12/4/13

PHISHING, EXPLOITS, PHARMING: METODO DE ENGAÑO Y ROBO INFORMATICO A CUENTAS DE BANCO O PAYPAL

PHISING consiste en el envío de correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello, suelen incluir un enlace que, al ser pulsado, lleva a páginas web falsificadas.
De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que, en realidad, va a parar a manos del estafador. Existe un amplio abanico de software y aplicaciones de toda índole que quedan clasificados dentro de la categoría de robo de información personal o financiera, algunas de ellas realmente complejas, como el uso de una ventana Javascript flotante sobre la barra de direcciones del navegador con el fin de confundir al usuario:1) Uso de nombres de compañías ya existentesEn lugar de crear desde cero el sitio web de una compañía ficticia, los emisores de correos con intenciones fraudulentas adoptan la imagen corporativa y funcionalidad del sitio de web de una empresa existente, con el fin de confundir aún más al receptor del mensaje.
2) Utilizar el nombre de un empleado real de una empresa como remitente del correo falso. De esta manera, si el receptor intenta confirmar la veracidad del correo llamando a la compañía, desde ésta le podrán confirmar que la persona que dice hablar en nombre de la empresa trabaja en la misma.
3) Direcciones web con la apariencia correcta. El correo fraudulento suele conducir al lector hacia sitios web que replican el aspecto de la empresa que está siendo utilizada para robar la información. En realidad, tanto los contenidos como la dirección web son falsos e imitan los contenidos reales.
Incluso la información legal y otros enlaces no vitales pueden redirigir al confiado usuario a la página web real.
  • Factor miedo. La ventana de oportunidad de los defraudadores es muy breve, ya que una vez se informa a la compañía de que sus clientes están siendo objeto de este tipo de prácticas, el servidor que aloja al sitio web fraudulento y sirve para la recogida de información se cierra en el intervalo de unos pocos días. Por lo tanto, es fundamental para el defraudador el conseguir una respuesta inmediata por parte del usuario. En muchos casos, el mejor incentivo es amenazar con una pérdida, ya sea económica o de la propia cuenta existente, si no se siguen las instrucciones indicadas en el correo recibido.
  • Man-in-the-middle (hombre en el medio). En esta técnica, el atacante se sitúa entre el usuario y el sitio web real, actuando a modo de proxy. De esta manera, es capaz de escuchar toda la comunicación entre ambos.
Para que tenga éxito, debe ser capaz de redirigir al cliente hacia su proxy en vez de hacia el servidor real. Existen diversas técnicas para conseguirlo, como por ejemplo los proxies transparentes, el DNS Cache Poisoning  (Envenenamiento de Caché DNS) y la ofuscación del URL. 
. Aprovechamiento de vulnerabilidades de tipo Cross-Site Scripting en un sitio web, que permiten simular una página web segura de una entidad bancaria, sin que el usuario pueda detectar anomalías en la dirección ni en el certificado de seguridad que aparece en el navegador.
. Aprovechamiento de vulnerabilidades de Internet Explorer en el cliente, que permiten mediante el uso de exploits falsear la dirección que aparece en el navegador. De esta manera, se podría redirigir el navegador a un sitio fraudulento, mientras que en la barra de direcciones del navegador se mostraría la URL del sitio de confianza. Mediante esta técnica, también es posible falsear las ventanas pop-up abiertas desde una página web auténtica.
. Algunos ataques de este tipo también hacen uso de exploits en sitios web fraudulentos que, aprovechando alguna vulnerabilidad de Internet Explorer o del sistema operativo del cliente, permiten descargar troyanos de tipo keylogger que robarán información confidencial del usuario.
. Otra técnica más sofisticada es la denominada Pharming. Se trata de una táctica fraudulenta que consiste en cambiar los contenidos del DNS (Domain Name Server, Servidor de Nombres de Dominio) ya sea a través de la configuración del protocolo TCP/IP o del archivo lmhost (que actúa como una caché local de nombres de servidores), para redirigir los navegadores a páginas falsas en lugar de las auténticas cuando el usuario accede a las mismas a través de su navegador. Además, en caso de que el usuario afectado por el pharming navegue a través de un proxy para garantizar su anonimato, la resolución de nombres del DNS del proxy puede verse afectada de forma que todos los usuarios que lo utilicen sean conducidos al servidor falso en lugar del legítimo.
¿Cómo se realiza el engaño?
El mecanismo más habitualmente empleado es la generación de un correo electrónico falso que simule proceder de una determinada compañía, a cuyos clientes se pretende engañar. Dicho mensaje contendrá enlaces que apuntan a una o varias páginas web que replican en todo o en parte el aspecto y la funcionalidad de la empresa, de la que se espera que el receptor mantenga una relación comercial. Si el receptor del mensaje de correo efectivamente tiene esa relación con la empresa y confía en que el mensaje procede realmente de esta fuente, puede acabar introduciendo información sensible en un formulario falso ubicado en uno de esos sitios web.

