Phishing

El Phishing es un tipo de estafa realizada en Internet mediante la cual un atacante intenta engañar a la víctima convenciéndola de que proporcione información personal, datos financieros o códigos de acceso, pretendiendo ser una entidad confiable en una comunicación digital. El término phishing es una variante de la pesca (literalmente "pesca" en inglés), probablemente influenciado por phreaking y alude al uso de técnicas cada vez más sofisticadas para "pescar" los datos financieros y las contraseñas de un usuario. La palabra también se puede conectar con el idioma leet, en el que la letra f es comúnmente reemplazada por ph. La teoría popular es que es un portmanteau de recolección de contraseñas, es un ejemplo de pseudoetimología. Es una actividad ilegal que utiliza una técnica de ingeniería social: el atacante realiza un envío masivo de mensajes que imitan, en la apariencia y el contenido de los mensajes que los proveedores legítimos de servicios; dichos mensajes fraudulentos requieren que usted proporcione información sensible, como, por ejemplo, el número de tarjeta de crédito o contraseña para acceder a un servicio en particular. En su mayor parte es una estafa perpetrada utilizando mensajes de correo electrónico, pero no faltan casos similares que explotan otros medios, como los mensajes SMS. El Phishing es una amenaza actual, el riesgo es aún mayor en las redes sociales como Facebook y Twitter. De hecho, los Hackers podrían crear un clon del sitio y pedirle al usuario que ingrese su información personal. Los Hackers comúnmente se benefician del hecho de que estos sitios se utilizan en el hogar, en el trabajo y en lugares públicos para obtener información personal o comercial. Según una encuesta realizada en 2019, solo el 17,93 por ciento de los encuestados podrían identificar todos los tipos diferentes de phishing (incluidos correos electrónicos o sms que contienen enlaces maliciosos o sitios web que replican páginas legítimas).

Una técnica de phishing fue descrita en detalle en un tratado presentado en 1987 al grupo internacional de usuarios de HP, Interex. La primera mención registrada del término phishing está en el grupo de noticias alt Usenet. servicio en línea. america-online 2 de enero de 1996, aunque el término puede haber aparecido previamente en la edición impresa de la revista hacker 2600. Según Ghosh hubo 445''004 ataques en 2012, 258''461 en 2011 y 187'' 203 en 2010, lo que demuestra que la amenaza de phishing está aumentando. El Phishing en AOL estaba estrechamente relacionado con la comunidad warez que comerciaba con software sin licencia. Aohell, lanzado a principios de 1995, fue un programa con el propósito de atacar a los usuarios de AOL pretendiendo ser un representante de la compañía AOL. A finales de 1995, AOL implementó medidas para evitar aperturas de cuentas utilizando tarjetas de crédito falsas generadas por algoritmos. Los Crackers comenzaron a atacar a usuarios reales con el objetivo de obtener sus perfiles. La obtención de cuentas AOL puede haber permitido a los phishers hacer un mal uso de las tarjetas de crédito, pero en su mayoría ha llevado a la comprensión de que los ataques a los sistemas de pago podrían ser factibles. El primer ataque directo conocido contra un sistema de pago fue en E-Gold en junio de 2001, que fue seguido por "Post - 9/11 id check" . Ambos fueron vistos en su momento como fracasos, pero ahora pueden ser vistos como primeros experimentos para ataques más complejos a los bancos tradicionales. En septiembre de 2003 hubo el primer ataque a un banco, y fue reportado por el banquero en un artículo escrito por Kris Sangani titulado "batalla contra el robo de identidad." . En 2004, el phishing fue reconocido como una parte plenamente establecida de la economía criminal: surgieron especializaciones a escala global para llevar a cabo operaciones, que se resumieron para los ataques finales. En 2011, una campaña China de phishing se dirigió a las cuentas de Gmail de altos funcionarios gubernamentales y militares de los Estados Unidos y Corea Del Sur, así como a activistas Chinos. El gobierno chino ha negado cualquier acusación de haber participado en este ataque desde su territorio, pero hay pruebas de que el Ejército Popular de liberación ayudó en el desarrollo del software de ciberataque.

