Introduccin a la Computacin

Riesgo Informtico: Phishing

Riesgo Informtico Nueva modalidad a travs de Internet: Phishing

Preparado por Ing. Simn Mario Tenzer, Octubre 20041

La Informtica est en permanente expansin y evolucin. Ms personas acceden a las computadoras, cuyos costos son cada vez menores y sus facilidades de uso mayores. Estos son hechos continuos, y seguirn ocurriendo en el futuro, democratizndose la informtica. La vida de la sociedad se facilita y tambin surgen nuevas formas de delitos, que se expanden tanto o ms rpido que el uso de las computadoras en las organizaciones e individualmente . Por lo tanto, es necesario aprender cada vez ms sobre los avances de los sistemas de informacin, recursos informticos, comercio electrnico y otros aspectos, como as tambin sobre 2 cmo se deben utilizar las computadoras para minimizar los riesgos de todo tipo . A los efectos de aprender sobre un nuevo tipo de riesgo informtico que existe a travs de Internet, el phishing se presentan varios artculos breves. Estos han sido obtenidos de Internet, presentndose la correspondiente direccin (fuente), con mnimas adaptaciones slo con fines docentes. Se invita al lector a consultar Internet, donde hay abundante literatura sobre el tema.3

Indice: 1) Ojo al timo del phishing : define qu es, procedencia del nombre, cmo funciona, un ejemplo ocurrido en Espaa, cmo evitarlo tanto en organizaciones como individualmente.

2) Todo lo que debe saber del Phishing: es un artculo de Microsoft, con cinco pasos o procedimientos para protegerse de este delito.

3) Caso de phishing a clientes del banco Banesto : presenta un ejemplo comprobado.

4) Clientes de Visa Internacional vctimas de "phishing" : presenta otro ejemplo verificado

5) Phishing: fcil y rentable : explica cmo se genera, lista conocidas organizaciones que han sido afectadas, indica lo fcil y rentable que es y finalmente recomienda mantener los ojos bien abiertos y no fiarse de imgenes o trminos tcnicos en un mensaje recibido de e-mail.

Con la colaboracin de Cra. Beatriz Pereyra y dems integrantes de la Ctedra Introduccin a la Computacin. 2 Ver Introduccin a Riesgo Informtico. 3 Tambin ver Internet, una herramienta para los negocios.

Introduccin a la Computacin

Riesgo Informtico: Phishing

1) Estafa por email con la que consiguen tus datos bancarios. Ojo al timo del Phishing!
Fuente: http://www.terra.es/tecnologia/articulo/html/tec11600.htm

2 5- 0 8- 2 0 0 4

Terra - Tecnologa / Ana Bedia Una estafa se est extendiendo en Internet, se trata del timo del Phishing. Los estafadores mandan emails simulando ser un Banco u otra compaa de reconocido prestigio, para luego llevar al usuario a una web falsa y hacerse con el nmero de su tarjeta de crdito u otros datos bancarios. Es una forma de ingeniera social4. Al spyware y al adware5 se les ha unido una nueva amenaza informtica, se trata del Phishing, lo nico que en este caso la informacin que se obtiene es tan personal y tan delicada como los nmeros de las tarjetas de crdito del usuario, contraseas y otros datos financieros que en manos malignas pueden llevar a arruinar a una persona. Se trata de una prctica fraudulenta que est en expansin y la mejor arma para combatirla es estar informado de su existencia y de cmo funciona. El modus operandi de las mentes criminales que realizan este timo se asemeja al del pescador que lanza el anzuelo esperando que algn pez pique. Es decir envan emails masivos hacindose pasar por una reconocida compaa, en la mayora de los casos entidades bancarias o de tarjetas de crdito, y esperan a que alguien muerda el anzuelo.

Qu es el Phishing? El Phishing hace referencia a las actividades criminales que imitan los emails, sitios web, llamadas telefnicas u otras vas de comunicacin de compaas legtimas, para invitar a sus usuarios a proporcionar informacin confidencial como contraseas, nombres de usuario y nmeros de cuenta. Una vez los criminales se hacen con ellos pueden llegar a arruinar al usuario. Procedencia del trmino: El trmino Phishing es un juego fontico acuado por los hackers en el que se ha sustituido la "f" de Fishing, que en espaol significa salir de pesca, por la "ph". Este timo tiene sus orgenes en el ao 1960 cuando la comunidad hacker bautiz como Phone Phreaks, la prctica en la que se defraudaba va telefnica imitando la identidad de usuarios legtimos.

