Movistar, víctima del Phishing
Ya no solo los bancos y entidades financieras son víctimas del Phishing, ahora le toca el turno a las operadoras telefónicas. La marca comercial de Telefónica Móviles, Movistar, fue víctima el pasado fin de semana de un ataque de Phishing.
Una web falsa, con el objetivo de robar datos de tarjetas de crédito, simulaba pertenecer al 'Canal Cliente' de Movistar y realizar recargas de tarjetas prepago. En ella se solicitaban, además del número móvil y el importe a recargar, el número de la tarjeta de crédito, su fecha de caducidad y el código CVV.
La página en cuestión parecía bastante real y por lo tanto creíble. Ha quedado desactivada el lunes por la mañana y se puede ver una imagen de la misma en: . La víctima luego de ingresar los datos y pulsar el botón Aceptar, enviaba la información automáticamente a los estafadores.
El intento de estafa seguramente se inició de la manera clásica, es decir por un correo electrónico que en este caso alentaría al usuario a recargar el móvil desde la web oficial, de una forma sencilla y cómoda.
A simple vista, el Phishing no siempre es fácil de detectar, a veces con mirar la dirección del navegador podemos detectar una url sospechosa, además, siempre que estemos manejando datos confidenciales conviene chequear que la dirección comience con https. Este protocolo es la versión segura del protocolo http y es utilizado por los servicios online que requieren el envío de datos confidenciales. Algunos navegadores utilizan un pequeño candado ubicado sobre la derecha de la barra de navegación o incluso cambian su color de fondo, para indicar la existencia del protocolo seguro.
Como ya se ha mencionado en otras oportunidades, generalmente las instituciones financieras no solicitan datos personales por e-mail ni a través de links que llevan a otras páginas. Además, ante la duda, nunca es mala idea llamar a la institución para cerciorarse.
Las tácticas de Phishing están en constante renovación y en el futuro seguramente veamos más ataques hacia las operadoras telefónicas.
------------
PHISHING: MAS INFO
¿Que es el phishing?
Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.
Dado el creciente número de denuncias de incidentes relacionados con el phishing se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica, campañas para prevenir a los usuarios y con la aplicación de medidas técnicas a los programas.
Phishing en MSN
Dos de los ejemplos mas recientes son las páginas quienteadmite y noadmitido destinadas a robar el nombre y contraseña de los usuarios de MSN a cambio de mostrarle a los visitantes que las utilicen, quien los ha borrado de su lista de contactos.
El servicio que brindan puede obtenerse facilmente desde la solapa "privacidad" del menú opciones desde el Msn messenger. Sin embargo, como muchos usuarios desconocen esta opción, son estafados.
Técnicas de phishing
La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar el impostor. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL, http://www.nombredetubanco.com.ejemplo.com/. Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares). Por ejemplo, el enlace http://[email protected]/ puede engañar a un observador casual y hacerlo creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente). Este método ha sido erradicado desde entonces en los navegadores de Mozilla e Internet Explorer. Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL legítima.
En otro método popular de phishing, el atacante utiliza contra la víctima el propio código de programa del banco o servicio por el cual se hace pasar. Este tipo de ataque resulta particularmente problemático, ya que dirige al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque (conocido como Cross Site Scripting) los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace está modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios.
Otro problema con las URL es el relacionado con el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dοminiο.com, aunque en el segundo las letras "o" hayan sido reemplazadas por la correspondiente letra griega ómicron, "ο". Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homógrafos, ningún ataque conocido de phishing lo ha utilizado.
El Anti-Phishing Working Group, industria y asociación que aplica la ley contra las prácticas de phishing, ha sugerido que las técnicas convencionales de phishing podrían ser obsoletas en un futuro a medida que la gente se oriente sobre los métodos de ingeniería social utilizadas por los phishers.
Los 10 mejores addons anti-Phishing para Firefox
1.[link=http://phishtanksitechecker.com/] PhishTank SiteChecker [/link]- Bloquea las páginas registradas por la comunidad de PhishTack.
2.[link=http://www.google.com/tools/firefox/safebrowsing/] Google Safe Browsing [/link] - Muestra una alerta cuando sospecha que alguna página web intenta obtener datos personales o financieros bajo falsos pretextos. Utiliza una combinación de algoritmos e informes sobre páginas phishing de diversas fuentes.
3.[link=http://www.mywot.com/en/wot/download/] WOT [/link] - Permite ver el prestigio de las páginas por las que navegás, según los testimonios de los usuarios de la comunidad WOT.