El servicio de intercambio de archivos RapidShare ha sido víctima de phishing para obtener credenciales de Cuenta premium, que no tienen restricciones de velocidad y número de descarga. Los atacantes que obtuvieron acceso a la base de datos de TD Ameritrade que contenía 6.3 millones de direcciones de correo electrónico posteriormente lanzaron un ataque de phishing en los correos electrónicos mencionados para obtener el nombre de usuario y la contraseña. Casi la mitad de los robos de credenciales de phishing en 2006 fueron cometidos por grupos que operan a través de la red empresarial rusa con sede en San Petersburgo. En el tercer trimestre de 2009, el grupo de trabajo Anti - Phishing informó haber recibido 115,370 informes de correos electrónicos de phishing de consumidores estadounidenses con China alojando más del 25% de las páginas ofensivas. Desde diciembre de 2013 el ransomware Cryptolocker ha infectado 250000 PCs. Inicialmente, el objetivo era el usuario de negocios y se utilizó un archivo Zip adjunto a un correo electrónico que afirma ser de una queja del consumidor y, posteriormente, pasar a una audiencia más amplia utilizando un correo electrónico con respecto a un problema con un cheque. Metodología General para el ataque, el proceso estándar de los métodos de ataque de phishing se puede resumir en las siguientes etapas: a veces, el correo electrónico contiene la invitación a asumir una nueva "oportunidades de trabajo" (como un gerente financiero o gerente financiero), que es proporcionar los datos bancarios de su cuenta en línea para ser acreditado con las cantidades que tienen que ser dinero (Western Union o Money Gram), reteniendo un porcentaje de la cantidad, que puede alcanzar cifras muy altas El ransomware cifró los archivos y exigió un rescate para obtener la clave de descifrado (para que pudiera recuperar los archivos). Según Dell SecureWorks más de 0. El 4% de los infectados pagó el rescate. De hecho, es el dinero robado con phishing, por lo que el titular de la cuenta en línea del beneficiario, a menudo de buena fe, comete el Delito de lavado de dinero. Esta actividad hace que el phisher pierda un cierto porcentaje de lo que ha logrado robar, pero todavía hay un interés en dispersar el dinero robado en muchas cuentas corrientes y hacer remesas en diferentes países, porque Esto hace más difícil rastrear la identidad del ciberdelincuente y reconstruir completamente el mecanismo ilícito. Además, si las transferencias afectan a más de un país, se prolonga el tiempo para la reconstrucción de los movimientos bancarios, ya que a menudo se necesita una carta de solicitud y la apertura de procedimientos ante el Poder Judicial local de cada país interesado. La mayoría de los métodos de phishing utilizan exploits técnicos para hacer que los enlaces en los correos electrónicos aparezcan como auténticos. Otros trucos comunes son Usar URL mal escritas o usar subdominios, por ejemplo http://www. tuabanca. se. ejemplo. com/, puede parecer a primera vista, un sitio legítimo, pero en realidad está apuntando a un subdominio de otro sitio. Otra metodología es registrar un dominio trabajando con letras visualmente similares, por ejemplo "a" y "e" o, usando el mismo dominio, cambian el sufijo de " . es "a" . com " . Los Phishers han comenzado, con el tiempo, a enmascarar el texto insertándolo en imágenes, por lo que los filtros anti - phishing tienen más dificultad para identificar amenazas. Esto ha llevado por otro lado a una evolución de los filtros, ahora capaces de encontrar texto en imágenes. Estos filtros utilizan OCR (Reconocimiento óptico de caracteres) cuando una víctima visita un sitio de phishing el ataque no ha terminado. De hecho, los comandos JavaScript pueden estar presentes en la página para alterar la barra de direcciones. Se puede hacer poniendo una imagen en la barra de direcciones, o cerrando la ventana y abriendo una nueva con la dirección legítima. Un atacante también puede usar vulnerabilidades en un sitio de confianza e introducir sus scripts maliciosos. Este tipo de ataques, conocidos como Cross - site scripting, son particularmente problemáticos porque todo parece legítimo, incluidos los certificados de seguridad. De hecho, todo se hace ad hoc para llevar a cabo el ataque, por lo que es muy difícil de detectar sin conocimientos especializados. Tal ataque fue utilizado en 2006 contra PayPal. Algunos programas, aunque sean gratuitos, le permiten crear un sitio web "clon" . En pocos pasos recogen la estructura y las imágenes de forma idéntica a la original sin ningún esfuerzo y / o sin ningún conocimiento informático. Solo en ese punto, el atacante insertará dentro del inicio de sesión para capturar las credenciales de inicio de sesión, dirigiendo las credenciales a su base de datos o más simplemente en un archivo de texto. Generalmente adoptan dos principios: aceptar todas las contraseñas, sin ninguna corrección de la información ingresada o rechazar todas las contraseñas, proponiendo así recuperar la contraseña olvidada. El Phishing no siempre implica el uso de un sitio web o correo electrónico, de hecho, se envían mensajes sms a los usuarios, que dicen que ha habido problemas con sus cuentas bancarias. Cuando el número indicado (gestionado por el phisher, suele ser un número de voz sobre IP) en el mensaje se llama al usuario se le pide su PIN. Vishing (phishing de voz) a veces utiliza un número de llamada falso, con el fin de dar la apariencia de una organización de confianza. En algunos casos, el phisher intenta obtener fraudulentamente a través de WhatsApp, no datos financieros o códigos pin, sino copias de documentos de identidad que luego utilizará para estafas posteriores.

Hasta 2007, la adopción de estrategias anti - phishing para proteger los datos personales y financieros era baja. Ahora hay muchas técnicas para combatir el phishing, incluidas leyes y tecnologías creadas específicamente para la protección. Estas técnicas incluyen pasos que pueden ser utilizados tanto por individuos como por organizaciones. Los teléfonos, sitios web y correos electrónicos de phishing pueden ser reportados a las autoridades, como se describe aquí. Una estrategia para combatir el phishing es instruir a las personas a reconocer los ataques y lidiar con ellos. La educación puede ser muy efectiva, especialmente si se enfatizan algunos conceptos y se proporciona retroalimentación directa. El grupo de trabajo Anti-Phishing, un cuerpo de refuerzo de seguridad, sugirió que las técnicas de phishing convencionales podrían volverse obsoletas en el futuro, con la creciente conciencia de las técnicas de ingeniería social utilizadas por los phishers. También predijo que el pharming y varios usos de malware se volverán más comunes para robar información. Todo el mundo puede ayudar al público fomentando prácticas seguras y evitando las peligrosas. Desafortunadamente, incluso jugadores conocidos son conocidos por incitar a los usuarios a prácticas riesgosas, por ejemplo, enriqueciendo a sus usuarios para revelar sus contraseñas a servicios de terceros, como el correo. Se han implementado medidas Anti-phishing en navegadores, como extensiones o barras de herramientas, y como parte de los procedimientos de inicio de sesión. El software anti-phishing también está disponible. Por supuesto, es útil leer cuidadosamente el correo recibido tanto el remitente como el cuerpo del mensaje. El atacante enviará un texto donde las emociones son "afectadas" y tenderá a apresurarse en querer reparar el problema descrito. Por esta razón, la mejor contramedida no es seguir el correo, sino abrir una nueva página en el navegador y ponerse en contacto con el sitio directamente desde la url de la que conoce o buscar directamente desde el motor de búsqueda. Si por alguna razón, por error, debiéramos seguir el enlace informado en el mail, es útil recordar, como se describe en el apartado falsificación de un sitio web, confundir voluntariamente las credenciales de acceso para verificar si el sitio debe aceptarlas por igual. Por el contrario, si las contraseñas correctas no deben ser aceptadas, no las recupere inmediatamente, sino conéctese al sitio en cuestión directamente o por el motor de búsqueda. En caso de que renuncies a tus credenciales, cámbialas de inmediato. Si las credenciales se refieren a aspectos financieros (por ejemplo, cuentas bancarias o postales), póngase en contacto con la policía postal de inmediato y presente una queja formal. A continuación se presentan algunos de los principales enfoques para el problema. La mayoría de los sitios atacados por punishing están protegidos por SSL con cifrado fuerte, donde la URL del sitio web se utiliza como identificador. Esto debería confirmar en teoría la autenticidad del sitio, pero en la práctica es fácil moverse. La vulnerabilidad que se explota radica en la interfaz de usuario (UI) del navegador. En la url del navegador se indica entonces con colores la conexión utilizada (bloque verde para el certificado EV, escrito https en verde) otro enfoque popular para combatir el phishing es mantener una lista de sitios conocidos por phishing y comprobar si el usuario los visita. Todos los navegadores populares incorporan este tipo de protección. Algunas implementaciones de este enfoque envían URL visitadas a un servicio central, lo que ha planteado preocupaciones de privacidad. Dicha protección también se puede aplicar a nivel DNS, filtrando las solicitudes peligrosas en sentido ascendente, este enfoque se puede aplicar a cada navegador y es similar al uso de un archivo host (un archivo donde se definen destinos personalizados para dominios). El sitio de Bank of America es uno de los muchos sitios que ha adoptado este sistema, consiste en que el usuario elija una imagen en la Suscripción, y muestre esta imagen en cada inicio de sesión posterior. De esta manera la imagen siendo conocida solo por el Usuario y el sitio legítimo en un posible ataque de phishing este estaría ausente o equivocado. Desafortunadamente, sin embargo, muchos estudios han sugerido que el usuario ignora la falta de su imagen personal y todavía introduce su contraseña. Actuamos sobre una de las fuentes de phishing, concretamente tratamos de eliminar correos electrónicos a través de filtros especializados contra el spam, disminuyendo las amenazas disminuyen las posibilidades de ser engañados. Los filtros se basan en el aprendizaje automático y el procesamiento del lenguaje natural para clasificar los correos electrónicos riesgosos. La verificación de la dirección de correo electrónico es un nuevo enfoque. Muchas compañías ofrecen servicios de monitoreo y análisis para Bancos y organizaciones con el propósito de bloquear sitios de phishing. Las personas pueden contribuir reportando intentos de phishing a servicios como Google. cyscon o PhishTank. El tablón de anuncios de Internet Crime Complaint Center recopila y administra alertas de ransomware y phishing. Antes de autorizar operaciones confidenciales, se envía un mensaje telefónico con un código de verificación para ingresar más allá de la contraseña. Un artículo de Forbes de agosto de 2014 argumenta que el phishing resiste las tecnologías anti - phishing porque una tecnología no puede compensar completamente la incompetencia humana (" un sistema tecnológico para mediar las debilidades humanas ") .