En cuanto a su distribución, también presentan características comunes:
De la misma manera que el spam, es enviado masiva e indiscriminadamente por correo electrónico o sistemas de mensajería instantánea:
    • El mensaje insta al usuario a pulsar sobre un enlace, que le llevará a una página en la que deberá introducir sus datos confidenciales, con la excusa de confirmarlos, reactivar su cuenta, etc.
    • Se envía como una alerta de una entidad financiera advirtiendo de un ataque. Incluye un enlace que se insta a pulsar y en el que se solicitan datos personales.
  • Dado que el mensaje se distribuye masivamente, alguno de los receptores será efectivamente cliente de la entidad. En el mensaje se indica que, debido a algún problema de seguridad es necesario acceder a una dirección web donde debe reconfirmar sus datos: nombre de usuario, contraseña, número de tarjeta de crédito, PIN, número de seguridad social, etc.
  • Por supuesto, el enlace no dirige a ninguna página de la compañía, sino más bien a un sitio web (similar al original) desarrollado a propósito por los estafadores y que reproduce la imagen corporativa de la entidad financiera en cuestión. Normalmente la dirección web contiene el nombre de la institución legítima por lo que el cliente no sospecha de la falsedad de la misma.
  • Cuando el usuario introduce sus datos confidenciales, éstos se almacenan en una base de datos y lo que ocurre a continuación no necesita de un gran esfuerzo de imaginación: los estafadores utilizan esta información para conectarse a su cuenta y disponer libremente de los fondos.Los principales daños provocados por el phishing son:
. Robo de identidad y datos confidenciales de los usuarios (tarjetas de crédito, claves de acceso, etc).
. Pérdida de productividad.
. Consumo de recursos de las redes corporativas (ancho de banda, saturación del correo, etc.).

¿Cómo puedo reconocer un mensaje de phishing?
Distinguir un mensaje de phishing de otro legítimo puede no resultar fácil para un usuario que haya recibido un correo de tales características, especialmente cuando es efectivamente cliente de la entidad financiera de la que supuestamente proviene el mensaje.
El campo De: del mensaje muestra una dirección de la compañía en cuestión. No obstante, es sencillo para el estafador modificar la dirección de origen que se muestra en cualquier cliente de correo.
  • El mensaje de correo electrónico presenta logotipos o imágenes que han sido recogidas del sitio web real al que el mensaje fraudulento hace referencia.
  • El enlace que se muestra parece apuntar al sitio web original de la compañía, pero en realidad lleva a una página web fraudulenta, en la que se solicitarán datos de usuarios, contraseñas, etc.
  • Normalmente estos mensajes de correo electrónico presentan errores gramaticales o palabras cambiadas, que no son usuales en las comunicaciones de la entidad por la que se están intentando hacer pasar.
NUEVAMENTE ESTA CIRCULANDO POR LA RED PISHING
(PARA CLIENTES DEL BANCO VIABCP Y PAYPAL)
Método del engaño (Pishing): Algunos de los clientes del Banco de Crédito del Perú VIABCP recibirán un correo desde la cuenta banco_de_credito_bcp@bcp.com.pe, en el cual se le pedira actualizar sus datos mediante un enlace "Disfrazado" como se puede ver en la siguiente imagen original capturada:
 




Al dar clic a dicho enlace lo llevara automáticament http://www.nkp.go.th/templates/config.php, el cual es una pagina clonada de dicho banco, en este se le pedirá que ingrese su No de Tarjeta y Clave:


Una vez que haya ingresado estos datos, el atacante tendrá control total sobre su cuenta: como son comprar por Internet, movimientos, transferencia de saldos, etc. Una vez que haya hecho uso de este enlace, este dejara de funciona, es decir si da clic por segunda vez esta vez lo llevara a la pagina oficial de dicho Banco, esto con el fin de no levantar sospechas.
Lo que nos hace suponer que el envió es personalizado, es decir que cada cliente recibirá un enlace diferente, por favor tenga cuidado.
Recomendaciones:
- Un Banco nunca pide su información personal y menos por email.
- Una pagina segura siempre empieza en la barra de dirección con un "https://" el cual significa que el "Lugar es Seguro", además de un símbolo de un candado debajo de su navegador, lo cual indica que es una "Zona Segura" como puede ver en las siguientes imágenes:

- Si Ud. fue objeto de dicho engaño llame inmediatamente a su Banco y bloquee su tarjeta de crédito. La central oficial de dicha entidad Bancaria es: (511) 311-9898
OBSERVACIÓN FINAL
Haciendo una revisión final pudimos detectar otro pishing dentro del mismo enlace lo cual direcciona a otro, esta vez para los clientes de Paypal, como puede observar en la siguiente imagen:



Otra vez podemos observar que el enlace empieza con http: y no con "https://" seguido de "c4.cdmb" que no tiene nada que ver con la web original de PayPal: www.paypal.com Toda la información Gral. sobre este metodo del engaño (pishing) y como evitarlos puede verlo en::
http://www.seguridadpc.net/phishing.htm

No hay comentarios:

Publicar un comentario en la entrada

COMENTARIOS: