas dispongan de una solución sólida e
integrada para defender su gateway contra spam, como ataques de pesca de
información y otras amenazas de seguridad de email.
Una amenaza en aumento
Se ha producido un repentino aumento en el número de denuncias de ataques de
phishing. Según la asociación Anti-Phishing Working Group, el número de
incidentes aumentó más de un 4.000% entre noviembre de 2003 y mayo de 2004.
Una encuesta publicada por el grupo de investigación Gartner en mayo de 2004
puso de manifiesto que al menos 1,8 millones de personas han sido víctimas de
ataques de phishing, la mayoría de ellos el año pasado.4 Otro informe realizado
por IDC en octubre de 2004 mencionó que el phishing era uno de los crímenes no
violentos que crece más rápido en la zona pacífico-asiática.5
© 2004 Sophos Plc. Ninguna parte de esta publicación se puede reproducir, almacenar o transmitir de ningún modo, ni por ningún medio, sin la previa autorización escrita del propietario.
DICIEMBRE DE 2004
PHISHING: EL RIESGO PARA LAS EMPRESAS
3
Consejos para evitar que le “pesquen”
Hay varias maneras de minimizar las probabilidades de que un ataque de
phishing tenga éxito en la red de una empresa o en un ordenador personal. Es vital
mantener un control exhaustivo y extremar la precaución al utilizar cuentas
bancarias online.
Evite responder a mensajes que solicitan información confidencial
Las empresas acreditadas no solicitan a sus usuarios contraseñas o datos bancarios
por email. Aunque crea que el email es auténtico, no responda. Póngase en
contacto con la empresa por teléfono o visitando la página Web. Tenga cuidado a
la hora de abrir archivos adjuntos y descargar archivos de mensajes,
independientemente de quién los envíe. Muchas artimañas se usan para engañar a
los usuarios a creer que están leyendo un email auténtico. Es habitual el uso de
gráficos, fuentes y logotipos procedentes de mensajes legítimos de la organización
en cuestión. Estas estratagemas están diseñadas para que el destinatario se confíe,
pero incluso para el usuario más precavido puede ser difícil distinguir un email
falsificado. En una prueba a 200.000 usuarios de email, menos del 10% pudo
distinguir los mensajes de phishing del email legítimo en todos los casos.6
Las artimañas que se usan
para embaucar a los
destinatarios van desde
avisos sobre la seguridad de
sus cuentas hasta
invitaciones para recoger
premios.
Aparte del aspecto del email, estos delincuentes usan sofisticadas técnicas de
ingeniería social para bajar la guardia del destinatario. Los mensajes suelen incluir
mensajes que buscan una reacción inmediata, afirmando por ejemplo que
“personas no autorizadas pueden haber accedido a su cuenta” o afirmando que el
destinatario ha ganado un premio. Algunos mensajes incluso muestran un aviso
sobre la técnica de phishing. La figura 1 es un ejemplo de este tipo de avisos,
dirigidos a personas con una cuenta en el banco HSBC.
Figura 1: Parte de un email de pesca de información dirigido a clientes de HSBC.
Visite las páginas Web de bancos y empresas de comercio online escribiendo la
dirección en el navegador
Muchas empresas acreditadas, incluida Sophos, contienen enlaces en sus mensajes
a clientes, por ejemplo enlaces a artículos de prensa. En estos ataques de pesca de
información hay que estar especialmente atento a la solicitud de datos personales
confidenciales. No obstante, si cree que un mensaje de su banco o empresa de
© 2004 Sophos Plc. Ninguna parte de esta publicación se puede reproducir, almacenar o transmitir de ningún modo, ni por ningún medio, sin la previa autorización escrita del propietario.
4
MONOGRÁFICO DE SOPHOS
comercio online es falso, no haga clic en ninguno de los enlaces que contiene. En
cambio, escriba la dirección auténtica en el navegador. Existen varios trucos para
engañar al usuario a hacer clic en un enlace de un mensaje de phishing.
