Índice de lectura
¡Que tal! ¡Queridos lectores, amantes de la tecnología!
En el siguiente post vamos a conversar de un tema muy importante, diría yo Importantísimo de saber.
Quizás no seas el tipo de persona friki (un poco loquillo) informático que todo lo sabe a cerca de seguridad informática y todas estas cosas raras del mundo tecnológico, pero… es necesario que sepas sobre este tema.
Bien vamos al grano, Phishing ¿Qué es? ¿Es una aplicación?, ¿dónde se guarda?, estas quizá sean las preguntas que te has hecho, has decidido buscar en san Google y has llegado hasta aquí, pues bien hablemos de ello.
Primero, El Phishing es:
✅ Un Proceso fraudulento para recopilar información personal.
Definición de Phishing
Es una técnica de fraude utilizada por hackers que a día de hoy es muy practicada y extendida en la web.
Tiene como objetivo capturar información personal (incluida la banca, pero también los identificadores y la contraseña) usurpando la identidad de un tercero.
Esto NO es phishing:
- ❌ Una técnica de análisis de tráfico de red.
❌ Un método para buscar información en Internet.
❌ Un sistema de envío masivo de correo electrónico.
❌ Un procedimiento de recopilación de datos de formulario seguro.
- ❌ Una técnica de análisis de tráfico de red.
¿Cómo funciona el phishing?
Es muy común, recibir un correo electrónico que parece ser de una empresa o institución de confianza la cual te invita a conectarte a tu cuenta a través de un enlace en el correo electrónico para actualizar su información, pagar una factura, consultar sus mensajes, etc.
El problema es que este enlace no dirige al sitio web oficial, sino a un sitio web creado por estafadores.
A menudo es una copia casi idéntica del original y te invita a ingresar a través de un formulario su inicio de sesión y contraseña, datos bancarios, códigos de tarjetas de crédito u otros datos personales confidenciales.
Por supuesto, estos datos personales son captados por los piratas informáticos que luego tienen el campo libre para explotar esta información y aprovecharla.
(uso de la tarjeta bancaria en Internet, usurpación de su identidad con servicios gubernamentales o bancarios, servicios telefónicos, etc.)
Es importante tener en cuenta que esta estafa explota la falla humana.
Validando, si es necesario, el dicho de que la mayoría de los problemas de la computadora están entre la silla y el teclado y no una falla de la computadora, es lo que Se llama una técnica de ingeniería social.
Video sobre Phishing
Crédito: Computerhoy.com
Tipos de phishing
La variedad de técnicas utilizadas para capturar datos de personas o información de usuarios de la red, tales como datos personales, ID de usuario, contraseña, etc., es el resultado de la diversidad de medios utilizados (correo electrónico, sitios web, malware, navegador, etc.)
De los cuales, dejando de lado los aspectos puramente informáticos, hablaremos en las siguientes líneas sobre los esquemas operativos seguidos por el phisher para lograr sus propósitos ilícitos.
Phishing engañoso.
Es el más común de todos, el phishing engañoso se origina en el envío masivo y “aleatorio” de mensajes de correo electrónico a innumerables destinatarios (spamming), aparentemente provenientes de un remitente legítimo y conocido por el usuario.
Los mensajes que circulan en internet, escritos principalmente en inglés, por lo general informan de supuestos “problemas técnicos” al sistema informático del remitente, procedimientos de actualización de software, intentos de acceso están motivados por la necesidad de prevenir el riesgo de fraude contra los clientes bancarios.
Se habla de phishing engañoso cuando el usuario, por ingenuidad, se apresura a hacer clic en el enlace contenido en el mensaje recibido y al ver una página web perfectamente igual o casi idéntica a la original suministra los datos solicitados.
Por supuesto, es una página creada artísticamente por el phisher, tan pronto como el usuario entra en sus credenciales de inicio de sesión, el phisher es capaz de recuperar de la página información ficticia de su interés para robar dinero, o en general, obtener una ventaja económica.