4.[link=https://addons.mozilla.org/en-US/firefox/addon/4828] Verisign EV Green Bar [/link]- Añade un certificado de autenticación. Cuando visitás una página segura, la barra de dirección se pone de color verde y muestra el certificado del propietario.
5. [LINK=http://www.cs.toronto.edu/%7Eronda/itrustpage/]iTrustPage [/link] - Examina los formularios de las páginas y le asigna una puntuación según su fiabilidad.
6. [link=http://securebrowsing.finjan.com/index.html]Finjan SecureBrowsing [/link] - Rastrea los enlaces en las páginas de búsquedas y webs con el objetivo de alertar al usuario de enlaces potencialmente peligrosos. Todo se hace en tiempo real y asigna un color verde a los enlaces seguros y rojo a los peligrosos.
7. [link=http://opdb.berlios.de/]FirePhish [/link] - Te avisa de sitios Phishing conocidos o con características que lo hacen sospechoso.
8.[link=http://releases.mozilla.org/pub/mozilla.org/extensions/callingid_link_advisor/callingid_link_advisor-1.0.0.37-fx+tb.xpi] CallingID Link Advisor [/link] - Verifica que los enlaces que ven sean seguros antes de hacer clic en ellos.
9. [link=http://www.spoofstick.com/firefox.html]SpoofStick [/link]- Muestra la información de dominio relevante de la página web por la que navegas.
10. [link=http://www.cs.biu.ac.il/%7Eherzbea/TrustBar/]TrustBar [/link]- Permite a los usuarios asignar un nombre o un logo a las páginas por las que navegan. La colaboración de los usuarios permite identificar páginas peligrosas.
Fuentes:
[link=http://www.rompecadenas.com.ar/articulos/1779.php]Rompecadenas[/link]
[link=http://es.wikipedia.org/wiki/Phishing]Wikipedia[/link]
[link=http://www.laflecha.net/]La flecha[/link]
Para los que les interese un poco mas pueden seguir profundizando:
* http://www.bdr529.com/index2.php?option=com_content&do_pdf=1&id=410
*
*
*
*
*Ejemplos simples de creación de falso entorno:
[link=http://cyruxnet.org/iespoofscreen.htm]Ejemplo1[/link] - [link=http://cyruxnet.org/javaspoof.htm]Ejemplo2[/link]
*[link=http://toolbar.netcraft.com/]Barra netcraft anti-phishing[/link]
Ya no solo los bancos y entidades financieras son víctimas del Phishing, ahora le toca el turno a las operadoras telefónicas. La marca comercial de Telefónica Móviles, Movistar, fue víctima el pasado fin de semana de un ataque de Phishing.
Una web falsa, con el objetivo de robar datos de tarjetas de crédito, simulaba pertenecer al 'Canal Cliente' de Movistar y realizar recargas de tarjetas prepago. En ella se solicitaban, además del número móvil y el importe a recargar, el número de la tarjeta de crédito, su fecha de caducidad y el código CVV.
La página en cuestión parecía bastante real y por lo tanto creíble. Ha quedado desactivada el lunes por la mañana y se puede ver una imagen de la misma en: . La víctima luego de ingresar los datos y pulsar el botón Aceptar, enviaba la información automáticamente a los estafadores.
El intento de estafa seguramente se inició de la manera clásica, es decir por un correo electrónico que en este caso alentaría al usuario a recargar el móvil desde la web oficial, de una forma sencilla y cómoda.
A simple vista, el Phishing no siempre es fácil de detectar, a veces con mirar la dirección del navegador podemos detectar una url sospechosa, además, siempre que estemos manejando datos confidenciales conviene chequear que la dirección comience con https. Este protocolo es la versión segura del protocolo http y es utilizado por los servicios online que requieren el envío de datos confidenciales. Algunos navegadores utilizan un pequeño candado ubicado sobre la derecha de la barra de navegación o incluso cambian su color de fondo, para indicar la existencia del protocolo seguro.
Como ya se ha mencionado en otras oportunidades, generalmente las instituciones financieras no solicitan datos personales por e-mail ni a través de links que llevan a otras páginas. Además, ante la duda, nunca es mala idea llamar a la institución para cerciorarse.
Las tácticas de Phishing están en constante renovación y en el futuro seguramente veamos más ataques hacia las operadoras telefónicas.
------------
PHISHING: MAS INFO
¿Que es el phishing?
Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.
Dado el creciente número de denuncias de incidentes relacionados con el phishing se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica, campañas para prevenir a los usuarios y con la aplicación de medidas técnicas a los programas.
