Presentacin de PowerPoint

1
www.optenet.com
JORNADA AUI "Soluciones a la falsificación de
páginas y al robo de identidad en
Internet" COMBATIR EL PHISHING APRENDIZAJE
SOCIAL O TECNOLOGÍA 25 de octubre
2006 ALBERTO SEMPERE. Director Departamento de
Proyectos. asempere_at_optenet.com
2
PHISHING, PHARMING , Y MÁS... IMPACTO EN LA
IMAGEN, FRAUDE
3
AGENDA

• Introducción.
• Tendencias del Phishing.
• Ejemplos.
• Cómo combatir el phishing?
• Conclusión.

4
Definición

• El Phishing es el acto que consiste en
  recomendar la visita a una página web falsa,
  haciendo creer al visitante que se encuentra en
  la página original o copiada.. Normalmente se
  utiliza con fines delictivos, duplicando páginas
  web de entidades financieras de renombre. Una vez
  en las páginas falsas, se pide al visitante que
  introduzca datos personales (claves de acceso,
  etc.) que posteriormente son usados por los
  creadores de la estafa." (fuente
  Wikipedia.org)

5
Vías de Difusión

• Las vías de difusión más habituales de esta
  técnica son
• Correo electrónico, Sistemas de mensajería
  instantánea, Teléfono, Fax
• El Phishing suele ser enviado masiva e
  indiscriminadamente
• Insta al usuario a introducir datos
  confidenciales, con la excusa de reactivar su
  cuenta, confirmarlos, etc.
• Puede tomar también la forma de alerta de una
  entidad financiera advirtiendo de un ataque
  (algunos de los receptores serán efectivamente
  clientes de la entidad).
• Acceder a una dirección web donde debe
  reconfirmar sus datos nombre de usuario,
  contraseña, número de tarjeta de crédito, PIN,
  número de seguridad social, etc.
• Los estafadores utilizan esta información para
  conectarse a su cuenta y disponer libremente de
  los fondos.

6
CARACTERISTICAS DEL PHISHING Y TENDENCIAS
7
Características más comunes Uso de nombres de
compañías ya existentes. Los phishers adoptan la
imagen corporativa y funcionalidad del sitio web.
Utilizan el nombre de un empleado real de una
empresa como remitente del correo falso.
Direcciones web con la apariencia correcta. El
correo fraudulento suele conducir replica el
aspecto de la empresa que está siendo utilizada
para robar la información. Factor miedo.
Técnicas más sofisticadas Man-in-the-middle.
Cross-Site Scripting que permiten simular una
página web segura de una entidad bancaria.
Vulnerabilidades de navegadores El más atacado
ha sido Internet Explorer. Mediante el uso de
exploits, se falsea la dirección que aparece en
el navegador. Exploits en sitios web
fraudulentos que, aprovechando alguna
vulnerabilidad permiten descargar troyanos de
tipo keylogger. Pharming. Cambiar los contenidos
del DNS para redirigir los navegadores a páginas
falsas en lugar de las auténticas.
8
TENDENCIAS
(fuente wikipedia.org)
9
TENDENCIAS (fuentes Network Working Group,
Wikipedia, Gartner)
Según un informe del mes de agosto 2006 de la
empresa de seguridad informática RSA, España es
el tercer país del mundo que más ataques de
'phishing' recibe. El país más afectado por este
intento de fraude por Internet fue Estados
Unidos, con el 73 por ciento de los
ataques. Además del 'phishing' se está
intensificando el uso de los programas troyanos,
que contiene un código malicioso que se instala
en el ordenador y permite robar, falsificar y
destruir datos. ( Fuente Terra Actualidad
) Según la empresas de seguridad, la tendencia
actual y para el 2007 es atacar bancos pequeños,
como 'cooperativas de crédito y bancos
regionales'.
10
TENDENCIAS (fuentes Network Working Group,
Wikipedia, Gartner)

• El fraude online en los primeros cuatro meses de
  2006 en España creció un 50 más que en el año
  2005.
• Se estima que entre mayo del 2004 y mayo del 2005
  más de 1,2 millones de personas en Estados Unidos
  perdieron dinero a causa del phishing.
• La suma del dinero perdido por esta causa
  asciende a más de 929 millones en 2005 según la
  firma de consultoría Gartner Group.
• La media de dinero robado por fraude on-line a
  cada víctima ha aumentado desde 5.249 euros en
  2003 hasta 6.383 en 2006.