En este último caso sucede a menudo, de hecho, el phisher adquiere los datos y luego los revende en un mercado secundario, a través de foros y canales de chat, sin causar daños económicos directos a la víctima.
Malware Based phishing
Este término que en español significa Phishing basado en Malware, se utiliza generalmente para describir un tipo de ataque caracterizado por la ejecución de un software de código malicioso (malware) en el ordenador del usuario sin su conocimiento.
El programa, instalado mediante engaños de ingeniería social o explotando vulnerabilidades del sistema de seguridad (bugs), se ejecuta en segundo plano mediante el robo fraudulento de los datos confidenciales y la información personal del usuario y, a continuación, se envía automáticamente al phisher.
El phisher puede persuadir a la descarga del programa malicioso al convencer al usuario de que abra un archivo adjunto en el correo electrónico o que descargue un programa de un sitio web. La propagación también puede ocurrir a través de ataques de seguridad (exploits de seguridad) a menudo realizados con la propagación de gusanos o virus.
El phishing basado en malware puede adoptar las siguientes formas:
- Secuestro de sesión (session hijacking): Se describe como una técnica de ataque en la que el acceso no autorizado a información o servicios en un servidor se obtiene a través de una sesión válida de un usuario, utilizando permisos para acceder a ese recurso.
En otras palabras, el secuestro de sesión se refiere a una operación específica que consiste en «robar» cookies utilizadas para autenticar a un usuario en un servidor remoto.
En este sentido, las cookies «HTTP» utilizadas para mantener una sesión activa en muchos sitios son relevantes, especialmente para los desarrolladores web: pueden ser fácilmente robadas por medio de un ordenador interpuesto en la comunicación en red, o accediendo a las que están almacenadas en el ordenador de la víctima.
En la práctica, muchos sitios web permiten a los usuarios gestionar determinadas cookies introduciendo un nombre de usuario y una contraseña (que pueden ser encriptados).
Para que el usuario ya no tenga que volver a introducir estas credenciales en cada página para mantener activa la sesión, muchos sitios utilizan las llamadas «cookies de sesión», de modo que parte de la información es liberada por el servidor web y devuelta al navegador del usuario para confirmar su identidad.
Si un atacante consigue entrar en este flujo de comunicación o, en cualquier caso, robar sus cookies, puede enviar él mismo las solicitudes en lugar del usuario legítimo, accediendo así a la información y datos personales de este último. - Troyanos web: son programas que «enlazan» a esquemas de inicio de sesión para recuperar las credenciales de inicio de sesión, mediante los cuales el usuario cree que está introduciendo sus datos en un sitio web legítimo y, en su lugar, éstos se almacenan en el ordenador local (cliente) mediante software malintencionado y luego se transmiten al phisher.
- Ataques de reconfiguración del sistema: consisten en modificar la configuración del equipo cliente con fines maliciosos, como las URL que se «retocan» para abordar el usuario a un sitio ficticio similar al real (por ejemplo, la URL del sitio de una institución financiera que se cambia de «http://www.bankofamerica.com» a «http://www.bancofamerica.com»).
- Registradores de teclas (keyloggers): son programas maliciosos de autoinstalación en el navegador o en el controlador del dispositivo de entrada (por ejemplo, el teclado), destinados a detectar y registrar los datos ingresados por el usuario y luego enviarlos a un servidor web configurado por los phishers.
Los keyloggers pueden implementarse con diversas herramientas tales como un controlador de dispositivo que controla la entrada de datos de un teclado y un ratón, o uno screenlogger que monitoriza la entrada y muestra la pantalla de forma de onda contrarrestar la acción de las medidas de seguridad a las entradas alternativas en la pantalla.
Search engine phishing
Literalmente «phishing basado en motores de búsqueda», es la técnica utilizada por el phisher en la implementación de su ataque mediante la creación de páginas web dedicadas a productos ficticios, que luego se indexan en los motores de búsqueda (por ejemplo, Google, Yahoo, etc.)
