Conociendo más sobre seguridad informática

Ataques Phishing a personas confiadas

Reseña de la situación

Supongamos que recibe un correo electrónico de un banco que le pide que vuelva a confirmar o a enviar los detalles de su cuenta, y que le brinda instrucciones rápidas y sencillas acerca de cómo realizarlo. Es probable que sea el objetivo de un engaño utilzando la técnica denominada Phishing.

En este tipo de fraude en línea, los autores envían correos electrónicos en grandes volúmenes a miles de personas, con la esperanza de recuperar información confidencial de un porcentaje de sus receptores (al igual que si se tratara de una “pesca”, donde el pescador arroja una carnada y espera que algún pez pique).
Los mensajes de correo electrónico simulan ser comunicaciones reales de organizaciones reales o conocidas, que solicitan el ingreso de información personal. Esos mensajes contienen solicitudes urgentes para realizar una acción inmediata, a menudo escritas en un lenguaje descuidado y brindando solamente un tiempo limitado para tratar un problema.

Un enlace en el mensaje de correo electrónico dirige al receptor a una página de Internet que le solicita información confidencial.
La página parece auténtica, porque es sencillo falsificar un sitio de Internet válido. Cualquier página HTML en Internet puede copiarse y modificarse para adaptarse al esquema necesario para implementar el Phishing.

Sin lugar a dudas las personas son atrapadas con este engaño, y revelan datos financieros o personales secretos a delincuentes.

La amenaza de la técnica Phishing

En un escenario típico de Phishing, una persona recibe un correo electrónico que aparentemente proviene de un banco, Proveedor de Servicios de Internet (ISP), agentes de bolsa, institución médica o social (u otra entidad conocida no necesariamente asociada con el receptor) que le vuelve a solicitar algunos detalles importantes que, de acuerdo con el correo electrónico, han sido perdidos o comprometidos.
Aparece una advertencia que indica que la falta de una pronta solución al problema tendrá graves consecuencias para esa persona, y esto se utiliza como táctica de ingeniería social para disparar una rápida acción de respuesta coordinada y “ordenada”.
Como solución para el “problema”, el correo electrónico fraudulento ofrece un enlace de Internet útil para enviar los datos necesarios y así resolver la situación.
Por supuesto, el enlace es falso y en lugar de llevar a la persona a un sitio de Internet auténtico como por ejemplo, www.citi.com, la lleva a un destino clandestino (como por ejemplo http://citi.secure-payment.com) donde la información ingresada es malversada para cometer un delito por medio del robo de identidad.
Por consiguiente, los datos “pescados” podrían utilizarse para robar dinero, detalles de tarjetas de crédito u otros datos valiosos de la persona.
Dado que la técnica de Phishing utiliza falsificación para imitar una organización válida conocida, también se lo conoce como “falsificación de marca”.
De acuerdo con Gartner Group, especialista en el control de tendencias en Internet, aproximadamente uno de cada cinco estadounidenses fueron objeto de ataques phishing el año pasado.
Cincuenta y siete millones de consumidores en Estados Unidos han recibido definitivamente o sospechan haber recibido, un correo electrónico con metodología phishing.
Los bancos de Estados Unidos y los emisores de tarjetas de crédito han informado que los casos de Phishing les costaron aproximadamente $ 1.000 millones de euros el año pasado.

Si bien las estadísticas pueden sonar desalentadoras, si se toman algunas precauciones simples y se aprende a reconocer la técnica Phishing, no tendrá de qué preocuparse.

Para controlar la metodología Phishing

En primer lugar, si recibe un mensaje con las características antes mencionadas, de una organización de la cual no es miembro, no debe prestarle más atención, simplemente elimínela.
Definitivamente se trata de Phishing.
Puede informar tal caso a las autoridades correspondientes utilizando los detalles de contacto otorgados al final de este documento.
Aún más, si recibe un correo electrónico que le solicita datos confidenciales de una organización con la que tiene una relación permanente o tuvo vinculación en el pasado, de todas formas sospeche.
Es mejor estar seguro que lamentar.
Muy rara vez una organización real pedirá el reenvío de los datos de la contraseña, credenciales de cuentas u otra información crítica de un cliente porque siempre pueden recuperar esa información de sus registros de respaldo propietarios.
Lo más inteligente de hacer en este caso sería contactarse con la empresa en nombre de la que haya recibido esa solicitud, pero realice esto utilizando detalles de contacto disponibles públicamente.
También puede ingresar en su sitio de Internet y buscar la información correspondiente allí utilizando los detalles de direcciones de sitios de Internet impresos en documentos legales que puede haber recibido de esta organización.
Si la empresa realmente necesitara de su cooperación para que brinde o vuelva a enviar información personal, los detalles correspondientes de la situación serían fáciles de encontrar en su sitio de Internet oficial. Para usuarios avanzados familiarizados con la estructura de Internet los siguientes consejos pueden ser de utilidad, pero la “regla de oro” general se aplica a todos: “Nunca pulse enlaces en correos electrónicos que le soliciten que brinde información confidencial”.

