|
Trucos de Phishing
Al diseñar un sitio falso, los phishers atraen a los usuarios a través
de spam o e-mails dirigidos, esperando lograr éxito y encontrar
clientes verdaderos del banco, de la tienda virtual o de la empresa de
tarjeta de crédito que secuestraron. Los e-mails pueden ser
extremamente convincentes, como un mensaje de eBay afirmando que su
tarjeta de crédito fue recusada, o de Citibank afirmando que detectaron
actividades no autorizadas en su cuenta. Es frecuente encontrar
logotipos, esquemas de colores y consignas ("Avis: We Try Harder") que
parecen legítimos en los mensajes. Un ejemplo es un e-mail de spam que
afirmaba ser de BBC News. Presentaba un artículo de interés, con un
enlace "Lea más…" para llevar los usuarios a un sitio falso de BBC
News. El sitio falso tenía exactamente la misma apariencia de las
páginas del sitio verdadero de BBC News, con noticias verdaderas
copiadas del sitio. Dichas páginas falsas explotaban la vulnerabilidad
Create Text Range desprotegida para transmitir e instalar un programa
de captura de tecleo, que monitoreaba la actividad de los usuarios en
diversos sitios financieros y enviaba al hacker la información
capturada.
Técnicas de Pharming
El Pharming utiliza el secuestro o la "contaminación" del DNS
(Servicio de Nombres de Dominio) para llevar los usuarios a un sitio
falso, alterando el DNS del sitio de destino. El sistema también puede
redirigir los usuarios a sitios auténticos a través de proxies
controlados por los phishers, que se pueden usar para monitorear e
interceptar el tecleo. Los sitios falsificados recopilan números de
tarjetas de crédito, nombres de cuentas, contraseñas y números de
documentos. Eso se hace a través de la exhibición de un pop-up para
robar la información antes de llevar al usuario al sitio real, a través
del uso de un certificado autofirmado para fingir la autenticación e
inducir al usuario a creer suficientemente en ello para insertar sus
datos personales en el sitio falsificado, o a través de la
superposición de la barra de dirección y de status de navegador para
inducir al usuario a pensar que está en el sitio legítimo e insertar su
información.
Programas criminales - Descargas engañosas
Los phishers utilizan trucos para instalar programas criminales en las
PC de los consumidores para robar directamente la información. En la
mayoría de los casos, el usuario no sabe que está infectado, dándose
cuenta sólo de una ligera reducción en la velocidad de la computadora,
o dándose cuenta de fallos de operación atribuidos a fallos normales de
software. Un software de seguridad es una herramienta necesaria para
evitar la instalación de programas criminales si un ataque afecta al
usuario.
En una táctica de descarga engañosa, Troyanos de captura de
tecleo y otros programas espías "son llevados a cuestas" de programas
legítimos, o el hacker puede corromper un sitio legítimo a través de
scripts incorrectos para que el software sea transferido
silenciosamente en segundo plano cuando el usuario visite a un sitio en
el cual confía. Los phishers también utilizan ingeniería social para
inducir a los usuarios a descargar el software directamente desde su
sitio, convenciéndoles de que el software es algo deseado, como un
salvapantallas o un programa de descarga de músicas.
Luego que se instala el programa criminal, el usuario está en
un lío. Puede llevar al navegador a acceder a sitios falsificados,
puede secuestrar el archivo de host de la PC para redirigir la
computadora a sitios falsificados, y puede usar programas de captura de
tecleo y screen scrapers para registrar y enviar al hacker los datos
robados. Los programas criminales también instalan rootkits que se
ejecutan "por debajo del radar" y ocultan la presencia de los programas
espías, o pueden transformar la PC en un robot controlado a distancia,
listo para lanzar una campaña masiva de spam o un ataque de Negación de
Servicio.
Tendencias del Phishing
Según la opinión general, los ataques de phishing están en una
subida acentuada. Decenas de miles de casos separados de phishing
surgen todos los años, y dichos números están creciendo
exponencialmente. Además, nuevos sitios de phishing también están
siguiendo una tendencia de crecimiento semejante, así como las URL con
programas malintencionados de robo de contraseñas. Estados Unidos
hospeda la mayoría de los sitios de phishing, seguido por China y Corea
del Sur.
Los phishers están estrechando su foco para realizar ataques
contra grandes empresas financieras y de comercio electrónico; por
ejemplo, entre cada cien marcas secuestradas, aproximadamente cinco son
responsables del 80 por ciento de todas las campañas de phishing.
Además, debido a que eBay y las grandes instituciones financieras toman
medidas más activas de combate al phishing, los criminales se están
dirigiendo hacia las cooperativas de crédito y otras empresas que
quizás no sean tan conscientes tecnológicamente. A medida que las
personas se vuelven más conscientes sobre el phishing, los ataques
dejan de asemejarse al spam y, en cambio, sacan más provecho de
debilidades específicas.