Para que los usuarios, al hacer una orden de compra o proceder a un registro o a una transferencia de sumas de dinero, proporcionen al phisher credenciales de acceso u otra información confidencial útil para la realización de la operación: por ejemplo: la creación ficticia de publicidad relativa a una cuenta corriente con la que se le ofrece un tipo de interés de crédito superior al de otro banco real o la relativa a la venta de productos en condiciones mucho más ventajosas que las del mercado.
Cuando las posibles víctimas buscan en la red (a través de un motor de búsqueda) un producto determinado y lo identifican, acceden a la tienda en línea introduciendo sus credenciales y toda la información necesaria para la realización del acto de compra.
En algunos casos, el phisher, en lugar de diseñar un sitio web ficticio completo, reemplaza algunas partes del sitio real con otras específicamente diseñadas por él para operar el fraude: esta última técnica se denomina phishing por inyección de contenido.
Man-in-the-middle phishing
En este tipo de ataque mejor conocido como «Ataque de Intermediario» el phisher se interpone entre el usuario y el sitio real, de modo que los mensajes destinados a este último serán comprendidos por el phisher, que también los utilizará para acceder a ellos.
Los ataques en cuestión también pueden llevarse a cabo para secuestrar sesiones con o sin que se almacenen las credenciales comprometidas del usuario.
Esta técnica es difícil de detectar por la víctima porque el sitio al que está conectado funciona correctamente, y no hay signos particulares de que el phisher esté interfiriendo en el canal de comunicación de la red entre el ordenador cliente y el servidor web.
Generalmente el tráfico SSL (Secure Socket Layer) en la web no es vulnerable a este tipo de ataques, ya que está encriptado usando la clave de sesión para que no pueda ser decodificado por un interceptor.
Sin embargo, un ataque basado en el uso de código malicioso puede modificar la configuración de un sistema para instalar una nueva autoridad de certificación de confianza: así, el phisher puede crear sus propios certificados para un sitio protegido con SSL, descifrar el tráfico, extraer información confidencial y volver a cifrar el flujo de comunicación con el servidor.
Rock phish kit
Es un software disponible en línea que permite crear sitios clonados, con apariencia y gráficos similares a los oficiales, pero que en su interior contienen una serie de formularios a rellenar a través de los cuales se roban datos sensibles de las víctimas desprevenidas.
El kit de phish rock también le permite crear un correo electrónico para utilizar el spam, que contiene enlaces que redirigen al sitio del clon, en el mismo servidor, con el fin de atacar varios objetivos diferentes simultáneamente.
Esta técnica permite, por lo tanto, transformar cada servidor en una base desde la cual pueden lanzar múltiples y diversificados ataques, con el fin de maximizar las posibilidades de éxito antes de que las fuerzas de seguridad y los grupos antiphishing puedan neutralizar el ataque.
¿Como Se hace el Kit Phish kit? el phisher instala un paquete múltiple que contiene sitios clonados de entidades financieras, la clonación de logotipos, texto, gráficos y la transformación del servidor host en un arsenal listo para lanzar el ataque y para engañar a los desafortunados usuarios.
DNS-Based phishing (pharming)
Con el paso del tiempo y la evolución de las tecnologías se han desarrollado nuevas técnicas de ataque y, entre ellas, las llamadas «pharming».
Este método consiste en una técnica de cracking, capaz de atacar a varios usuarios simultáneamente y dirigida a obtener acceso a información personal y confidencial sin necesidad de abrir ningún correo electrónico.
El pharming consiste en la manipulación de direcciones DNS (Domain Name System) que el usuario utiliza para navegar por Internet, de forma que las páginas web mostradas, en lugar de corresponder a las «apuestas» originales con el nombre introducido, son en realidad las creadas ad hoc por el hacker, aunque su apariencia parezca idéntica a la primera.
Pero,
¿Qué se entiende por manipulación de direcciones DNS?
El sistema de reconocimiento y transmisión de datos entre ordenadores conectados a la red se rige por reglas precisas para la gestión de la comunicación: un conjunto de reglas de este tipo se denomina protocolo y tiene como objetivo principal especificar cómo deben interactuar entre sí los distintos ordenadores que componen la red.
