Phishing

Presentación Phishing Haritz Sistiaga, Alain Gonzalez

Esquema ¿Qué es el Phishing? Historia del Phishing ¿En que consiste? ¿Como lo realizan? SMS (Mensaje Corto)‏ Llamada telefónica Página Web o Ventana Emergente Correo electrónico Ejemplos Moodle

¿Qué es el Phising? Un tipo de engaño difundido por la Red. Consiste en imitar Correos, Sitios Wen de empresas conocidas. El objetivo es inducir a la gente a que revele números de cuenta, contraseñas, PIN, datos confidenciales... Suplantas las identidades de la gente confiada y apropiarse de sus vienes.

¿Qué es el Phishing? Los más comunes son los bancos, pidiendo verificar contraseñas. No hay casi diferencia entre un Mail original y uno para engañar. Se considera como el nuevo timo de Internet más reciente y problemático.

Historia del Phishing Phishing proviene del Inglés Fishing (pesca), por el acto de pescar usuarios mediante señuelos. Quien lo practica toma el nombre de Fhisher. Tambien se dice que Phishing es la contracción de “ password harvesting fishing”.

Historia del Phishing La primera mención del termino Phishing daba de 1996 en un grupo de noticias de Hackers. El termino Phishing fue tomado por los cracker que intentaban pescar miembros de AOL.

En que consiste Un cracker envía miles o millones de e-mail pidiendo actualizar los datos de la intitución financiera... Correo perfectamente disfrazado como uno original, al igual que el sitio Web al que conduce. El usuario cae, entrega sus datos y el “delincuente” hace pagos online, transferencias...

En que consiste Al cracker no le hace falta saber si todos los destinatarios del los e-mail son clientes de tal o cual institución. Juegan con las probabilidades, les basta con que 2 personas piquen y “ventilarles” todo el dinero. Literalmente el Phishing es salir a pescar.

Como lo realizan Hay varias formas de Phishing Existen más formatos pero estos son los más comunes: SMS (mensaje corto)‏ Llamada telefónica Página Web o ventana emergente Correo electrónico

Como lo realizan (SMS)‏ Recepción de un mensaje corto donde se solicitan sus datos personales Ejemplo: "Esto es una confirmación de que usted se suscribió a nuestro servicio online. Se le facturarán u$s2 por día de su tarjeta de crédito a menos que cancele la orden en www.URLFALSA.com"

Como lo realizan (Llamada telefónica)‏ Se recibe una llamada telefónica en la que el emisor suplanta a una entidad pública y privada para que facilite sus datos privados Un típico ejemplo es la agencia tributaria.

Como lo realizan (Página Web o ventana emergente)‏ La clásica y bastante usada Se simula suplantando visualmente la imagen de una entidad oficial, empresas, etc. pareciendo ser las oficiales. Objetivo principal: que el usuario facilite sus datos privados. La más empleada es la “imitación” de páginas Web de bancos.

Como lo realizan (Correo electrónico)‏ El más usado y conocido por los internautas Solicitan datos personales a los receptores del correo. Los datos de piden por motivos de seguridad, mejora del servicio, encuestas, confirmación de su identidad... El correo puede contener formularios, enlaces falsos, imágenes oficiales...

Como lo realizan (Correo electrónico)‏ Aprobechan las vulnerabilidades de los navegadores y gestores de correos, todo con el objetivo de que el usuario introduzca su información personal y sin saberlo lo envía directamente al estafador, para que este, haga compras online...

Ejemplo de un correo trampa que uiliza una web falsa que simula una entidad bancarea Nuevo ataque fraudulento que afecta a clientes de la entidad La Caixa. Un nuevo intentó de robo de claves bancarias se esta produciendo, en este caso después de analizar el servidor comprobamos que se trata de un kit-phishing que afecta a La Caixa y PayPal posiblemente exista mas directorio fraudulentos. Lo positivo de este ataque, es que no solicitan las claves de la tarjeta de coordenadas de los clientes de La Caixa, pues se reduce de forma considerable el posible robo de dinero. La entidad La Caixa esta alertada y se prevé que el servidor trampa este cerrado lo a ntes posible.

Intento de estafa (La Caixa)‏ - Nuestro nuevo sistema de seguridad le ayudara a evitar frecuentes transacciones de fraude y a guardar sus aportaciones. - A causa de la modernización técnica le aconsejamos a reactivar su cuenta. Haga "click" en la referencia de abajo para entrar y empezar a usar su cuenta renovada. Para entrar en su cuenta, por favor, visite https://www.lacaixa.es/antiestafa.php Metodo para enmascarar la URL -> [url=http://”direccion de la web falsa.com]http://www.lacaixa.es[/url] En caso Ud. tenga preguntas acerca de su relación financiera online, por favor, mándenos un Bank Mail o llámenos. Apreciamos mucho su negocio. Atenderle es un verdadero placer para nosotros.

Intento de estafa (La Caixa)‏ Si se pulsa sobre el enlace nos conduce a un servidor que suplanta la imagen de la entidad bancaria, como podemos observar en la imagen nos solicitan nuestras claves bancarias

Como se crea un servidor phising

¿Como protegerme? Cinco pasos para protegerse No responder a soliicitudes de información personal por correo electrónico Para visitar sitios Web introduce la URL en la barra de direcciones. Asegurarte de que el sitio Web utiliza cifrado. Comunique los posibles delitos relacionados con su información personal a las autoridades competentes.

FTC (Comisión Federal de Comercio)‏ Su misión principal es promover los derechos de los consumidores y la eliminación y prevención de practicas que atentan contra el derecho a la compendencia desleal.

Protección contra Phishing de los nuevos navegadores Firefox 2 bloquea la página y despliega un cuadro de texto donde avisa de una falsificación de sitios. Puede uno averiguar más sobre esta modalidad de fraude, cerrar la página, ignorar la advertencia o reportar que el sitio fue detectado como falso erróneamente.

Protección contra Phishing de los nuevos navegadores Mientras que el Internet Explorer 7 empieza a desplegarla página pero al reconocerla como fraude, avisa con una de sus tradicionales páginas blancas, la cual no debemos confundir con la típica de que no se pudo abrir la página. También tiene las mismas opciones de cerrar la página, continuar visitando el sitio, obtener más información o r eportar una falsa alarma.

Phishing Moodle Nazaret Gracias a Unai (Sartor) hemos copido la entrada de moodle de Nazaret Zentroa y mandamos e-mails a la mayoría de los compañeros de clase. No sé si por no leer el e-mail que mandamos o porque nos se han tragado el engaño pero han sido dos personas las que han picado. Asique cambiar la contraseña.

Video y flash sobre phishing Video sobre el phishing por TVE en youtube: http://www.youtube.com/watch?v=LC5oySBfjII Flash sobre phising: http://descargas.hispasec.com/xss-phishing/phishing_01.htm

Conclusiones Hemos demostrado que es fácil suplantar la identidad de una entidad de confianza. Los usuarios están desprotegidos ante el phishing porque aún no hay mucha información sobre ello. Si eres víctima de phishing, la entidad suplantada no se hace responsable de las consecuencias que puedan ocasionar.

Fuentes http://www.internautas.org/ http://www.microsoft.com/ www.mozilla-europe.org http://www.mouse.cl/ http://es.wikipedia.org/ http://images.google.es/

Phishing

Más contenido relacionado

La actualidad más candente (20)

Similar a Phishing (20)

Último (20)

Phishing