Una de las artimañas más sencillas es hacer que la dirección del mensaje de
phishing sea muy parecida a la auténtica, añadiendo por ejemplo un guión, un
punto o usando un nombre de dominio distinto. Otra técnica consiste en hacer
que el enlace falsificado sea idéntico al enlace legítimo. En un mensaje HTML esto
es relativamente sencillo. Un código estándar HTML puede usarse para hacer que
el texto del mensaje diga cualquier cosa, independientemente de adónde lleve.
Una manera de comprobar que un enlace no es falso es verificar la dirección que
aparece en la parte inferior del marco del navegador (barra de estado). Sin
embargo, se muestran tan sólo unos cuantos caracteres. Esto significa que si se usa
una dirección lo suficientemente larga puede ocultarse si se empieza con lo que
parece ser la dirección legítima y se coloca la parte "activa" (que normalmente
conduce al navegador a la página Web falsa) al final de la dirección y oculta a la
vista. Un ejemplo es [email protected],
donde lo único que sería visible en la barra de estado sería www.anybank.com
seguido de algunos de los caracteres adicionales.
Una actualización crítica de Microsoft en febrero de 2004 trató estas cuestiones,
pero los navegadores no actualizados todavía son vulnerables. En algunos
navegadores Internet Explorer y Mozilla también existe una vulnerabilidad que,
sin el parche correspondiente, permite que la dirección del sitio Web legítimo
aparezca en la dirección, incluso cuando se visualiza la Web falsa.7 Por lo tanto, es
muy importante mantener el software actualizado con parches de seguridad. De
cualquier modo, incluso los navegadores actualizados podrían tener fallos o
agujeros de seguridad por el momento desconocidos pero de los que los
delincuentes se podrían beneficiar.
Hay varios tests visuales que
pueden ayudar a determinar
si la página Web que está
visitando es auténtica.
Asegúrese de que la página Web que visita es segura y auténtica
Antes de dar sus datos bancarios o cualquier otra información confidencial, hay
un par de comprobaciones que puede realizar. Por ejemplo, para asegurarse de
que la página usa un sistema de codificación para proteger sus datos personales:
• Compruebe la dirección Web en el navegador. Si la página Web que está
visitando se encuentra en un servidor seguro debe empezar con “https://” (“s”
de seguridad) en vez de la habitual “http://”.
• En la barra de estado del navegador asegúrese de que aparece un icono en
forma de candado. Puede comprobar el nivel de codificación, expresado en
bits, si coloca el cursor sobre el icono.
De cualquier modo, es importante recalcar que estos dos indicadores tan sólo
demuestran que los datos se codifican antes de transmitirse; no son una garantía
de que la página Web es legítima. Los sitios Web de phishing también pueden
crearse en servidores seguros.
También puede comprobar que la dirección que aparece en el navegador coincide
con la dirección auténtica de la página que está visitando si visualiza las
propiedades. Para hacer esto en Internet Explorer, haga clic con el botón derecho
en la página Web, seleccione “Propiedades” y compare la dirección que aparece en
la ventana con la que aparece en el navegador. Al asegurarse de que las dos
direcciones coinciden, también estará protegiéndose contra otra de las artimañas
favoritas usadas en las páginas de phishing: la página falsa se abre en una pequeña
© 2004 Sophos Plc. Ninguna parte de esta publicación se puede reproducir, almacenar o transmitir de ningún modo, ni por ningún medio, sin la previa autorización escrita del propietario.
DICIEMBRE DE 2004
PHISHING: EL RIESGO PARA LAS EMPRESAS
5
ventana con la página Web auténtica detrás. Cuando se han introducido los
datos solicitados, se transfiere a la víctima a la página Web auténtica, de modo
que parezca que no se ha producido nada ilegal.