El estándar de la red Internet se define como TCP/IP (Transmission Control Protocol/Internet Protocol): en términos muy simplificados esto significa que cuando un ordenador se conecta a la red, el proveedor (ISP) le asigna un número de identificación diferente de todos los demás ordenadores conectados.
Este número, llamado dirección IP o número de host, es un código formado por cuatro grupos de dígitos que especifica la red a la que pertenece y el número de cada ordenador de la red.
Cada dirección IP tiene la forma «nnn.nnn.nnn.nnn.nnn.nnn», donde cada «nnn» es un número que va de 0 a 255 (los ejemplos de direcciones válidas son 155.107.11.2 o 142.127.1.1).
El número puede asignarse en modo fijo (si se solicita al proveedor y hacia el correspondiente) o en modo dinámico: en este caso, para cada acceso el ISP asignará una IP diferente correspondiente a la primera dirección disponible en la red.
Dada la dificultad, si no la imposibilidad, de que un usuario recuerde direcciones numéricas dinámicas, la función del DNS es traducir los nombres asociados a los ordenadores individuales en la dirección IP correspondiente y viceversa.
En la práctica, el DNS es una tabla que se actualiza constantemente por los gestores de red que, cada vez que crean una nueva dirección IP, comunican el nombre con el que los usuarios de Internet pueden acceder a ella.
La técnica del pharming, al atacar a los servidores DNS, tiene por objeto modificar esta correspondencia numérica para que decodifique una correspondencia numérica diferente de la real y dirija al usuario a una página maliciosa casi idéntica a la de referencia: este último se convencerá de navegar por el sitio correcto, pero, en el momento en que introduzca sus credenciales para acceder a la zona reservada de la misma, realmente proporcionará esta información al atacante.
Un tipo particular de pharming es el realizado por el cracker con la ayuda de programas troyanos instalados en el PC de la víctima o con otro tipo de recursos de acceso directo.
Por ejemplo, en sistemas basados en el sistema operativo Windows, la modificación de los «hosts» de archivos en el directorio «C:\windows\system32\drivers\etc\…» se puede insertar o modificar las combinaciones entre el dominio en cuestión y la dirección IP correspondiente a ese dominio, de modo que la víctima, que tiene el archivo «hosts» modificado, mientras escribe la dirección URL correcta en su navegador, será redirigida a un servidor web específicamente diseñado para robar información confidencial.
Otro método consiste en modificar los servidores DNS por defecto directamente en el registro del sistema: el usuario, sin darse cuenta, ya no utilizará los DNS proporcionados por su ISP, sino los reemplazados por el cracker que se encargará de alterar algunas combinaciones entre dominio y dirección IP.
Smishing
Smishing, o «phishing SMS», es la técnica mediante la cual el usuario recibe un mensaje de texto aparentemente enviado por su entidad financiera, con el que se le pide que actualice sus credenciales de acceso a los servicios de banca a distancia o que confirme su identidad accediendo a la cuenta «haciendo clic» en el enlace del mensaje y conectándolo a un sitio clon, muy similar al real.
Una vez obtenidas las credenciales, el phisher puede conocer el método elegido por el cliente para recibir la contraseña de acceso a los servicios en línea (One Time Password – OTP).
Si se trata de un mensaje de texto en su teléfono móvil, el atacante activará, con documentos falsos, una tarjeta SIM con el mismo número de teléfono que la víctima: el phisher recibirá entonces la OTP en lugar del propietario legítimo y dispondrá libremente de las transferencias de dinero a otros.
Vishing
La técnica del vishing consiste en la recepción por parte del usuario de un correo electrónico, también aparentemente enviado por su propia entidad bancaria o por una entidad conocida, que contiene advertencias de situaciones o problemas particulares que han ocurrido, Por ejemplo, en la cuenta corriente o en la cuenta de acceso, invitándole a marcar un número de teléfono para resolver el problema ficticio.
La víctima, una vez marcado el número, será puesta en contacto con un falso operador le pedirá que facilite datos personales u otra información confidencial útil a tal efecto.