En 2008, con la sentencia del Tribunal de Milán, se alcanzó por primera vez en Italia la condena por lavado de dinero de sujetos que, como el gerente financiero, se habían prestado a la actividad de cobro y retransferencia de sumas de dinero de delitos de phishing en detrimento de los contadores Italianos estas dos sentencias, por lo tanto, han indicado en ese momento, en Italia el phishing aún no estaba regulado específicamente, a diferencia de otras leyes, en primer lugar la estadounidense, que tienen reglas penales que incriminan ad hoc solo con la modificación del arte En 2007, con una sentencia del Tribunal de Milán, por primera vez en Italia, los miembros de una asociación transnacional dedicada a la Comisión de delitos de phishing fueron condenados. Esta sentencia fue confirmada en casación en 2011. 640-ter C. P. (intervenido con la ley 15 octubre 2013, n. 119) hubo una primera intervención regulatoria adecuada para incluir también este caso particular de robo de identidad .

Según la legislación italiana, las entidades de crédito no están obligadas a garantizar a los clientes el fraude informático. Por lo tanto, no son responsables de la compensación por cantidades retiradas indebidamente debido a una violación de la cuenta de Internet de los clientes, o la clonación de sus tarjetas de cajero automático o de crédito. Una disposición reciente de la GUP de Milán, de 10 de octubre de 2008, estableció que solo la existencia de una obligación contractual precisa sobre bcome anca para mantener al cliente libre de cualquier tipo de ataque a las sumas depositadas podría atribuir a la institución la calificación de dañado por el delito. Los contratos individuales para la apertura de una cuenta corriente y la banca a domicilio podrán establecer que, en casos específicos, el banco esté obligado a indemnizar al cliente por las cantidades indebidamente retiradas. A menudo, la entidad de crédito está cubierta por el riesgo de robo o pérdida de datos de identificación y tarjetas. El coste de este reaseguro se repercute en los clientes, que a veces se benefician de cláusulas contractuales a su favor para este tipo de cobertura. La institución generalmente rechaza la compensación si el cliente, además de perder la tarjeta, también ha perdido el PIN de acceso; del mismo modo, para la banca en casa se niega a compensar las sumas si el cliente ha perdido la contraseña de acceso junto con el token. Esto constituye negligencia por parte del cliente y la posibilidad de fraude y fraude en la entidad de crédito: el cliente podría transferir a terceros sus datos y tarjeta, que, de acuerdo con el cliente, podrían realizar retiros, mientras que el propietario declara la pérdida o robo. Sin embargo, el banco (u otra institución o empresa) tiene la carga de aplicar tanto las medidas mínimas de seguridad establecidas en el DL 196/03 para proteger los datos personales del cliente, como de implementar todas aquellas medidas adecuadas y preventivas que, incluso sobre la base del progreso técnico, puedan minimizar los riesgos. De hecho, en el caso del robo de credenciales, incluso si el banco acusa al usuario de ser responsable de por qué puede haber respondido al correo phishing, está obligado a demostrar ante el tribunal que ha implementado todas las medidas (tanto las mínimas