Las 10 normas principales para defenderse contra el Phishing
1. Nunca deje de aplicar los parches necesarios en su
sistema operativo, evitando, así, la explotación de las
vulnerabilidades conocidas del software. Instale los parches de los
fabricantes del software luego de su distribución, pues los hackers
logran crear rápidamente programas malintencionados utilizando
componentes prefabricados para explotar la vulnerabilidad antes de que
la mayoría de las personas descargue la corrección. Una computadora con
todos los parches detrás de un firewall es la mejor defensa contra la
instalación de Troyanos y programas espías.
2. Descargue la versión más reciente de su navegador
para asegurar que también esté totalmente actualizado y utilice las
tecnologías más recientes. Internet Explorer 7 y otros navegadores
contienen una barra de herramientas anti-phishing para incluir una capa
más de protección.
3. El origen de un e-mail, la ubicación de una página
y el uso del cifrado SSL se pueden falsificar. Los iconos de candado de
los navegadores también se pueden falsificar. Usted debe estar seguro
de que se está utilizando el SSL (busque "https:" en la URL) y
verificar el nombre de dominio del sitio para saber si el sitio es
legítimo. Sin embargo, debido a los trucos de los hackers, no es
posible confiar sólo en dichas verificaciones como señales absolutas de
seguridad de la comunicación o del sitio.
4. Nunca haga clic en enlaces dentro de un e-mail y
siempre ignore los e-mails que solicitan acciones, tales como "Su
cuenta será cerrada". Llame a la empresa en cuestión a través de un
número de teléfono obtenido fuera del e-mail.
5. Tenga mucho cuidado al descargar cualquier software
de la Web. Los programas espías pueden "venir a cuestas" de programas
legítimos, o el software puede contener programas de captura de tecleo
o screen scrapers para robar su información. Usted debe evitar
completamente los salvapantallas gratis y otros regalos. También tenga
cuidado al abrir adjuntos de e-mail – un vídeo, gráfico o PDF- aunque
sea de alguien conocido. Un software de exploración de virus le
protegerá, definiendo si hay virus ocultos antes de que usted abra el
adjunto.
6. Use programas que verifiquen automáticamente si una
URL es legítima antes de que usted acceda al sitio. Véase AccountGuard
de eBay y ScamBlocker de EarthLink. Usted también puede verificar la
legitimidad de una cierta URL con una búsqueda por WHOIS, como
www.DNSstuff.com, que posee una herramienta de búsqueda que exhibe la
información de contacto de dominios/IP de virtualmente cualquier país.
7. Use un proveedor de acceso a Internet (ISP) que
implemente tecnologías y políticas anti-spam y anti-phishing sólidas.
Por ejemplo, AOL bloquea los sitios de phishing conocidos para que los
clientes no los puedan acceder. La organización SpamHaus
lista los 10 peores ISP del momento en esta categoría - piénsalo al elegir su ISP.
8. Examine sus estadios de cuenta bancarios y de
tarjeta de crédito luego de recibirlos para verificar si hay algún
débito no autorizado. Si su estado de cuenta se retrasa en más de dos
días, llame a la administradora de su tarjeta de crédito o a su banco
para confirmar su dirección de correspondencia y sus balances.
9. Sea uno de los primeros en adoptar nuevas
tecnologías. Los bancos y las empresas de tarjetas de crédito están
utilizando nuevas técnicas de confirmación para hacer más seguras las
transacciones por Internet. Por lo tanto, no deje de sacar provecho de
ellas. El sector de informática también está trabajando en tecnologías
de autenticación tales como ID del Remitente, Nombre de Dominio y
S/MIME para reducir drásticamente la eficacia de los ataques de
phishing.
10. Proteja su computadora con un buen software de
seguridad y no deje de mantenerlo actualizado. Los hackers poseen bases
de datos que contienen millones de direcciones de e-mail. Atacan
vulnerabilidades de aplicaciones de e-mail y navegadores de Web, además
de vulnerabilidades de diseño de ciertos sitios. Asimismo, usted puede
defenderse contra el phishing porque éste combina técnicas existentes
de spam y explotación de software. McAfee Security Suite asegura una
excelente protección para su PC contra virus, hackers y programas
espías. Entre sus recursos de punta está X-Ray for Windows, que detecta
y elimina rootkits y otras aplicaciones malintencionados que se
esconden de Windows y de otros programas antivirus. Sus tecnologías
integradas de antivirus, anti-spyware, firewall, anti-spam,
anti-phishing y backup trabajan juntas para combatir los sofisticados
ataques de hoy, que llegan a través de distintos vectores.
|