Similar es la activación de una cuenta VoIP y el inicio de un sistema automático de llamadas para contactar a las potenciales víctimas e invitarlas, a través de la reproducción de una grabación de voz, a marcar un número de teléfono, aparentemente atribuible a un centro de llamadas puede resolver problemas o proporcionar comunicaciones urgentes en su cuenta bancaria o tarjeta de crédito después de introducir datos personales, pero que en realidad es el número VoIP del phisher.
A diferencia de la técnica basada en el correo electrónico clásico, esta segunda metodología aprovecha la mayor confianza que el ser humano tiende a depositar en una persona que parece estar autorizada a solicitar dicha información.
Fast flux (Flujo rápido)
Fast flux es una técnica utilizada en botnets, basada en DNS para ocultar sitios de phishing y malware detrás de una red de hosts que actúan como proxys y cambian constantemente.
En la práctica, el phisher envía un correo electrónico que contiene un mensaje de enlace al sitio de clonación del usuario.
Este último, basándose en la autenticidad del mensaje y seleccionando el enlace que lo dirige a un servidor de la red de ordenadores infectados con malware que responde a los comandos remotos del phisher, inserta sus credenciales en el sitio clon (back-end) que, primero las captura y luego las redirige al sitio original para que no pueda notar nada.
En estos casos, la dirección IP a la que se conecta el navegador del usuario cambia «aleatoriamente» en pocos minutos, conectándose a diferentes ordenadores que forman parte de la botnet, lo que dificulta mucho más la identificación del servidor principal que aloja el sitio clonado y facilita al phisher la disponibilidad de ordenadores «zombis», activos y listos para su uso.
La técnica de flujo en general (el llamado flujo único) proporciona la protección del dominio malicioso, asociado con el servidor dañado, a través de una rápida rotación de las direcciones IP.
Estos últimos, de hecho, corresponden a máquinas comprometidas (otros bots), activas y accesibles en ese momento, que actúan como proxy de la «nave nodriza» real, ocultando la dirección IP real.
De esta manera, se podrá acceder al mismo contenido a través de diferentes direcciones, haciendo que las contramedidas basadas en listas negras de IP sean sustancialmente ineficaces.
Tabnabbing
Literalmente «capturar la tarjeta de un navegador», es la técnica que aprovecha el hábito de los usuarios de abrir múltiples pestañas dentro del navegador durante la navegación normal, y luego consultarlas individualmente.
En la práctica, la víctima selecciona un enlace a una página de Internet completamente inofensiva e interesantemente contenida y, sin cerrarla, pasa a ver otra página asociada a otra pestaña del navegador.
Mientras tanto, la página previamente abierta cambia de apariencia, reproduciendo aparentemente una página similar a la legítima y en la que se solicitan las credenciales de acceso a los servicios en línea.
La víctima, sobre todo si ha transcurrido cierto tiempo, al volver a la pestaña previamente abierta pensará que ha seleccionado un enlace inseguro o que lo ha hecho inadvertidamente, para ser inducida a introducir los datos necesarios que serán enviados a la cuenta del phisher, siendo posteriormente reindexados al sitio real para que no se note nada.
¿Cómo protegerse del phishing?
Cuando recibes un mensaje de un banco o un sitio de comercio electrónico, es necesario que te hagas las siguientes preguntas:
- ¿Le he dado a esta entidad mi dirección de correo electrónico?
- ¿Tiene el correo recibido algún elemento personalizado que permita identificar su veracidad (número de cliente, nombre de la agencia, etc.)?
¿Cómo evitar un ataque Phishing?
Hay algunas reglas que me gustaría mencionarte a continuación, para mantenerte a salvo de estos ataques phishing.
- Ten sentido común: No hagas clic en nada, no proporciones información personal a nadie, no descargues nada y, por favor, POR FAVOR, no reveles información financiera.
- No reveles información financiera . Esto lo he repetido miles de veces a personas que me preguntan sobre ataques de este tipo. Por Favor Si no inicias sesión en la banca en línea o compra a través de un ecommerce de buena reputación, no ingreses tu información financiera. Y si no estás seguro, consulte la regla número 1, aplique el sentido común regularmente.
