Ataques Phishing y Medidas Correctivas

Yolanda Hernndez W. Universidad Tecnolgica de Panam yolanda.hernandez@utp.ac.pa

Resumen Los ataques phishing son acciones que son ejecutadas por atacantes informticos para robar informacin confidencial de los usuarios inocentes. Esta informacin puede ser recolectada via correo electrnico, pgina web, sms o otros diversos medios. El phishing, del Ingls pescando, se basa en el envo por parte del phisher o atacante de notificaciones que aparentan ser oficiales y legtimas con formularios para que el usuario vctima introduzca su informacin sensitiva. Las manejas mas seguras de mantenerse alejado de estos atacantes es no respondiendo a los campos que se preguntan en los correos electrnicos o pginas web recibidos de dudosa procedencia.
Palabras clave: ataque informtico, robo de informacin, phishing, correo electrnico, paginas fraudulentas.

1. Ataques Phishing
Con el pasar de los aos, el uso ms y ms frecuente de la Internet para transacciones econmicas y bancarias se volvi recurrente. Se crea que este tipo de transacciones iban a facilitar y mejorar la seguridad, no solo para los clientes, sino tambin para las entidades bancarias y financieras. Pero los amigos de lo ajeno no descansan nunca y, de un tiempo para ac, hemos sido acosados con ataques informticos que violan nuestra seguridad. Entre estos ataques es comn escuchar el phishing. Pero qu es el phishing?. El phishing es una modalidad de ataque informtico que tiene como finalidad robar la identidad del usuario. Al mencionar identidad aclaramos que se roban datos, claves y contraseas, nmeros de cuentas bancarias, nmeros de tarjetas de crdito, identidades, etc. La va mas utilizada para el robo de estos datos es mediante la ingeniera social, donde, por medio de engaos, se copia de modo fraudulento la informacin de los usuarios. Para esto, se utilizan copias de pginas de confianza, mensajes de correo electrnico o ventanas emergentes. La palabra phishing nace a mediados de los aos 90 gracias a los crackers. stos robaban cuentas de AOL. Para hacerlo se presentaban como empelados de la compaa y enviaban mensajes inmediatos a la potencial vctima. Dentro del mensaje enviado se peda que se revelara contraseas

y datos del usuario, con excusas como la verificacin de las cuentas o confirmacin de la informacin de la factura. Una vez que la vctima ingres los datos, el atacante podra tener acceso ilimitado a las cuentas de la vctima y utilizarlas con otros propsitos, como por ejemplo spamming. El usuario atacante, mejor conocido como phisher, puede atacar de diversas formas, desde un simple y sencillo mensaje sms va telefona celular, mediante llamadas telefnicas, a travs de una pgina web simulando una entidad, por ventanas emergentes (pop-ups) y spams va correo electrnico. El phisher enva a usuarios incautos millones de mensajes falsos que parecieran ser originales y de confianza. Sus mensajes parecen ser completamente originales, de esa forma se ganan la confianza de la vctima y stas responden a los campos pedidos en estos mensajes. Normalmente, dentro del mensaje de phishing se encuentran enlaces que parecieran dirigir a los sitios web legtimos; sin embargo, estos enlaces son de sitios falsos o llevan a ventanas emergentes que, en apariencia, lucen iguales a las originales. Estas pginas copias son denominadas sitios web piratas. Una vez recolectada la informacin sensible, ser utilizada para realizar compras, solicitar nuevas tarjetas de crdito o simplemente robar la identidad de la vctima. Formatos mas comunes de ataques phishing: SMS: los SMS o mensajes cortos son, aunque pocas veces, utilizados para este tipo de fraudes. Dentro del contenido del SMS se solicitan datos personales. Llamadas telefnicas: el emisor de la llamada suplanta la identidad de funcionarios de entidades ya sean pblicas o privadas y le solicitan datos privados. Ejemplo de este tipo de llamadas se han observado muy frecuentemente en los ltimos aos aqu en Panam. Personas inescrupulosas se hacen pasar por funcionarios con altos cargos de las empresas telefnicas del pas e intentan obtener informacin sensitiva de la vctima. Pginas web o ventanas emergentes (pop-up): esta es la forma mas clsica del ataque phishing. La tcnica consiste en suplantar visualmente la imagen o logotipo de una entidad oficial, empresa, compaa, etc. aparentando ser oficial. Las mas comunes son la suplantacin de paginas web de bancos, luciendo estas pginas casi idnticas mas no oficiales.

