Documente Academic
Documente Profesional
Documente Cultură
VII A
SEGURIDAD INFORMTICA
PROYECTO - PHISHING
REALIZADO POR:
JORGE ARUN ZAMBRANO CEDEO
JOS ANTONIO SORNOZA HENRIQUEZ
DOCENTE:
ING. JORGE VELOZ
DEDICATORIA
Dedicamos este trabajo de investigativo a todas las personas que no tienen ningn
conocimiento sobre las vulnerabilidades a las que estn expuestas toda su informacin
con el fin de hacer conciencia y buscar mtodos de cmo proteger su informacin.
Adems a nuestro docente el Ing. Jorge Veloz y a todos los que conforman la Universidad
Tcnica de Manab.
Los autores
AGRADECIMIENTO
Ante todo le agradecemos a Dios, por permitirnos realizar este trabajo de investigacin,
tambin a nuestros padres por brindarnos todo el apoyo necesario a lo largo de nuestras
vidas.
Este trabajo de investigacin es el resultado del esfuerzo conjunto de todos los que
formamos el grupo de trabajo. Los autores del presente trabajo de investigacin dejan
constancia de su agradecimiento a cada una de las personas que brindaron su apoyo
durante el desarrollo de la misma.
Al Ing. Jorge Veloz por sus consejos y conocimientos brindados durante el presente
periodo de clases, finalmente un eterno agradecimiento a esta prestigiosa Universidad la
cual abre sus puertas a jvenes como nosotros, preparndonos para un futuro competitivo
y formndonos como personas de bien.
Gracias.
Los autores.
RESUMEN
Los avances tecnolgicos que se han generado a travs de la informtica han causado un
gran impacto social en las instituciones pblicas y privadas; adems de los diferentes
ataques y fraudes cometidos por delincuentes informticos con respecto a Seguridad
informtica ms concretamente Ingeniera social: Phishing, un tema que tiene gran
auge en la actualidad por la incidencia en la red y las consecuencias negativas que
ha presentado sobre los usuarios de los diferentes entidades.
Finalmente se presentan a los usuarios del Internet unos tips generales de cmo evitar y
como denunciar este tipo de fraudes.
OBJETIVOS
OBJETIVO GENERAL
OBJETIVOS ESPECFICOS
Definir estrategias, basados en las polticas de seguridad de la organizacin, que
permitan a los usuarios del sitio verificar fcilmente que la pgina a la que estn
conectados es autntica.
Realizar la clonacin de la pgina que va hacer atacada teniendo en cuenta cada
detalle para que el usuario acceda sin ningn problema.
Elaborar la documentacin respectiva detallando como se realiz el proceso del
ataque PHISHING.
TEMA
Desarrollo de un ataque PHISHING para determinar las vulnerabilidades a las que se
encuentran expuestos nuestra informacin personal en la red y permitir que los usuarios
de Internet detecten cuando son vctimas de ataques de phishing, con el fin de evitar
captura de informacin.
JUSTIFICACIN
Cada da son ms comunes los ataques informticos basados en la Ingeniera Social.
Estos se caracterizan por explotar la confianza de los usuarios con el fin de tener acceso
a informacin confidencial. Entre ellos se destaca el phishing, el cual consiste en orientar
al usuario para que ingrese a una pgina falsa, generalmente asociada con una
entidad financiera, y obtener informacin privilegiada.
Con base en las experiencias relatadas por los usuarios acerca del impacto que tiene la
Ingeniera Social, se hace necesario definir estrategias de contingencia mediante el
profundo conocimiento de las polticas de seguridad que manejan las organizaciones, con
el fin de evitar el constante fraude al que los usuarios son expuestos da a da.
Este trabajo de investigacin se basa en realizar un ataque a una determinada institucin
con el fin de identificar las vulnerabilidades a las que se encuentran expuestas nuestra
informacin personal en la red, y poder as concientizar a las personas de los peligros de
la web si no sabemos cmo utilizarlas o como proteger nuestras informacin.
INTRODUCCION
Desde el principio de los tiempos, el ser humano ha evolucionado radicalmente
cambiando su estilo de vida. Las personas tomamos decisiones basados en las
experiencias cotidianas y, en algunos casos, slo se hace uso de la intuicin.
Uno de los mayores inventos en el campo de la tecnologa, y que parti la historia del
hombre en dos, es la del Internet. A partir del momento en el cual sta se abri al
mundo entero, la forma de hacerse las cosas cambiaron. Por ejemplo, antes de la
aparicin de Internet, todas las tareas del colegio se hacan buscando en una enciclopedia
y se sacaba de all toda la informacin que se necesitaba. Ahora con solo dar un
clic, se obtiene la informacin deseada; pueden ser noticias, biografas, y muchas otras
cosas. Tambin es importante tener en cuenta, que Internet no solo se usa para informarse
sino que tambin para realizar cualquier tipo de diligencia.
