La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar el impostor.URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL, http://www.entidadbancaria.com.ejemplo.com/. Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares[17] ). Por ejemplo, el enlace http://www.google.com@members.tripod.com/ puede engañar a un observador casual y hacerlo creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente). Este método ha sido erradicado desde entonces en los navegadores de Mozilla e Internet Explorer. Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL legítima.
En otro método popular de phishing, el atacante utiliza contra la víctima el propio código de programa del banco o servicio por el cual se hace pasar. Este tipo de ataque resulta particularmente problemático, ya que dirige al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque o Cross Site Scripting los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace está modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios.
Otro problema con las URL es el relacionado con el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a d?mini?.com, aunque en el segundo las letras "o" hayan sido reemplazadas por la correspondiente letra griega ómicron, "?"). Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homógrafos, ningún ataque conocido de phishing lo ha utilizado.
perfil.com - Hecha la ley, hecha la trampa: a medida que avanza la tecnología, evolucionan también quienes se aprovechan de ella para su beneficio. Desde que Internet se popularizó y comenzó a usarse también para comprar, vender y pagar servicios, apareció también el fraude electrónico.
En la era de la comunicación, lo más valioso es la información. Por eso el fraude en internet no se concentra en "robar dinero", sino que su objetivo es obtener información personal, como teléfonos, números de documento, tarjetas de crédito y correos electrónicos.
El fraude en internet, sin embargo, no está tan basado en el uso de la tecnología sino más bien en la ingeniería social, el engañar al usuario. En la mayoría de los casos, los cybercriminales necesitan su colaboración para obtener sus datos. Buenas noticias: proteger su información personal depende de usted mismo.
¿Cómo funciona el fraude informático? Hay muchas variantes, pero la más común es el phishing (por fishing, pescar en inglés).
El phishing consiste en enviar cientos, y hasta miles de mails, parecidos a los de un banco conocido, ordenándole al usuario que verifique sus datos personales o, de lo contrario, su cuenta puede correr peligro. Para eso, provee un link al supuesto portal del banco.
Este enlace es, por supuesto, falso, y dirige al usuario hacia un sitio que no es más que una fachada, una copia de la página bancaria. Allí se le pide a la víctima sus datos personales (número de cuenta o de tarjeta y contraseña). Una vez ingresados, ya están en manos del ladrón para usarlos a gusto.
¿Cómo se puede evitar esto? Muy fácil. Para empezar, muchos proveedores de correo electrónico filtran estos mensajes como spam y los marcan como "peligrosos". Un buen comienzo es no abrir mails identificados como spam.
Los bancos ya tienen toda su información y no necesitan verificarla, salvo cuando usted se contacta con ellos, por seguridad. De modo que todo mail o llamada telefónica que le pida sus datos es phishing y no debe responderlo.
Si quiere estar seguro que la página que está visitando es la de su banco, verifique que la dirección web (URL) comience con "HTTPS", en lugar del usual "HTTP". También busque el candado cerrado al pie de su navegador y haga doble click en él para asegurarse de que sea válido. Si ambos íconos están presentes, la página es segura.
Existen programas llamados keyloggers que graban en un documento todo lo que usted presione en su teclado. Pueden ser instalados por hackers para obtener sus contraseñas y datos importantes.
Por eso, siempre que vaya a ingresar al portal de un banco, use la opción de "teclado digital", que le permite ingresar sus datos a través del mouse. Evite también entrar a su cuenta desde computadoras públicas, como las de los cyber, o desconocidas.
Otra medida preventiva es acceder al sitio deseado escribiendo la dirección completa en la barra de su navegador, o a través de un buscador. Ante cualquier duda, comuníquese con su entidad bancaria.
Ladrones sociales: para muchos usuarios, el messenger o las redes sociales como Facebook son lo más importante de sus vidas. No extraña, entonces, que muchos intentos de fraude informático apunten a estos servicios.
Algunos de los más populares son los sitios que ofrecen al usuario la lista completa de los contactos que lo han borrado o bloqueado del MSN Messenger. A cambio, sólo piden su correo electrónico y contraseña pero juran que lo guardarán y no lo usarán para nada inseguro.
Esto es, por supuesto, falso, ya que se terminan adueñando de la cuenta. Se trata, además, de un servicio innecesario: cualquiera puede ver los contactos que lo han bloqueado en el Messenger con sólo entrar a "Opciones - Seguridad".
Otra víctima del phishing es Facebook, una de las redes sociales más populares del mundo, con más de 100 millones de usuarios registrados.
En estos casos, los ataques llegan por servicios de mensajería instantánea: el usuario recibe un vínculo que promete una invitación a una supuesta cita amorosa, según la empresa de seguridad informática BitDefender.
Este link lo lleva a una falsa página de Facebook que le pide ingresar sus datos para acceder a la cuenta. Una vez más, el portal es falso y el atacante se adueña de la información del usuario ni bien los ingresa.
No hay comentarios:
Publicar un comentario