Consejos para usuarios avanzados y reconocer una falsificación en curso

Analice la estructura de un correo electrónico: la mayoría de los clientes más modernos de correo electrónico pueden mostrar no solamente la parte visible del enlace de Internet (por ejemplo, “www.citibank.com”), sino el código HTML escondido detrás de la referencia que es, en realidad un destino válido al que le llevaría al pulsar en el vínculo (por ejemplo, http://192.193.195.132).

Tenga cuidado si encuentra las siguientes características:

• Los enlaces se relacionan con una dirección IP numérica, y no con la dirección escrita del emisor, por ejemplo http://192.168.5.4/.
  En ese caso, para verificar la autenticidad de la dirección, utilice una simple búsqueda Whois, que le dirá a quién corresponde esa dirección.
  Un servicio Whois: http://www.networksolutions.com/en_US/whois/.
  
  
• Un dominio completamente diferente, por ejemplo http://www.clickme.com/, en lugar de la dirección de confianza como por ejemplo http://www.paypal.com.
  
  
• El reemplazo de una letra en el enlace del sitio, por ejemplo http://www.micros0ft.com, donde la letra “o” fue reemplazada por “cero”.
  
  
• Un dominio que suena válido pero en realidad es falso, por ejemplo https://www.verify.citibankonlineoperations.com.
  
  
• Una dirección con un nombre de usuario que parece un nombre de dominio, por ejemplo http://www.sony.com@www.nevertrustphishing.com.
  
  
• Una dirección que utiliza caracteres comodín en el registro del DNS para ocultar el nombre del dominio, como por ejemplo: http://www.washingtonmutual.com|mhtml:mid://00000127/! cid:031401Mfdab4$3f3dL780$73387018@57W81fa70Re
  

Consejos para transacciones seguras, en línea

1. Nunca pulse en enlaces contenidos en correos electrónicos sospechosos de Phishing.
Consulte el material anterior para saber cómo reconocer y controlar la técnica de phishing.
Nunca descargue ningún programa publicado en esos correos electrónicos.

2. Obtenga la última versión del navegador de Internet.
El navegador Opera 8 posee funcionalidad integrada para detectar y advertir acerca de la implementación de una posible técnica “Phishing”.

3. Si debe brindar información confidencial en línea, recuerde ingresar manualmente la dirección del sitio de Internet, en el campo específico (dirección) del navegador.
No la copie de fuentes sospechosas.
También puede utilizar los enlaces de referencia del navegador para acceder a estos sitios.

4. Instale uno de los programas listados hacia el final de este documento para protegerse contra los engaños Phishing y falsificación de direcciones IP.

5. Cuando acceda al sitio donde brindará información confidencial, observe la página de inicio de la cuenta y verifique si existe un icono de un candado en la barra de estado, en la parte inferior de su navegador (como sucede con Internet Explorer o Firefox).
Ese icono de un candado significa que el sitio ha obtenido un certificado de seguridad y que utiliza encriptación de datos para facilitar las transacciones seguras.
Pulse en ese icono y verifique la información del certificado.
Asegúrese que el certificado fue otorgado a la página de Internet que aparece actualmente en la barra de dirección del navegador y que no haya expirado.

6. Considere seriamente obtener un programa para protegerlo de la metodología Phishing y falsificación de direcciones IP: puede utilizar los siguientes programas para que lo protejan de esta amenaza:

• Navegador Opera
  Con protección contra Phishing integrada.
  Gratuito aunque con publicidad y pago sin publicidad, disponible en: http://www.opera.com/download/get.pl?id=26712)
  
  
• Navegador Deepnet Explorer
  Con protección contra Phishing integrada.
  Gratuito, disponible en: http://deepnetexplorer.com/DOWNLOAD/DE1410.EXE
  
  
• Barra de herramientas EarthLink
  Gratuita, disponible en: http://csupdate.earthlink.net/win/toolbar/EarthLinkToolbar.exe
  
  
• Barra de herramientas FraudEliminator
  Gratuita, disponible en: http://www.fraudeliminator.com/download.htm
  
  
• Barra de herramientas SpoofStick
  Gratuita, disponible en:
  http://www.corestreet.com/spoofstick
  
  
• Clear Search Anti-Phishing
  Programa de pago, disponible en: http://www.phishing.net

Autoridades para informar casos de Phishing

Federal Trade Commission (FTC) http://www.ftc.gov/bcp/conline/pubs/alerts/phishingalrt.htm http://www.consumer.gov/idtheft/

Internet Fraud Complaint Center (IFCC)
Centro de reclamos de fraude en Internet del FBI http://www.ifccfbi.gov/index.asp

Anti-Phishing Working Group
Grupo de tareas contra Phishing
http://www.antiphishing.org/