Compruebe regularmente sus cuentas bancarias
En la página Web de su banco online, compruebe con regularidad su cuenta
bancaria. Si ve cualquier operación sospechosa, notifíqueselo a su banco.
Sea precavido con sus mensajes y datos personales
La mayoría de bancos tiene una página segura en su sitio Web con información
sobre la realización de transacciones seguras, así como las recomendaciones
habituales acerca de los datos personales: no dar nunca a conocer los números
PIN o contraseñas, no anotarlos y no usar la misma contraseña para todas las
cuentas online. Evite abrir o responder a mensajes de spam, ya que de ese modo
le confirmará al remitente que su dirección está activa. Use el sentido común a la
hora de leer sus mensajes. Si alguno de ellos parece inverosímil o demasiado
bueno para ser verdad, es probable que así sea.
Notifique siempre cualquier actividad sospechosa
Si recibe un email y cree que no es auténtico, envíelo a la organización cuya Web
ha sido falsificada. Muchas empresas disponen de una dirección de email
específica para notificar este tipo de ataques. La legislación contra estos
criminales online está surgiendo efecto: personas sospechosas de ataques de
phishing han sido arrestadas en varios países, incluyendo Reino Unido y Brasil, y
en Australia un timador que robó millones de euros en un fraude por email fue
condenado a cinco años de cárcel.8
Medidas de seguridad informática
La amenaza del uso de troyanos en ataques de phishing aumenta la posibilidad
de que se abra un “troyano de puerta trasera” para permitir a hackers acceder al
ordenador o red en cuestión. Para evitar que esto suceda, la instalación de un
cortafuegos personal proporcionará una mayor protección. Tal como hemos
visto, mantener actualizados los sistemas operativos con los últimos parches de
seguridad también es importante para contrarrestar algunos de los trucos de
phishing de los que hemos hablado, como ocultar cabeceras de texto y
direcciones. Sin embargo, los cortafuegos y parches no evitarán que los usuarios
introduzcan sus datos en páginas falsas ni tampoco impedirán a estos
delincuentes descubrir otras vulnerabilidades en el futuro.
El uso de tecnologías de autenticación de remitente también puede ayudar a
reducir el efecto de los ataques de phishing. Uno de estos métodos es el Marco de
Políticas de Remitente (Sender Policy Framework o SPF). Bajo este marco,
organizaciones publican listas de servidores que pueden enviar mensajes en su
nombre. Cualquier email que afirme proceder de una organización pero no
tenga su origen en un servidor de la lista “aprobada” puede ser rechazado.
Mientras SPF y otras tecnologías de autenticación de remitente sean
relativamente nuevas, tienen el potencial de dificultar los ataques de pesca de
información puesto que, al menos en teoría, los delincuentes sólo podrán enviar
sus mensajes de spam desde servidores “no aprobados”. El desafío que constituye
la autenticación sola es que mientras un destinatario puede verificar que una
dirección de un remitente no es falsa, también necesita saber si su empresa
permite mensajes desde ese dominio y que no es un sitio Web que, por ejemplo, es
usado por un grupo conocido de spammers.
© 2004 Sophos Plc. Ninguna parte de esta publicación se puede reproducir, almacenar o transmitir de ningún modo, ni por ningún medio, sin la previa autorización escrita del propietario.
6
MONOGRÁFICO DE SOPHOS
Las organizaciones con una solución antivirus y anti-spam respaldada por una
red global de laboratorios de investigación son las que mejor se protegen contra
amenazas combinadas en constante evolución como el phishing y otros ataques.