- Verifique los datos bancarios con regularidad: está bien, nadie es perfecto, o tal vez el intento de suplantación de identidad fue increíblemente bien hecho y no tenía ni idea de que entró. U olvidaste las dos primeras reglas. Cualquiera que sea el caso, necesitas detectar esto si sucede y verificar sus datos bancarios y extractos es la mejor manera de hacerlo. Si algo parece extraño, Aplica la regla 1 y ahórrate un poco de dolor de cabeza. Con esos tres apartados, profundicemos en algunas reglas más tecnológicas.
- Actualiza y ten cuidado con la tecnología: esto es todo lo que necesitas hacer.
- No hagas clic en hipervínculos en correos electrónicos: solo cosas malas pueden suceder realmente, especialmente si es de una fuente desconocida. Aplica la regla 1 generosamente aquí.
- Verifica el https (SSL): siempre que ingrese información de tu tarjeta de crédito o banco, la barra de direcciones en la parte superior debe decir «https.//» no «http.//» y debe tener un icono de bloqueo seguro en la parte inferior derecha esquina de su navegador web o al lado de https.// en la barra de direcciones. Si hace doble clic en el candado, verificará el certificado SSL del sitio web. Siempre haga clic en el candado.
- Ten cuidado con los formularios que solicitan información bancaria. De hecho, es raro (si no imposible) que un banco le solicite información tan importante mediante un simple correo electrónico. En caso de duda, contacte a su agencia directamente por teléfono.
- Habilita tu cortafuegos o antivirus: se explica por sí mismo, pero es necesario decirlo.
- Aproveche el software antispam: si no recibes los correos electrónicos de phishing, ¿cómo caería en sus manos?.
- MBSA (Microsoft Baseline Security Analyzer): garantiza que todos sus parches estén actualizados, lo que ayuda a proteger contra exploits en Outlook, etc.
- Por último, actualice su antivirus: el antivirus puede ayudarlo, y también puede mantener el suyo actualizado. Si aplica la primera regla cuando navega por Internet, entonces no debería tener muchos problemas que esto pueda resolver.
- No hagas clic en hipervínculos en correos electrónicos: solo cosas malas pueden suceder realmente, especialmente si es de una fuente desconocida. Aplica la regla 1 generosamente aquí.
En general, los intentos de phishing suelen ser bastante fáciles de detectar, pero en los últimos años ciertamente se han vuelto más complejos . Caer en intentos de phishing puede ser muy fácil y, a veces, casi inevitable.
Sin embargo, si sigues estas reglas, deberías ser capaz de evitar la mayoría, si no todos, los intentos de phishing.
¿Donde denunciar correos phishing?
Millones de correos electrónicos de phishing se envían diariamente en un intento de atraer víctimas desprevenidas para capturar sus nombres de usuario, contraseñas y otra información personal.
Puedes informar un correo electrónico de phishing siguiendo las instrucciones a continuación y hacer tu parte para ayudar a combatir esta actividad criminal.
El grupo de trabajo contra el phishing mantiene una lista de correos electrónicos y sitios web de estafas de phishing para ayudar a las personas a identificar y evitar ser estafados en el futuro.
El APWG revisará el mensaje y cualquier sitio web al que se vincule, y lo publicará en el Archivo de phishing en el sitio web del grupo de trabajo antiphishing.
Instrucciones para enviar correo electrónico de phishing:
- Crea un nuevo correo a reportphishing@antiphishing.org
- Arrastre y suelte el correo electrónico de phishing desde su bandeja de entrada en este nuevo mensaje de correo electrónico.
- No utilice «reenviar» si puede evitarlo, ya que este enfoque pierde información y requiere más procesamiento manual. La excepción es cuando utiliza la interfaz web para hacer una perspectiva: en ese caso, la única solución es el reenvío.
Es así de fácil y cada correo electrónico de phishing que informa (combinado con los informes de otros) ayuda a detener esta amenaza insidiosa para el comercio electrónico.