Actualmente, el tema del hurto en Internet est muy de moda, ya que ste es el medio
ms rpido y sencillo que los ladrones tienen para realizar robos con una probabilidad
muy baja de que sean descubiertos.
En este punto, se introducen entonces, dos trminos. El primero hace referencia a la
manipulacin de las personas mediante tcnicas de persuasin, tambin conocidas
actualmente como Ingeniera social. ste es importante que sea mencionado, ya que
con su uso las personas han sido vctimas de ataques de hurto de informacin personal. Y
el segundo trmino, es una aplicacin especfica de la Ingeniera social y es una de las
palabras ms sonada del momento El phishing. sta es una modalidad de robo que
surgi gracias a la buena acogida que ha tenido el comercio electrnico actualmente. El
phishing consiste, en el hurto de la informacin personal de alguien, mientras que ste
navega en Internet sin que se d por enterado. ste proceso de robo lo realizan los ladrones
o phishers en el ciberespacio.
El fraude mediante el uso del correo electrnico, hace parte de la modalidad de phishing.
ste consiste en que el atacante enva un correo electrnico a su vctima, solicitndole
que ingrese datos personales como: cdula, nmero de cuenta, tarjeta de crdito, entre
otros. Entonces el usuario, sin darse cuenta de que la fuente del correo no es autntica,
realiza el ingreso de datos dando clic sobre un link que lo lleva a una pgina de Internet
que ha sido diseada de manera que el usuario crea que la conoce y que aparentemente
es segura. El problema se da, porque en realidad esta pgina es una imitacin del
sitio original, o sea que all el usuario est siendo vctima de phishing sin saber.
El gran reto que existe hoy en da tanto para los navegantes de Internet como para los
programadores es la seguridad. Por lo tanto, hay que informarse ms de lo que est
ocurriendo a nuestro alrededor y as conocer que es lo que los crackers o hackers
estn planeando desarrollar para poder contrarrestar sus efectos
MARCO TERICO
Qu es el Phishing?
El termino Phishing es utilizado para referirse a uno de los mtodos ms utilizados
por delincuentes cibernticos para estafar y obtener informacin confidencial de forma
fraudulenta como puede ser una contrasea o informacin detallada sobre tarjetas de
crdito u otra informacin bancaria de la vctima.1
El "Phishing" es una modalidad de estafa con el objetivo de intentar obtener de un usuario
sus datos, claves, cuentas bancarias, nmeros de tarjeta de crdito, identidades, etc.
Resumiendo "todos los datos posibles" para luego ser usados de forma fraudulenta.
En qu consiste?
Se puede resumir de forma fcil, engaando al posible estafado, "suplantando la imagen
de una empresa o entidad pblica", de esta manera hacen "creer" a la posible vctima que
realmente los datos solicitados proceden del sitio "Oficial" cuando en realidad no lo es.
Origen de la palabra
Como es mencionado en los textos bibliogrficos La palabra Phishing proviene de la
palabra en ingls fishing (pesca). Si nos detenemos a pensar un poco, podremos
afirmar que la palabra pesca es utiliza ya que el phishing es una pesca de informacin que
realizan los hackers en Internet para poder robar informacin a los cibernautas de sus
cuentas bancarias.
Haciendo la comparacin entre la pesca en general y el phishing, encontramos que en la
pesca se usa una carnada para poner en el anzuelo y con esta atrapar los pescados. En
el phishing tambin se usa una carnada y se pone en un anzuelo. Para este caso el
anzuelo sera la bandeja de entrada de los correos electrnicos de los cibernautas y
la carnada sera un e-mail enviado aparentemente por una entidad financiera. As
entonces, las personas al revisar sus cuentas de correo y encontrar un e-mail de alguna
entidad financiera donde ellos tienen cuenta, morderan el anzuelo y revelaran su
informacin personal.
Historia del Phishing
Quienes comenzaron a hacer phishing en AOL durante los aos 1990 solan obtener
cuentas para usar los servicios de esa compaa a travs de nmeros de tarjetas de crdito
vlidos, generados utilizando algoritmos para tal efecto. Estas cuentas de acceso a AOL
podan durar semanas e incluso meses. En 1995 AOL tom medidas para prevenir este
uso fraudulento de sus servicios, de modo que los crackers recurrieron al phishing para
obtener cuentas legtimas en AOL.
El phishing tu jeta es mi silln en AOL estaba estrechamente relacionado con la
comunidad de warez que intercambiaba software falsificado. Un cracker se haca pasar
1
http://blog.elhacker.net/2014/01/phishing-en-2014-ejemplo-practico-facebook.html
http://dictionary.oed.com/cgi/entry/30004303/
3
4
http://www.elpelao.com/3831.html
http://ip-com.blogspot.com/2006_07_01_archive.html
software de seguridad que est muy bien probado y la implantacin del mismo ha sido
exitosa. A pesar de lo anterior estas empresas no se libran de los ataques de phishing.
Por otro lado hay que tener en cuenta que el sistema operativo del navegador tiene
mucho que ver a la hora de hablar de phishing. Esto se debe a que los hackers
constantemente estn documentndose e informndose para crear ataques ms
potentes y as encuentran debilidades o vulnerabilidades del software que se puedan
explotar5
Cmo lo realizan?
El Phishing puede producirse de varias formas, desde un simple mensaje a su telfono
mvil, una llamada telefnica, una web que simula una entidad, una ventana emergente,
y la ms usada y conocida por los internautas, la recepcin de un correo electrnico.
Pueden existir ms formatos pero en estos momentos solo mencionamos los ms
comunes:
SMS (mensaje corto); La recepcin de un mensaje donde le solicitan sus datos
personales.
Llamada telefnica; Pueden recibir una llamada telefnica en la que el emisor
suplanta a una entidad privada o pblica para que usted le facilite datos privados.
Un ejemplo claro es el producido estos das con la Agencia Tributaria, sta
advirti de que algunas personas estn llamando en su nombre a los
contribuyentes para pedirles datos, como su cuenta corriente, que luego utilizan
para hacerles cargos monetarios.
Pgina web o ventana emergente; es muy clsica y bastante usada. En ella se
simula suplantando visualmente la imagen de una entidad oficial, empresas, etc.
pareciendo ser las oficiales. El objeto principal es que el usuario facilite sus datos
privados. La ms empleada es la "imitacin" de pginas web de bancos, siendo el
parecido casi idntico pero no oficial. Tampoco olvidamos sitios web falsos con
seuelos llamativos, en los cuales se ofrecen ofertas irreales y donde el usuario
novel facilita todos sus datos, un ejemplo fue el descubierto por la Asociacin de
Internautas y denunciado a las fuerzas del Estado: Web-Trampa de recargas de
mviles creada para robar datos bancarios.
Correo electrnico, el ms usado y ms conocido por los internautas. El
procedimiento es la recepcin de un correo electrnico donde SIMULAN a la
entidad u organismo que quieren suplantar para obtener datos del usuario novel.
Los datos son solicitados supuestamente por motivos de seguridad,
mantenimiento de la entidad, mejorar su servicio, encuestas, confirmacin de su
identidad o cualquier excusa, para que usted facilite cualquier dato. El correo
puede contener formularios, enlaces falsos, textos originales, imgenes oficiales,
etc., todo para que visualmente sea idntica al sitio web original. Tambin
aprovechan vulnerabilidades de navegadores y gestores de correos, todo con el
nico objetivo de que el usuario introduzca su informacin personal y sin saberlo
lo enva directamente al estafador, para que luego pueda utilizarlos de forma
fraudulenta: robo de su dinero, realizar compras, etc.6
5
6
http://www.laflecha.net/canales/seguridad/200607131/
http://seguridad.internautas.org/html/451.html
Search Engine Phishing: Los phishers crean buscadores para redireccionarte a los sitios
fraudulentos7
Cmo protegerme?
La forma ms segura para estar tranquilo y no ser estafado, es que NUNCA responda a
NINGUNA solicitud de informacin personal a travs de correo electrnico, llamada
telefnica o mensaje corto (SMS).
Las entidades u organismos NUNCA le solicitan contraseas, nmeros de tarjeta de
crdito o cualquier informacin personal por correo electrnico, por telfono o SMS.
Ellos ya tienen sus datos, en todo caso es usted el que los puede solicitar por olvido o
prdida y ellos se lo facilitarn. Ellos NUNCA se lo van a solicitar porque ya los tienen,
es de sentido comn.
Para visitar sitios Web, teclee la direccin URL en la barra de direcciones. NUNCA POR
ENLACES PROCEDENTES DE CUALQUIER SITIO. Las entidades bancarias
contienen certificados de seguridad y cifrados seguros NO TENGA MIEDO al uso de la
banca por internet.
Ataques recientes
En general, los ltimos ataques de phishing han sido reportados desde pginas de
Internet habilitadas para realizar pagos y por clientes de entidades financieras.
Tambin se ha encontrado que ltimamente pginas de carcter social han sido vctimas
de ataques de phishing debido al gran contenido de informacin personal de diferentes
personas que frecuentan el sitio13. Algunos experimentos han otorgado una tasa de xito
de un 90% en ataques.
Un ejemplo muy peculiar se dio a finales del ao 2006, en el cual un gusano
informtico tomo posesin de varias de las pginas de MySpace, un sitio muy conocido
y de gran concurrencia. Los phishers lograron hacer que los enlaces de ste sitio Web se
dirigieran a otra pgina diferente pero con una apariencia igual o muy similar a la original.
Lavado de dinero producto del phishing
Otra forma de realizar el phishing indirectamente siendo mula. Este trmino se le da
aquella persona que participa en los ataques de phishing muchas veces sin tener
conocimiento. Un ejemplo de esto y que se ha dado a conocer en estos das, es el del
sinnmero de ofertas que a diario vemos por ah solicitando personas para trabajar desde
la comodidad de su casa. Para poder ser contratado en este tipo de trabajos es necesario
llenar un formulario en el cual piden varios datos personales, entre ellos nmeros de
cuentas bancarias; con esta informacin es que los phishers se basan para realizar sus
ataques.
stos lo que hacen, es consignar la plata obtenida en alguno de sus ataques en las
cuentas de estos trabajadores y as en caso de ser descubiertos no podrn ser
7
http://blog.elhacker.net/2014/01/phishing-en-2014-ejemplo-practico-facebook.html
Cmo lo denuncio?
Cuando usted sea vctima de este tipo de intento de estafa informe a las autoridades
competentes, la Asociacin de Internautas cre hace varios meses un conducto a travs
del cual los internautas pueden denunciar los correos que simulan ser entidades bancarias,
web falsas o cualquier tipo de estafa por medio del uso de Phishing en internet.
Para ello solo tiene que mandar un correo a phishing@internautas.org adjuntando el
mail recibido o la web que intenta el robo de datos. Nosotros lo denunciamos a la empresa
u organismo afectado y avisamos a las fuerzas del Estado.
El propsito de la Asociacin de Internautas es evitar y erradicar de una vez los posibles
intentos de estafas realizado mediante el uso de phishing.8
http://blog.elhacker.net/2014/01/phishing-en-2014-ejemplo-practico-facebook.html
2. Una vez que se ingresa a la pgina damos clic en crear cuenta, lo cual nos lleva a un
formulario para llenar con nuestra informacin.
3. Una vez registrados y validado nuestro correo electrnico hostinger nos redirige a la
pgina principal donde a continuacin crearemos nuestro dominio.
6. Y procederemos a ingresar el nombre del dominio con una contrasea la cual podemos
generar automticamente para ms seguridad, luego damos clic en continuar
7. Una vez ingresado los datos de nuestro nuevo dominio, realizamos la confirmacin
de orden
8. Luego ya podremos ver que nuestro dominio aparecer en la lista de cuentas de hosting
de nuestro usuario
9. Como mencionamos antes nuestra victima ser la pgina de la UTPL, para clonar la
pgina realizamos el uso de la herramienta de ingeniera social de Kali Linux
10. Una vez realizada la clonacin Kali Linux automticamente nos genera el archivo
HTML, el cual para el uso que le vamos a dar debimos convertirlo a PHP
11. A parte del archivo PHP con la pgina clonada, usaremos dos archivos ms el de
conexion.php que tiene los cdigos de conexin al servidor
12. Y el archivo de registro.php que tendr las sentencias SQL para guardar los datos a la
base de datos
13. Ahora nos dirigiremos a subir los archivos creados para darle funcionamiento a la
pgina clonada, para esto damos clic en Archivos/Administrador de Archivos
14. Y como podemos observar en la imagen por default tiene dos archivos los cuales
vamos a reemplazar
16. Por el momento la pgina como podemos ver ya funciona, pero an no existe base
datos entonces procedemos a crearla
17. Creamos la base de datos dando clic en Base de Datos/Base de datos MySQL y
agregamos el nombre de la base de datos, un usuario y la contrasea
18. Para crear tablas o administrar la base de datos en general nos vamos a
phpMyAdmin
19. Creamos una tabla usuarios con 4 columnas, la cual almacenara un id, el correo, la
contrasea y la fecha de ingreso de cualquier victima
20. Ahora si con la base de datos ya creada ya nuestra pgina clonada esta funcional, para
comprobarlo como vemos a continuacin en las siguientes imgenes se realizaron las
pruebas correspondientes
21. La segunda parte y una de las ms difciles es hacer caer a la vctima, para ello como
se dijo al principio se enviara un correo falso a estas pidindole una actualizacin de
datos.
Para la extraccin de datos de los correos se realiz una bsqueda con Maltego de Kali
Linux y otra parte fueron sacados de la misma pgina de la UTPL
22. Para el envo del email creamos un nuevo correo llamado utplcentrocomputo@gmail.com
24. Por ltimo se procedi a enviar el correo, ahora solo quedada esperar a que alguien
leyera el correo e ingresara a la pgina clon para digitar sus datos
RESULTADOS OBTENIDOS
Como podemos observar un usuario ha dado sus datos y podemos ingresar a la plataforma
de la UTPL