Phishing en MSN
Dos de los ejemplos mas recientes son las páginas quienteadmite y noadmitido destinadas a robar el nombre y contraseña de los usuarios de MSN a cambio de mostrarle a los visitantes que las utilicen, quien los ha borrado de su lista de contactos.
El servicio que brindan puede obtenerse facilmente desde la solapa "privacidad" del menú opciones desde el Msn messenger. Sin embargo, como muchos usuarios desconocen esta opción, son estafados.
Técnicas de phishing
La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar el impostor. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL, http://www.nombredetubanco.com.ejemplo.com/. Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares). Por ejemplo, el enlace http://[email protected]/ puede engañar a un observador casual y hacerlo creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente). Este método ha sido erradicado desde entonces en los navegadores de Mozilla e Internet Explorer. Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL legítima.
En otro método popular de phishing, el atacante utiliza contra la víctima el propio código de programa del banco o servicio por el cual se hace pasar. Este tipo de ataque resulta particularmente problemático, ya que dirige al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque (conocido como Cross Site Scripting) los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace está modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios.
Otro problema con las URL es el relacionado con el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dοminiο.com, aunque en el segundo las letras "o" hayan sido reemplazadas por la correspondiente letra griega ómicron, "ο". Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homógrafos, ningún ataque conocido de phishing lo ha utilizado.
El Anti-Phishing Working Group, industria y asociación que aplica la ley contra las prácticas de phishing, ha sugerido que las técnicas convencionales de phishing podrían ser obsoletas en un futuro a medida que la gente se oriente sobre los métodos de ingeniería social utilizadas por los phishers.
Los 10 mejores addons anti-Phishing para Firefox
1.[link=http://phishtanksitechecker.com/] PhishTank SiteChecker [/link]- Bloquea las páginas registradas por la comunidad de PhishTack.
2.[link=http://www.google.com/tools/firefox/safebrowsing/] Google Safe Browsing [/link] - Muestra una alerta cuando sospecha que alguna página web intenta obtener datos personales o financieros bajo falsos pretextos. Utiliza una combinación de algoritmos e informes sobre páginas phishing de diversas fuentes.
3.[link=http://www.mywot.com/en/wot/download/] WOT [/link] - Permite ver el prestigio de las páginas por las que navegás, según los testimonios de los usuarios de la comunidad WOT.
4.[link=https://addons.mozilla.org/en-US/firefox/addon/4828] Verisign EV Green Bar [/link]- Añade un certificado de autenticación. Cuando visitás una página segura, la barra de dirección se pone de color verde y muestra el certificado del propietario.
5. [LINK=http://www.cs.toronto.edu/%7Eronda/itrustpage/]iTrustPage [/link] - Examina los formularios de las páginas y le asigna una puntuación según su fiabilidad.
6. [link=http://securebrowsing.finjan.com/index.html]Finjan SecureBrowsing [/link] - Rastrea los enlaces en las páginas de búsquedas y webs con el objetivo de alertar al usuario de enlaces potencialmente peligrosos. Todo se hace en tiempo real y asigna un color verde a los enlaces seguros y rojo a los peligrosos.
7. [link=http://opdb.berlios.de/]FirePhish [/link] - Te avisa de sitios Phishing conocidos o con características que lo hacen sospechoso.
8.[link=http://releases.mozilla.org/pub/mozilla.org/extensions/callingid_link_advisor/callingid_link_advisor-1.0.0.37-fx+tb.xpi] CallingID Link Advisor [/link] - Verifica que los enlaces que ven sean seguros antes de hacer clic en ellos.
9. [link=http://www.spoofstick.com/firefox.html]SpoofStick [/link]- Muestra la información de dominio relevante de la página web por la que navegas.
10. [link=http://www.cs.biu.ac.il/%7Eherzbea/TrustBar/]TrustBar [/link]- Permite a los usuarios asignar un nombre o un logo a las páginas por las que navegan. La colaboración de los usuarios permite identificar páginas peligrosas.
Fuentes:
[link=http://www.rompecadenas.com.ar/articulos/1779.php]Rompecadenas[/link]
[link=http://es.wikipedia.org/wiki/Phishing]Wikipedia[/link]
[link=http://www.laflecha.net/]La flecha[/link]
Para los que les interese un poco mas pueden seguir profundizando:
* http://www.bdr529.com/index2.php?option=com_content&do_pdf=1&id=410
*
*
*
*
*Ejemplos simples de creación de falso entorno:
[link=http://cyruxnet.org/iespoofscreen.htm]Ejemplo1[/link] - [link=http://cyruxnet.org/javaspoof.htm]Ejemplo2[/link]
*[link=http://toolbar.netcraft.com/]Barra netcraft anti-phishing[/link]