Phishing: A la esperanza que alguien muerda el anzuelo
Viernes, Junio 20th, 2008En este mundo globalizado y tecnológicamente monopolizado, es importante aprender a sobrevivir en el mismo. Y es que Internet aportó comodidad a nuestras vidas: Buscamos información de cualquier tema, nos comunicamos con la familia, amigos y el mundo; podemos jugar, ver videoclips y, tal vez lo, más cómodo, son las compras en línea; todo sin dejar el ordenador.
Pero esta comodidad está condicionada a los esquemas de seguridad, que es tan fuerte, como su eslabón más débil.
En este artículo presentaré lo que me ocurrió hace unos días, cuando recibí un mensaje de correo electrónico que supuestamente provenía de PayPal, una empresa en la que estoy afiliado para realizar algunos pagos por Internet.
Esta es la página original de PayPal
Phishing es definido como “Suplantación de Identidad”. Una invitación a proporcionar información sensible en conjunto con una serie de rasgos distintivos de una empresa real, que no provienen legítimamente de esta, sino que son usados deliberadamente, con el objetivo de engañar a una víctima y obtener datos confidenciales para ser usados en una amplia variedad de crímenes cibernéticos. Genéricamente se han podido distinguir algunos episodios comunes del Phishing:
- El atacante envía mensajes de correo electrónico (o incluso por Mensajería Instantánea, como Live Messenger) de forma masiva con el fin de conseguir víctimas. Por esta razón, es una subclasificación del SPAM o correo electrónico No Deseado. Estos usualmente contienen alertas en las que la supuesta empresa solicita a la víctima responda al mensaje, o proporcione, en un enlace del mensaje, datos privados como nombres de usuario, claves de acceso, contraseñas, NIPs, números de tarjetas bancarias, fechas de vencimiento, claves CVV2 o CVC2, etc… Los mensajes contienen elementos como el estilo del portal electrónico, imágenes, singles, … que asemejan a un mensaje genuino. Aquí se suplanta la identidad de la empresa.
- La víctima abre el mensaje de correo electrónico. Aquí pueden ocurrir 2 situaciones: que la víctima efectivamente pertenezca o use los servicios de la supuesta institución, o que no pertenezca o no use los servicios de la supuesta institución. En el primer caso, la víctima podría responder, o proporcionar, con los datos que le solicitan. En el segundo caso simplemente se ignorará. Para aumentar las probabilidades de éxito, el atacante suplanta la identidad de empresas altamente difundidas como PayPal, Master Card, VISA, American Express, …
- El atacante recibe la respuesta de la víctima, o visita en la página proporcionada en el mensaje, que es una réplica exacta de la auténtica y la víctima proporciona información sensible. La víctima ha mordido el anzuelo del engaño.
Estas son páginas falsas. Es impresionante la similitud con las páginas auténticas - El atacante hace mal uso de la información recibida como compras o fraudes. En este caso se suplanta la identidad de la víctima.
Este proceso se repite muchas veces y son enormes las pérdidas que el phishing provoca. Pero lo peor de todo es que en la mayor parte de los casos, nadie protege a las víctimas, porque estas proporcionan la información de forma voluntaria.
Pero son grandes los esfuerzos que intentan combatir este crimen. El prestigiado navegador Firefox, incluye un eficiente mecanismo de alerta frente a estos intentos de engaño. Interner Explorer 7 también incluye un aditamento similar, aunque consume muchos recursos del sistema y no ha demostrado una aceptable eficiencia.
Firefox ha detectado la página apócrifa
Queda en cada uno de nosotros hacer consciencia y cuidar nuestra información en el virtual mundo de Internet.
NOTA: Todas las marcas mencionadas o mostradas en este artículo, son propiedad de sus respectivos dueños. Son usadas solo con fines informativos y/o educativos.