establecidas como las preventivas adecuadas deben evaluarse en cada caso con una evaluación de riesgos - obligatoria - y el documento de política de seguridad) para reducir al mínimo el riesgo. Si el banco no ha implementado medidas que en otros bancos son comunes para la prevención del fraude informático, el acceso abusivo, etc. por ejemplo, puede ser necesario para compensar al usuario por el daño. Recomendación europea no. 489 de 1997 establece que a partir de la fecha de comunicación al banco de haber sufrido una estafa (con alegación de la denuncia a la policía), el titular de la cuenta no puede ser considerado responsable del uso que se hace de su cuenta por cualquier tercero, para cuando el dinero robado debe ser devuelto.

La regla número uno, que debe tener en cuenta al navegar por Internet, es tener mucho cuidado con los enlaces y, en particular, con la forma en que se escribe la dirección (URL). Especialmente cuando el enlace se nos presenta en un mensaje enviado por correo electrónico, o por sistemas de mensajería instantánea, incluso por personas que conocemos y en las que confiamos. Estos mensajes se pueden enviar desde cuentas comprometidas, y los delincuentes a menudo usan pequeños errores de "ortografía" para engañar a quienes los reciben. Si el sitio es notoriamente seguro y requiere la inserción de datos personales, o el número de tarjeta de crédito, siempre debe verificar no solo que la conexión es segura (HTTPS), sino también que el sitio web es realmente el sitio que dice ser, verificando cuidadosamente la dirección. Según algunas investigaciones, hoy en día más del 70% de los sitios de phishing utilizan conexiones seguras. En la web Hay varios portales que se ocupan de la lucha contra la desinformación y las estafas propagadas a través de la web, que le permiten mantenerse informado sobre las estafas en su lugar con el fin de evitar caer en las trampas de los estafadores. El portal iononcicasco. En ha desarrollado y difundido en la red una guía gratuita para defenderse contra este tipo de fenómenos. Otros sitios mantienen una base de datos de direcciones maliciosas, constantemente actualizada, a través de la cual puede verificar si un enlace ha sido reportado como peligroso. Otros utilizan técnicas de inteligencia artificial para analizar la forma en que se escribe la dirección. Ninguna de estas herramientas le permite estar seguro de que una dirección web es segura, pero, en conjunto, proporcionan una ayuda importante a todos aquellos que quieren protegerse de los peligros de la web.

Software malicioso

Técnicas de ataque cibernético

Casos de estafas

Hacking

Directorio traversal attack

Un ataque de recorrido de directorio (o recorrido de ruta) es aprovechar la validación de seguridad insuficiente o la desinfección deficiente de la entrada de n...

WinNuke

WinNuke es un sistema remoto que lee la dirección IP y reenvía un ataque de denegación de servicio en el puerto TCP / IP 139. Ataca todos los sistemas Windows N...

Microsoft Windows

Esta página se basa en el artículo de Wikipedia: Fuente, Autores, Licencia Creative Commons Reconocimiento-CompartirIgual.
This page is based on the Wikipedia article: Source, Authors, Creative Commons Attribution-ShareAlike License.
contactos
Política de privacidad , Descargos de responsabilidad