11
TENDENCIAS Informe Agosto 2006 (Antiphishing.org)
12
EJEMPLOS
13
Novedades
14
Caja Madrid
En este ejemplo, el propio correo incluye un
formulario en lugar de ofrecer un enlace a una
página falsa. Si el usuario introduce sus datos
y envía el formulario, estos son finalmente
recogidos en un servidor ubicado en Taiwán.
15
BBVA
16
E- BAY
17
Sistemas cada vez más sutiles.
eBay http//verify-cgi2.reset.at/?eBayISAPI.dllV
erifyRegistrationShowaccountssignin... PayPal
http//review-data.org/go.html http//83.16.123.1
8/icons/pp/update.htm?https//www.paypal.com/cmd
_login_access_account_uptead_curreny... Se basa
en redirecciones y después una IP
simplemente. MSN Nombres de dominios basados en
slash-'msn.com', o 'msn'-slash-word'.com' p.e.
'explore-msn.com' or 'msn-site.com'. AMAZON http
//www.amazon-department.com Bank of
America http//www.bankofamerica.com/nationsfunds/
nf2/leaving.cfm?destinationhttp//www.bankofameri
ca.com/nationsfunds/ nf2/leaving.cfm?destination
223e3c53 VISA
18
Sistemas cada vez más sutiles.
Internet Explorer Aprovechando agujeros de
seguridad de ciertos navegadores es posible que
la URL que vemos en pantalla no sea la que en
realidad estemos visitando. Pharming Modificando
los ficheros de los PCs de las victimas o su
configuración de DNS es posible que crean estar
navegando por páginas oficiales cuando en
realidad son fraudulentas.
19
Phishing es del todo nuevo?

• Aunque el phishing es una palabra de moda, forma
  parte de la obtención de datos personales con
  fines fraudulentos.
• Es una variante de otros sistemas también
  conocidos en el ámbito de la seguridad
• Fraude de los cajeros automáticos.
• Ingeniería/Hacking social the art and science
  of getting people to comply to your wishes
• Se basa en que los datos te los den
  voluntariamente.
• Esto lo aparta de la mayoría del resto de ataques
  de seguridad incluidos los otros métodos de
  obtención de datos personales tipo Keyloggers,
  troyanos, etc. Y también por lo tanto de los
  métodos para evitarlo.