El anzuelo Los mails que envan los ciber delincuentes, con apariencia de nota oficial, informan al usuario de la necesidad de actualizar sus datos o cuentas. En algunas ocasiones el mismo mail contiene un pequeo formulario en el que se pide al usuario que introduzca sus datos financieros. En otras lo que hacen los delincuentes es poner un enlace a una web falsa creada por ellos y con aspecto casi idntico al de la entidad empleada como anzuelo, de tal manera que el usuario no desconfe de ella. Una vez all se pide al 'cliente' que introduzca, como ha hecho otras veces en la web verdadera (la que no ha sido copiada), datos como sus contraseas, nmeros de tarjeta de crdito ste es el momento en el que est perdido. Sus datos ya estn en manos ajenas y listos para ser utilizados con fines delictivos.

Ver texto Internet, una herramienta para los negocios: Ataques a las contraseas con tcnicas de ingeniera social. 5 Ver texto Riesgo Informtico - Spyware, Adware y Popup-

Introduccin a la Computacin

Riesgo Informtico: Phishing

Una estafa que se expande velozmente El Phishing es una estafa que se est extendiendo en la Red y que afecta a muchsimas personas. Ha llegado hasta tal punto que se ha creado una asociacin que lucha contra l, se trata del AntiPhishing Working Group http://www.antiphishing.org/ que lo componen alrededor de 636 miembros.

Esta asociacin asegura, que es tal la propagacin del Phishing, que las actuaciones crecen a un ritmo del 50 por ciento al mes, y que el 5 por ciento de las personas que reciben estos emails pican e introducen sus datos confidenciales. Pero el Phishing no slo se hace mediante el correo electrnico, tambin se denomina as a la estafa telefnica, en la que la persona que llama se hace pasar por empleado de una entidad bancaria o compaa conocida, y engaa al usuario para que le proporcione los datos de su cuenta. Los malhechores no slo copian webs o se hacen pasar por entidades bancarias, el usuario ha de estar alerta ante cualquier peticin de informacin confidencial sea cual sea su procedencia, ya que por ejemplo el sitio de subastas online eBay es uno de los copiados por los ciberdelincuentes para pescar en el mar de Internet.

Fraude superior a los 500.000 euros en Espaa En Espaa hubo un relevante caso de phishing en mayo de 2004. La Guardia Civil desarticul, la 6 'Operacin Phesca' , una red con conexiones en Estados Unidos, Reino Unido, Australia, Nueva Zelanda y Rusia que lleg a defraudar a travs de Internet ms de 500.000 euros. En la Operacin fueron detenidas seis personas (tres rusos, dos estonios y un dominicano). La investigacin se inici a raz de una denuncia presentada por una entidad bancaria, ante el inicio de una campaa indiscriminada de envo de correos electrnicos, que inducan a error a sus clientes de banca electrnica. El objetivo de este ataque era que sus clientes facilitasen los datos de acceso y control de sus cuentas corrientes y de esta forma poder ser utilizados por los miembros de la red para sus operaciones. Cmo evitarlo La forma ms infalible de prevenir el Phishing, como otras muchas amenazas de la Red, es estar informado de su existencia, ya que no existen programas que lo eliminen totalmente. Las entidades financieras ya informan a sus clientes de que ellos nunca pedirn que se les proporcionen datos confidenciales por estos medios (va email o telefnicamente). Utiles son las recomendaciones de la compaa de seguridad informtica MacAfee , publicadas recientemente bajo el ttulo "Anti-Phishing: buenas prcticas para instituciones y usuarios".

http://www.guardiacivil.es/prensa/notas/noticia.jsp?idnoticia=1519

Introduccin a la Computacin

Riesgo Informtico: Phishing

Consejos a entidades A las instituciones les recomienda: 1) crear polticas corporativas que sean comunicadas a los clientes, para que el contenido de un correo electrnico no lleve a error al usuario y confunda un mensaje legtimo con uno fraudulento, 2) insertar informacin de autenticacin en todo mensaje de correo electrnico que enva a los consumidores, 3) si las instituciones no pidieran que sus clientes escribieran datos confidenciales, como sus nmeros de tarjeta de crdito, para acceder a sus sitios web, sera ms difcil que los estafadores pudieran actuar y 4) recomienda aplicar un buen antivirus con filtros y soluciones antispam.

Consejos a consumidores Para los usuarios particulares, McAfee sugiere bloquear automticamente los mensajes de correo electrnico maliciosos o fraudulentos (teniendo en cuenta que el software anti spam puede ayudar a filtrar esos mensajes como correo no deseado). Tambin aconseja borrar automticamente programas maliciosos, como podran ser los spyware7, y bloquear automticamente el envo de informacin importante a terceros con intenciones maliciosas. Recomienda al consumidor que sea precavido, y que si duda de la legitimidad de un mensaje, llame a compaa que figure en el correo para verificar su autenticidad.

2) Todo lo que debe saber acerca del "phishing"

Fuente: http://www.microsoft.com/latam/seguridad/hogar/spam/phishing.mspx

Publicado: 27/05/04

Si crea que su buzn estaba seguro, recuerde que hay una nueva fo rma de correo no deseado al acecho. Este tipo de correo basura no slo es inesperado y molesto, sino que tambin facilita el robo de sus nmeros de tarjetas de crdito, contraseas, informacin de cuentas y otra informacin personal.

Qu es el "phishing"? El "phishing" es una modalidad de estafa diseada con la finalidad de robarle la identidad. El delito consiste en obtener informacin tal como nmeros de tarjetas de crdito, contraseas, informacin de cuentas u otros datos personales por medio de engaos. Este tipo de fraude se recibe habitualmente a travs de mensajes de correo electrnico o de ventanas emergentes. Cmo funciona el "phishing"? En esta modalidad de fraude, el usuario malintencionado enva millones de mensajes falsos que parecen prove nir de sitios Web reconocidos o de su confianza, como su banco o la empresa de su tarjeta de crdito. Dado que los mensajes y los sitios Web que envan estos usuarios parecen oficiales, logran engaar a muchas personas hacindoles creer que son legtimos. La gente confiada normalmente responde a estas solicitudes de correo electrnico con sus nmeros de tarjeta de crdito, contraseas, informacin de cuentas u otros datos personales. Para que estos mensajes parezcan aun ms reales, el estafador suele incluir un vnculo falso que parece dirigir al sitio Web legtimo, pero en realidad lleva a un sitio falso o incluso a una ventana emergente que tiene exactamente el mismo aspecto que el sitio Web oficial. Estas copias se denominan "sitios Web piratas". Una vez que el usuario est en uno de estos sitios Web, introduce informacin personal sin saber que se transmitir directamente al delincuente, que la utilizar para realizar compras, solicitar una nueva tarjeta de crdito o robar su identidad.
7

Ver texto Riesgo informtico - Spyware, Adware y Popup.

Introduccin a la Computacin

Riesgo Informtico: Phishing

Procedimientos para protegerse del "phishing" Al igual que en el mundo fsico, los estafadores continan desarrollando nuevas y ms siniestras formas de engaar a travs de Internet. Si sigue estos cinco sencillos pasos podr protegerse y preservar la privacidad de su informacin. 1. Nunca responda a solicitudes de informacin personal a travs de correo electrnico. Si tiene alguna duda, pngase en contacto con la entidad que supuestamente le ha enviado el mensaje. Para visitar sitios Web, introduzca la direccin URL en la barra de direcciones. Asegrese de que el sitio Web utiliza cifrado. Consulte frecuentemente los saldos bancarios y de sus tarjetas de crdito. Comunique los posibles delitos relacionados con su informacin personal a las autoridades competentes.

2. 3. 4. 5.

Paso 1: Nunca responda a solicitudes de informacin personal a travs de correo electrnico Microsoft y las empresas de prestigio supuestamente nunca solicitan contraseas, nmeros de tarjeta de crdito u otro tipo de informacin personal por correo electrnico. Si recibe un mensaje que le solicita este tipo de informacin, no responda. Si piensa que el mensaje es legtimo, comunquese con la empresa por telfono o a travs de su sitio Web para confirmar la informacin recibida. Consulte el Paso 2 para obtener informacin sobre las prcticas ms adecuadas para acceder a un sitio Web si cree que ha sido vctima de una maniobra de "phishing". Para obtener una lista de ejemplos de correo electrnico de "phishing" conocidos visite http://www.antiphishing.org/phishing_archive.htm

Paso 2: para visitar sitios Web, introduzca la direccin URL en la barra de direcciones Si sospecha de la legitimidad de un mensaje de correo electrnico de la empresa de su tarjeta de crdito, banco o servicio de pagos electrnicos, no siga los enlaces que lo llevarn al sitio Web desde el que se envi el mensaje. Estos enlaces pueden conducirlo a un sitio falso que enviar toda la informacin ingresada al estafador que lo ha creado. Si utiliza Windows como sistema operativo: Aunque la barra de direcciones muestre la direccin correcta, no se arriesgue a que lo engaen. Los piratas conocen muchas formas para mostrar una direccin URL falsa en la barra de direcciones del navegador. Las nuevas versiones de Internet Explorer hacen ms difcil falsificar la barra de direcciones, por lo que es una buena idea visitar 8 Windows Update regularmente y actualizar su software. Si cree que podra olvidarse o prefiere que la instalacin se realice sin su intervencin, puede configurar la computadora para que realice actualizaciones automticas.

Paso 3: asegrese de que el sitio Web utiliza cifrado Si no se puede confiar en un sitio Web por su barra de direcciones, cmo se sabe que ser seguro? Existen varias formas: En primer lugar, antes de ingresar cualquier tipo de informacin personal, compruebe si el sitio Web utiliza cifrado para transmitir la informacin personal. En Internet Explorer puede comprobarlo con el icono de color amarillo situado en la barra de estado, tal como se muestra en la figura adjunta. Icono de candado de sitio seguro. Si el candado est cerrado, el sitio utiliza cifrado.

http://windowsupdate.microsoft.com/

Introduccin a la Computacin

Riesgo Informtico: Phishing

Este smbolo significa que el sitio Web utiliza cifrado para proteger la informacin personal que introduzca: nmeros de tarjetas de crdito, nmero de la seguridad social o detalles de pagos. Haga doble clic sobre el icono del candado para ver el certificado de seguridad del sitio. El nombre que aparece a continuacin de Enviado a debe coincidir con el del sitio en el que se encuentra. Si el nombre es diferente, puede que se encuentre en un sitio falso. Si no est seguro de la legitimidad de un certificado, no introduzca ninguna informacin personal. Sea prudente y abandone el sitio Web. Para conocer otras formas de determinar si un sitio es seguro, consulte 9 Seguridad de datos en Internet Explorer.

Paso 4: consulte frecuentemente los saldos bancarios y de sus tarjetas de crdito Incluso si sigue los tres pasos anteriores, puede convertirse en vctima de las usurpaciones de identidad. Si consulta sus saldos bancarios y de sus tarjetas de crdito al menos una vez al mes, podr sorprender al estafador y detenerlo antes de que provoque daos significativos.

Paso 5: comunique los posibles delitos relacionados con su informacin personal a las autoridades competentes Si cree que ha sido vctima de "phishing", proceda del siguiente modo: Informe inmediatamente del fraude a la empresa afectada. Si no est seguro de cmo comunicarse con la empresa, visite su sitio Web para obtener la informacin de contacto adecuada. Algunas empresas tienen una direccin de correo electrnico especial para informar de este tipo de delitos. Recuerde que no debe seguir ningn vnculo que se ofrezca en el correo electrnico recibido. Debe introducir la direccin del sitio Web conocida de la compaa directamente en la barra de direcciones del navegador de Internet. Proporcione los detalles del estafador, como los mensajes recibidos, a la autoridad 10 competente a travs del Centro de denuncias de fraude en Internet . Este centro trabaja en todo el mundo en colaboracin con las autoridades legales para clausurar con celeridad los sitios Web fraudulentos e identificar a los responsables del fraude.

10

h ttp://www.microsoft.com/windows/ie/using/articles/browsingsafety.mspx El sitio est en ingls.

http://www.ifccfbi.gov/index.asp

Introduccin a la Computacin

Riesgo Informtico: Phishing

Si cree que su informacin personal ha sido robada o puesta en peligro, tambin debe comunicarlo a la FTC (Federal Trade Commisssion) http://www.ftc.gov/ y visitar el sitio Web de robo de identidades de la FTC http://www.consumer.gov/idtheft/ para saber cmo minimizar los daos. La pgina principal se despliega en ingls o en espaol. Algunas otras tambin, as como documentos .PDF como ser cmo hacer la declaracin jurada de robo de identidad (7 pgs.)

3) Caso de 'phishing' a clientes del banco Banesto

Fuente: http://www.hispasec.com/unaaldia/2163 Bernardo Quintero, bernardo@hispasec.com

25/09/2004

Se ha detectado en la fecha del ttulo un envo masivo e indiscriminado de e-mails simulando ser un mensaje de Banesto. El mensaje solicita a los clientes se dirijan a una direccin del sitio web de Banesto para reactivar la cuenta con un nuevo sistema de seguridad que evitar las estafas. El remite falso del mensaje aparece con el nombre de "Banesto Banca" con direccin <serv.atension@banesto.es>, y en el campo de asunto el texto "Banesto Banca:Estimado cliente!". El cuerpo del e -mail, en formato HTML, incluye una cabecera grfica con el logotipo y elementos grficos de la imagen corporativa de Banesto, en un intento de hacer ms creble el engao. Sin embargo, en la redaccin del texto del mensaje pueden observarse varias faltas de ortografas e incoherencias, no propias de un comunicado serio de cualquier entidad, y que deben hacer sospechar a los usuarios. Este extremo tambin apuntara al origen extranjero de la estafa. En cuanto al apartado tcnico, todos los elementos grficos del mensaje son descargados desde el servidor http://www.tedfahn.com/, donde tambin pueden encontrarse numerosos logs de otros ataques. El formulario falso, donde se solicita al cliente de Banesto sus datos, se encuentra hospedado en el servidor http://www.fischers.nu/ En ambos casos es ms que probable que se traten de servidores webs legtimos que han sido comprometidos y utilizados por los atacantes para llevar a cabo la estafa. En el mensaje la URL de la web de Banesto aparece a simple vista correctamente escrita, en un grfico, que al ser pinchado redirige realmente a la web http://www.fischers.nu/ donde se encuentra el formulario falso.

Introduccin a la Computacin

Riesgo Informtico: Phishing

11

El enlace que utilizan internamente para la falsificacin se encuentra ofuscado HTML como: [* http: //extranet.banesto.es.npage.loginParticulares.htm%01 @www.%66%69%73%63%68%65%72%73%2E%6E%75 *]

en el cdigo

Con este formato los atacantes intentan aprovechar una vulnerabilidad de Internet Explorer para que el usuario visualice una URL concreta en la barra de direcciones, cuando en realidad est visitando un sitio web diferente. Esta vulnerabilidad ya fue corregida en un parche de Microsoft en febrero de este ao, y los usuarios con Internet Explorer actualizado no se encuentran afectados ni podrn ser vctimas de la estafa en esta ocasin. Recordamos a los usuarios que en ningn caso deben utilizar enlaces a los sitios web de banca electrnica que provengan de mensajes, mecanismo habitual de los ataques "phishing", as como la necesidad de mantener su sistema puntualmente actualizado.

4) Clientes de Visa Internacional vctimas de "phishing"

http://www.vsantivirus.com/ev-phishing-visa.htm VSantivirus No. 1268 Ao 8

27/12/2003

Una nueva modalidad de estafa con mensajes y sitios web falsificados, est atacando esta vez a usuarios de la popular tarjeta de crdito Visa, una de las ms utilizadas para transacciones va Internet. El falso sitio est especialmente diseado para obtener los nmeros de cuenta de cliente y sus nmeros personales de identificacin (PIN, etc.). Es notorio el aumento de este tipo de estafas, y los expertos prevn un aumento cuantitativo para el 2004. Una de las razones, es que las recientes fallas detectadas en navegadores de Internet como Internet Explorer y otros, permite utilizar tcnicas de engaos ms difciles de identificar como falsas. En el caso de esta estafa a usuarios de tarjetas Visa, no se han hecho pblicos an comentarios de Visa Internacional, a pesar de haber sido consultada. El mensaje que se distribuye como spam, simula ser enviado por Visa Internacional, y reclaman que la compaa ha aplicado un nuevo sistema de seguridad para evitar las posibles acciones de fraude. Por ello, le pide al usuario que pinche en un enlace en el mismo mensaje, para reactivar su cuenta. La estafa ha sido advertida primero en "Full-Disclosure", una lista frecuentada por expertos de seguridad. El mensaje contiene un enlace a un sitio Web que simula llevar al usuario al sitio "www.visa.com", el sitio oficial de Visa Internacional. Sin embargo, examinando el cdigo fuente del mensaje, se puede identificar que la conexin es redirigida a una pgina web de una direccin de Internet que no pertenece a Visa. Aunque actualmente el sitio ha sido desactivado, esto debe servir de advertencia ante situaciones similares, que seguramente no tardarn en repetirse. En el pasado reciente, clientes de BBVAnet, Citibank, Wells Fargo y otros han sido vctimas de estafas semejantes. Segn algunas compaas de seguridad, en periodos de fiestas y vacaciones, como stas, este tipo de estafas puede aumentar en un 400 por ciento respecto al resto del ao. Slo en 60 das, se han detectado 90 mensajes que utilizan algn tipo de spam. Eso incluye los ya clsicos con estafas al estilo nigeriano (alguien desea utilizar nuestra cuenta bancaria para transferir millones de dlares de un pas africano o del oriente medio), o grandes premios en loteras forneas (que nos pide un "pequeo" adelante de 100 a 300 euros "por gastos de envo"). Muchos de esos mensajes se valen de tcnicas de phishing para obligar al usuario a ingresar sus datos en un sitio o formulario que se asemeja al original. En ningn momento debemos aceptar ingresar datos en sitios a los que nos conduce un enlace en un correo electrnico.

11

El trmino ofuscado es el correcto, dado que NO est ocultado, sino trastornando la idea original, turbando la vista.

Introduccin a la Computacin

Riesgo Informtico: Phishing

5) Phishing: fcil y rentable Fuente: http://www.lcu.com.ar/phishing.php

Sergio de los Santos

Phishing:Qu? Pedir los datos? As de simple? Pues s, prcticamente. Se prepara un correo HTML, con algunas imgenes robadas (botn derecho, salvar como...) de la web de un banco y se enva un correo con las cabeceras cambiadas (por ejemplo info@banco.es) explicando que para adaptar los datos de sus clientes y ofrecer un mejor servicio, se est realizando una confirmacin de la informacin relativa al usuario almacenada en sus bases de datos, lo que requiere confirmacin expresa del cliente, que debe pulsar sobre un enlace e introducir en l su nombre de usuario y contrasea. Opcionalmente su nmero de la seguridad social y tarjeta de crdito. Todo esto con un lenguaje ms o menos correcto y unos bonitos colorines. (Lo que habitualmente se llama, web spoofing pero traducida al correo). El enlace sobre el que pulsa el confiado usuario, por supuesto, no es ms que un servidor web de los malvados estafadores, que quizs han alquilado un dominio relativamente parecido a la firma a la que pretenden suplantar, por ejemplo http://w3.grupobbvanet.com/. Este ejemplo claro se dio en Espaa durante todo Mayo de 2003, se intent (y nadie sabe cuntos picaran) cometer un fraude entre los clientes del banco BBVA. Consista en enviar indiscriminadamente correos que simulaban proceder de BBVA en el que se les peda introducir sus contraseas en el formulario de un servidor, para poder acceder a ciertos servicios. La web donde introducan las claves resultaba ser asombrosamente parecida a la original. La pgina, en realidad, estaba alojada en uno de los miles de sitios web que ofrecen espacio gratuito o de pago, y permite la posesin de un subdominio, que en este caso, haban aprovechado los estafadores para denominarlo "grupobbvanet", en un intento de despiste y aparentar pertenecer a uno de los servidores oficiales de BBVA que, por supuesto, nada tiene que ver con ellos. En E.E.U.U., los clientes de Ebay, Halyfax, Lloyds, FirstUnion, PayPal y muchos otros grandes han sido vctimas de este tipo de engaos. Ya se sabe, la buena fe del Hombre (y la Mujer), (y en especial los americano/as, pues son los que ms pican en estafas digitales) hacen posible todo este tipo de basura ciberntica. El caso del grupo BBVA ha sido de los pocos detectados en Espaa, pero se ha podido detectar la insistencia de sus creadores, (enviaron varias "oleadas" de correos) imitadores de una moda que en E.E.U.U. lleva ya aos practicndose. Y esto es rentable? Que se lo pregunten a un tal K enneth (slo un apodo), que con 22 aos se jacta de haber estafado, junto a un compaero, cientos de miles de dlares. Confes haberse enganchado a las estafas especializndose en usuarios de eBay. Enviaba estos correos a unas 1000 personas un da, afirmando que su cuenta iba a caducar, y necesitaba confirmar los datos. Al siguiente obtena unas 200 respuestas, que se traducan en el nombre y contrasea de 200 usuarios reconocidos de eBay. U na vez poda hacerse pasar por alguno de ellos, muchos reputados usuarios del servicio de subastas, elega a algn otro usuario enzarzado en alguna interesante apuesta, y se diriga a l personalmente a travs del sistema de mensajera privada de eBay ofrecindole un precio inigualable por el mismo artculo por el que pujaba, pero sin los riesgos propios de la subasta. Muchos, revisando los histricos de la identidad robada que le ofreca tal chollo, comprobaban que hasta ahora, haba mantenido una actitud irreprochable, y no constaba que dejara sin pagar ningn artculo adquirido. De esta manera, el tal Kenneth ganaba la confianza del estafado, e inventaba mil frmulas para que pagara por adelantado, a travs de una transferencia bancaria a la que nunca res ponda. Si el incauto se resista a realizar grandes pagos a travs de transferencia, Kenneth argumentaba rpidamente que, si quera ms seguridad, poda realizar el traspaso a travs de una agencia que ofreca su servicio va web. As engaaba una vez ms a los pobres usuarios, que insertaban su nmero de tarjeta de crdito en una pgina inventada y fabricada por el propio Kenneth. En realidad, no era tan sencillo, grandes dosis de ingeniera social eran necesarias para crear algn tipo de complicidad con sus vctimas y hacerles picar el anzuelo. Les hablaba del miedo a ser estafado l mismo, se ofenda ante las acusaciones o sospechas de posible estafa, trataba de dar la mayor pena posible, mostrndose necesitado del dinero, desesperado por vender el producto anunciado en eBay, con el fin de destinarlo a la mejor causa humanitaria del mundo.

Introduccin a la Computacin

Riesgo Informtico: Phishing

Y es que, cada vez menos, son necesarias grandes dosis de conocimientos tcnicos para hacerse con una contrasea. Un poco de conocimientos de HTML para construir un correo que se hace pasar por el de otra empresa, un programa para enviar correos masivos que cambie las cabeceras, y sobre todo, mucha jerga fatalista, o en cualquier otro tono posible pero ms que nada, creble, es lo nico necesario para llevar a cabo e ste plan. Salir de pesca en Internet, en busca de incautos a los que no les importe en absoluto rellenar un par de cuadros de dilogo con su contrasea, algo equivalente a declarar ante cualquier desconocido nuestra clave personal. Ya he indicado en muchos artculos que la desconfianza es la base de la seguridad, y nunca se debe proporcionar la clave o ningn otro dato confidencial a nadie, ni por telfono ni por Internet. Ninguna empresa seria nos la pedir, y en el caso de desastre o causa mayor, nos la modificar y comunicar personalmente, pero jams nos pedir que rellenemos un recuadro con nuestros datos para confirmar o para asegurar nada. A nivel personal nos queda mantener los ojos bien abiertos, y no fiarnos de un par de imgenes o palabras tcnicas en un correo, que no garantizan en absoluto la autora del mismo. A nivel organizacional es prioritaria la administracin y el anlisis de riesgo informtico, apropiado 12 a las caractersticas de cada institucin o empresa.

12

Ver texto Introduccin al Riesgo Informtico.

10