El paso más importante que puede tomar una empresa es usar una solución
integrada de seguridad en su gateway para proteger su infraestructura
informática. Sophos PureMessage salvaguarda el gateway mediante una
reconocida tecnología que ofrece una protección contra virus, spam y troyanos
usados en ataques de phishing. PureMessage también proporciona un servicio de
cumplimiento de políticas de email, ofreciendo a las organizaciones protección
contra ataques de programas maliciosos. A su vez, limita la responsabilidad legal
de una empresa, lo que permite que cumpla con la legislación y aumente la
productividad. Un conjunto de herramientas administrativas permiten que
Sophos PureMessage se instale y actualice fácilmente y todas las licencias cuentan
con un servicio de soporte técnico las 24 horas. Asimismo, la red global de
laboratorios de investigación de Sophos trabaja sin descanso para garantizar una
respuesta inmediata a las amenazas en cualquier lugar del mundo e
independientemente de la zona horaria. Para más información sobre cómo
Sophos puede proteger su empresa, visite www.esp.sophos.com.
Bibliografía
1 www.esp.sophos.com/pressoffice/pressrel/phishrecruit.html [“Phishers reclutan a usuarios
informáticos para operaciones de blanqueo de dinero” 3 de noviembre de 2004].
2 www.esp.sophos.com/pressoffice/pressrel/brazilarrest.html [“Desmantelada en Brasil una
red que creaba troyanos de 'pesca de información'” 21 de octubre de 2004].
3 msnbc.msn.com/id/6416723 [“A new, more sneaky phishing attack”. De Bob Sullivan, 5 de
noviembre de 2004].
4 msnbc.msn.com/id/5184077 [“Survey: 2 million bank accounts robbed”. De Bob Sullivan,
14 de junio de 2004].
5 www.idc.com/getdoc.jsp?containerId=AP223108L [“Security Threats in Asia/Pacific
(Excluding Japan) 2004”].
6 www.informationweek.com/showArticle.jhtml?articleID=48800408 [Deceptive E-Mail
Could Cost Consumers $500 Million, Study Finds”. De Thomas Claburn, 30 de septiembre
de 2004].
7 www.millersmiles.co.uk/identitytheft/phishing.html [“Spoof Email Phishing Scams and
Fake Web Pages or Sites”. De Mat Bright, 23 de febrero de 2004].
8 www.esp.sophos.com/pressoffice/pressrel/marinellis.html [“Condenado un timador por
email que robó más de 3 millones de euros” 8 de noviembre de 2004].
Más información
Anti-Phishing Working Group (APWG) es una asociación cuyo objetivo es eliminar el robo
y fraude de identidad resultantes del phishing, un problema cada vez más frecuente. Para
más información, visite www.antiphishing.org.
Boston, EE.UU. • Mainz, Alemania • Milán, Italia • Oxford, GB • París, Francia
Singapur • Sydney, Australia • Vancouver, Canadá • Yokohama, Japón
Todas las marcas registradas reconocidas por Sophos.
Documentos relacionados
que es internet[1]+lore
que es internet[1]+lore
Phishing: el fraude que intenta robar nuestros datos personales y
Phishing: el fraude que intenta robar nuestros datos personales y
¿Cómo funciona un phishing?
¿Cómo funciona un phishing?
SEGURIDAD DE LA INFORMACIÓN RECOMENDACIONES 1
SEGURIDAD DE LA INFORMACIÓN RECOMENDACIONES 1
FRAUDE ELECTRONICO
FRAUDE ELECTRONICO
nuevos métodos para robar datos personales
nuevos métodos para robar datos personales
Phishing - Banco Los Andes ProCredit
Phishing - Banco Los Andes ProCredit
Qué es el phishing y cómo protegerse
Qué es el phishing y cómo protegerse
Acceda ahora - Return Path
Acceda ahora - Return Path
SIETE PERSONAS EN ESTADOS UNIDOS FUERON ARRESTADAS POR HABER MANIPULADO... BASES DE DATOS DE CAJEROS Y BANCOS EN PAÍSES COMO...
SIETE PERSONAS EN ESTADOS UNIDOS FUERON ARRESTADAS POR HABER MANIPULADO... BASES DE DATOS DE CAJEROS Y BANCOS EN PAÍSES COMO...
Descargar
Anuncio
Anuncio