20
CÓMO COMBATIR EL PHISHING?
21
Defensas contra los ataques de phishing
Los principales métodos para prevenir el
Phishing son
Métodos legales. Métodos informativos y
educacionales. Métodos tecnológicos.
En los Estados Unidos, el senador Patrick Leahy
introdujo el Acta Anti-Phishing del 2005 el 1 de
Marzo de 2005. Aunque los métodos judiciales
deben existir para evitar los vacíos legales, no
deja de ser una herramienta reactiva que no evita
en la mayoría de las ocasiones más que parte del
daño.
22
La mejor defensa posible contra los ataques de
phishing es la información.
El Phishing se basa en la propia conducta del
usuario y en su confianza. A través de la
educación, es necesario informar a los usuarios
sobre
La existencia de estas amenazas. Cómo
reconocerlas. Cómo protegerse. Aplicar a
Internet la misma cautela que normalmente
aplicamos en la vida real, no dar a nadie que no
se haya identificado correctamente y sea de
nuestra total confianza información confidencial.
23
Recomendaciones
Nunca responda a solicitudes de información
personal a través de correo electrónico. Si tiene
alguna duda, póngase en contacto con la entidad
que supuestamente le ha enviado el mensaje. Para
visitar sitios Web, introduzca la dirección URL
en la barra de direcciones. Asegúrese de que el
sitio Web utiliza cifrado. (Icono de candado de
sitio seguro. Si el candado está cerrado, el
sitio utiliza cifrado) Consulte frecuentemente
los saldos bancarios y de sus tarjetas de
crédito. Hoy en día es posible utilizar alarmas y
límites diarios Comunique los posibles delitos
relacionados con su información personal a las
autoridades competentes.
24
Recomendaciones
Sea cuidadoso con los lugares que visita. Sea
cuidadoso con los correos que abre. Asegúrese
que sus aplicaciones tienen instaladas las
últimas actualizaciones de seguridad. Utilice la
opción copia oculta para enviar mails. No deje
su banda ancha conectada en forma permanente
las 24 horas del día. Solamente llene
formularios en la WEB en los que se esté
utilizando el protocolo https// Recomiende a
sus hijos que no den ninguna clase de datos
personales. Verifique la fuente de la
información. NIC (Network Information Center)
25
Entonces, basta con mantener al usuario bien
informado? Los ISPs ya ofrecen productos de
seguridad sobre amenazas bien conocidas
Antivirus, etc. Ya que son soluciones requeridas
por los usuarios (must have). Avisar de nuevas
opciones de seguridad complejas Antiphishing,
Firewall, etc. puede suponer que los usuarios
tarden aún más en utilizar los servicios de
comercio on-line e incluso de contratar un acceso
a Internet. En vez de aumentar la sensación de
seguridad se aumenta la sensación de
riesgo. Cuidado con el uso del miedo, evitar la
paranoia. Cuidado con el exceso de
recomendaciones, concentrarse en las más
importantes.
26
Protección Tecnológica.
Las técnicas de phishing se van sofisticando
rápidamente. Algunas de ellas son imperceptibles
para el usuario. Es allí dónde la tecnología
ofrece al usuario el medio para protegerse.
Tecnologías basadas en técnicas de Estas
tecnologías pueden ser aplicadas directamente
desde la red o en cada uno de los PCs de los
clientes.
Detección de correos entrantes. Reconocimiento de
contenidos. Bases de datos de URLs. Antispyware. A
ntivirus (Trojans, Keyloggers,). Antipharming.
27
Protección Tecnológica.
Actualmente, se desarrollan tecnologías vivas,
actualizándose y adaptándose continuamente a los
avances y nuevas técnicas utilizadas por los
phishers. Sin impacto en el rendimiento del
equipo del usuario, estas soluciones le protegen
en tiempo real de las nuevas amenazas
existentes. Cuanto más transparente sea el uso
del servicio mejor. Los usuarios más susceptibles
de ser engañados son los que menos se defienden
ante un ordenador. Simplicidad. Antipharming ya
está siendo ofrecido mediante el uso de DNS del
operador. Pueden integrarse con los navegadores
Web y clientes de correo electrónico.
28
Protección Tecnológica.
OPTENET dispone de un servicio Antiphishing de
alta eficacia entre sus soluciones de gestión
segura de contenidos.
29
Protección Tecnológica.
Quién debe ser el encargado de ofrecer dicha
tecnología? Bancos. Los más interesados ya que
son los que pueden perder imagen, dinero y
clientes con este tipo de actividades. ISPs y
operadores móviles. Existe una clara tendencia a
que el proveedor de acceso a Internet sea además
proveedor seguro. Third parties.
30
CONCLUSION
En nuestro país este tipo de ataques seguirá
aumentando debido a la mejora continua de las
técnicas utilizadas. Además, la tendencia
apunta hacia un aumento del público objetivo de
estos ataques para alcanzar así a organizaciones
más pequeñas y menos protegidas e incluso a
entidades no financieras. Por eso, es muy
importante aprender a reconocer estas trampas y
combinar este conocimiento con las tecnologías
disponibles en el mercado.
31
Muchas gracias por su atención w w w . o p t e n
e t . c o m
OPTENET SAN SEBASTIAN Pº Mikeletegi 58- 1ª 20009
San Sebastián SPAINTel (34) 94 330 91 18 Fax
(34) 94 330 81 82
OPTENET MADRID José Echegaray, 8 Edif.3 2ª
ModuloI Parque Empresarial Alvia 28230 Las Rozas
( Madrid ) SPAINTel (34) 91 357 91 50 Fax
(34) 91 357 54 33
OPTENET FRANCE 6 cité Paradis 75010 Paris FRANCE
Tel 33 (0) 1 44 83 61 01 Fax 33 (0) 1 44 83
61 05
OPTENET MEXICO Pablo Veronés, 48 - 4, Col.
Alfonso XIII, 01460 México D.F. MEXICO Tel 52
5556 15 95 15Fax (34) 91 357 54 33
OPTENET UK Towers Business Par kWilmslow RoadM20 
2YY UNITED KINGDOM Tel44 (0)161 249
0046 Fax44 (0)161 224 4581
OPTENET, INC. 3550 Biscayne Blvd.suite 604 33137
Miami Florida Tno 1 305 573 7272 Fax 1 305
573 7447