Figura 1. Ejemplo de correo phishing bajo el nombre de ebay.com.

Correo electrnico: es el ataque mas utilizado y mas conocido por los usuarios. El usuario recibe un correo electrnico donde simulan a la entidad u organismo a suplantar para obtener los datos del usuario incauto. Este correo electrnico solicita la informacin del usuario por supuestos motivos de seguridad. Es comn que el correo contenga formularios, enlaces falsos, textos originales, imgenes oficiales, etc. Todo esto apoya la idea de que el correo electrnico es oficial y original. El phisher se aprovecha de las vulnerabilidades de los navegadores y servidores de correo electrnico. Una vez ingresado los datos, estos son enviados directamente al phisher.

Figura 2. Ejemplo de un correo electrnico fraudulento tratando de obtener informacin.

2. Medidas Correctivas
Existen diversas formas que un usuario puede utilizar para no caer en el juego de los atacantes informativos y evitar que su informacin sensitiva caiga en manos de gente inescrupulosa y amigos de lo ajeno. Para su mayor seguridad, tranquilidad y evitar las estafas nunca responda a ninguna solicitud de informacin personal a travs de correos electrnicos, llamadas telefnicas o mensajes SMS. Normalmente las entidades u organismos no solicitan contraseas, nmeros de tarjetas de crdito o cualquier informacin personal o sensitiva del cliente mediante los medios antes ya mencionados.

Si piensa que el mensaje recibido puede ser legtimo contacte a la entidad pertinente para verificar y confirmar la informacin solicitada. Al momento de ingresar a las paginas web de las organizaciones, es recomendable que usted escriba la direccin URL. Nunca le de acceso a las paginas mediante los enlaces que aparecen dentro de los mensajes de dudosa procedencia o fraudulentos. Normalmente estos enlaces que parecen ser legtimos, al acceder a ellos, el usuario es redirigido a paginas web piratas o falsas. Las paginas web de las entidades bancarias poseen certificados de seguridad y cifrados seguros que aseguran su uso mediante la Internet. Es recomendable que el usuario verifique regularmente sus movimientos, saldos y transacciones bancarias va online y este anuente a los datos que en estas paginas aparecen. As uno se resguarda de movimiento inusuales dentro de las cuentas bancarias y evitar que el phisher provoque daos significativos. Aun siguiendo estas recomendaciones, el usuario incauto todava puede caer y ser vctima de un phisher. Es recomendable que al momento de l creer que ha sido vctima de un ataque de phishing lo reporte inmediatamente a la entidad pertinente. Existen bases de datos que almacenan los correos que hayan sido reportados por ataques phishing. Una vez denunciados estos correos son bloqueados. De haber sido robada la informacin del usuario, es necesario comunicarlo con la entidad correspondiente para hacer un cambio en los campos posiblemente robados.

3. Conclusiones
Es importante que los usuarios se mantengan educados con respecto a los ataques informticos en los que pueden caer. El phishing por su parte es un ataque que puede acarrear consecuencias perjudiciales para los usuarios como la perdida de su identidad y de sus bienes monetarios. Es necesario que los usuarios traten de tener mantener una navegacin segura dentro de la Internet y no den acceso a paginas de dudosa procedencia.

Referencias
[1] Artculo: How to spot phishing email like a pro. http://www.stopbuyingcrap.com/how-to/howto-spot-phishing-email-like-a-pro/ [2] Artculo: Virus, malwares, tcnicas de robo, estafas y amigos. http://kernelvc.com.ar/articulos/virusmalware.php [3] Artculo: Aguilera, M., Phishing. http://www.monografias.com/trabajos23/phishing/phishing.shtml?monosearch#histor

[4] Artculo: Phishing. http://www.segu-info.com.ar/malware/phishing.htm [5] Artculo: Qu es el phishing y cmo protegerse. http://seguridad.internautas.org/html/451.html