El phishing
Los ataques de phishing envían spam o correo no solicitado a las posibles víctimas; el fin primario es obtener nombres de usuario y contraseñas de servicios bancarios, por lo que el principal efecto es patrimonial. En seguida empezará a ver sus variantes y peligrosidad.
|
Hemos estado hablando de la manera de proteger nuestra información de ojos “curiosos”, tema que no hemos terminado y que seguiremos tratando en artículos futuros. Ahora comenzaremos dando información y consejos que sirvan a los usuarios para tener mejores prácticas de seguridad en el manejo de su información con temas actuales y a los que todos nos topamos cada día; trataremos de dar información detallada sin que sea pesada su lectura, ya que consideramos necesario que se entienda el problema para poder atacarlo. Mucho se ha escuchado en los últimos meses de los denominados fraudes en la banca electrónica por medio de un ataque de phishing. Se nos ha dicho que en este tipo de ataque lo que se hace es enviar mensajes no solicitados (spam) a nombre de una determinada institución bancaria, dando a conocer que por determinadas circunstancias (actualización de sistemas, movimientos de cuenta detectados, etcétera) el usuario debe entrar a la página de la institución firmándose con sus credenciales; en caso contrario, su cuenta será desactivada. Para realizar tal tarea indican que el usuario entre al sitio del banco y ofrecen una liga directa; es ahí donde está el problema, ya que al dar clic en la liga se envía al usuario a un sitio externo (obviamente ajeno a la institución), que es donde se realiza el ataque. Esa es la información que siempre se proporciona, ahora profundizaremos un poco al respecto, esperando que este conocimiento ayude a las personas a entender este tipo de fraudes y evitar así convertirse en víctimas. Son muchos los puntos necesarios que involucran un ataque de phishing. Creación de la página falsa y su alojamiento. Previo a todo es necesario que el atacante realice una réplica del sitio de la institución bancaria que utilizará. Para crear la página no se necesita ser un experto diseñador ni mucho menos, basta simplemente en entrar a la página real de la institución y desde el navegador salvar la página en su disco duro. Para el alojamiento es común utilizar servicios gratuitos de alojamiento o contratar un servicio de hosting en algún país donde el costo es muy bajo; esto es necesario entenderlo debido a que el tiempo de vida de estos sitios es muy corto, ya que al ser detectados son cerrados, aunque dependiendo de las “expectativas” del atacante será la inversión que realice tanto de tiempo como de dinero. Creación del correo falso, su enmascaramiento. El correo debe tener un contenido lo suficientemente realista (el pretexto) como para convencer a la(s) víctima(s). Estos correos tienen tres características básicas en las que hay que tener cuidado, a saber:
1. El remitente viene aparentemente de una institución bancaria reconocida; en este caso, Banamex. 2. Se indica el motivo de la solicitud de ingreso al sistema. 3. Se da un acceso directo para realizar la acción.
En este punto se pueden observar casos en los que se redirige a una página en un sitio de alojamiento gratuito, como se había mencionado, o dirigir a un dominio, aunque esta forma es menos frecuente debido al costo que implica adquirir el dominio.
Si se observan las propiedades de las ligas podrá verse a dónde apuntan realmente. Es punto fuera del alcance del presente artículo la obtención de la(s) base(s) de datos de correos electrónicos de las posibles víctimas y la manera de realizar el envío, sólo se mencionará que en Internet es sencillo conseguir, por poco dinero, dicho material. A la hora de enviarlo existen muchas maneras de engañar al destinatario: + Modificación de encabezados en la que el remitente se falsea.
En este punto es posible, viendo todos los encabezados, percatarse de que el correo no viene de donde se presume (la imagen de arriba corresponde a un correo de phishing de Santander Serfin). + En el cuerpo del mensaje alteración de la(s) URL(s) para que a la vista sea “sencillo” equivocarse, como lo es en el ejemplo: http://www.bamarnex.com/empresarial/index.htm En el que en lugar de decir la palabra “banamex” ponen “b a m a r n e x” o podría ser “b a n a r n e x”, en la que pasaría desapercibido para el usuario.
|
