Powered By Blogger

Bienvenidos



Muy complacido de diseñar este lugar para compartir aspectos relacionados con la tecnología de la información y la manera de prevenir hechos en materia de fraudes electrónicos que cada día avanzan de manera sorprendente. Concientizar es mi propósito definido apoyado en la investigación a fin de enlazar una red de colaboradores en este ámbito.

jueves, 22 de abril de 2010

CIBERCRIMEN “El PHISHING”

ALBERTO RIVAS
Estudiante de postgrado en auditoria y seguridad

El cibercrímen es un flagelo que se ha acrecentado en la medida que los ciber delincuentes optimizan sus procesos delictivos, entre los móviles se encuentra el PHISHING, el cual ha venido sofisticando sus modalidades y ampliando su radio de acción para vulnerar la seguridad de la información de las organizaciones y particulares.
En base a lo anterior tanto las organizaciones como los consumidores y requirentes de productos y servicios debe educarse e investigar sobre esta modalidad de cibercrímen, igualmente las empresas deben invertir recursos en herramientas de seguridad que le permitan mitigar los riesgos y por ende adiestrar a su recurso humano con el objeto de blindar el manejo de la información tanto de las empresas como de sus clientes, proveedores y consumidores.
CIBERCRIMEN
“Es cualquier elemento, tanto físico como lógico, de valor probativo sobre algún aspecto relevante en un caso” (K. Mandia, 2003)
Partiendo de este enunciado, como una de las tácticas más importantes de los cibercrímenes que afectan a los consumidores y empresas, es el phishing “Pesquen - Pescando” ha crecido en volumen y sofisticación en los últimos años. Basado anterior en lo es pertinente tener en cuenta que el Cibercrimen es una realidad emergente en nuestro medio, por tanto es necesario descubrirlo y entenderlo para luego combatirlo.
La crisis económica ofrece un campo fértil para los nuevos intentos de la ingeniería social de defraudar a la gente de las empresas y a los consumidores desprevenidos, aplicando esquemas de fraudes generalizados, frente a esto ya no se requiere de hacker para posibilitar y cometer fraudes en Internet; cualquier que tenga un motivo puede sumarse a esta actividad.
El phishing, utiliza estrategias y desarrolla herramientas con el objeto de hacer que usuarios desprevenidos entreguen información delicada para robarles su identidad, siendo una amenaza tanto para las empresas como los consumidores.
El Anti- phishing Working Group (APWG), informo que los ataques de phishing remitidos a ésta asociación aumentaron 13% durante el segundo cuarto de 2008 a más de 28 mil, igualmente durante el mismo periodo la cantidad de URL relacionadas con malvare que infectó las PC con códigos para robarse las contraseñas aumentó a un nuevo record de por lo menos 9 mil 500 sitios, un incremento de 258% comparado con el mismo cuarto de 2007.

Tácticas de phishing más recientes:
Spear phishing
Consiste en dirigir sus acciones hacia clientes conocidos de un banco, un proveedor de crédito hipotecarios u otro tipo de organización, igualmente los empleados de las empresas son el blanco de estos criminales.
En este tipo de ataque el objetivo es obtener acceso a información bancaria corporativa, base de datos de los clientes y demás información que facilite el crimen.
Business services phishing
Dirigidos a empresas que utilizan Yahoo o Google Adwords y consiste en recibir mensajes electrónicos indicando que las cuentas requieren actualización, solicitando al titular de la cuenta que inicie la sesión en la falsa interfaz de Adwords y que brindaran información de su tarjeta de crédito. Con esta táctica se vieron afectada muchas Pymes, en virtud que dependen de la publicidad online para dirigir el tráfico a sus sitios, con lo cual Directivos de alto nivel suministraban datos bancarios.
El phishing y los temores económicos
La crisis económica actual ofrece oportunidades sin precedentes de que los criminales exploten a las victimas. Remitiendo correos electrónicos procedentes de una Institución Financiera que hace poco adquirió el acreedor hipotecario, los ahorros y préstamos o el banco de la víctima. Esto obedece a la gran cantidad de adquisiciones y fusiones ocurridas creando un entorno de confusión para los consumidores.
Existen combinaciones mixtas de phishing y malware, en donde el usuario recibe una tarjeta electrónica de phishing por email que al parecer es autentica. Al darle click en la liga del correo para recibir la tarjeta electrónica. La persona llega a un sitio Web falso que descarga un caballo de Troya en la computadora de la víctima.
El usuario observa un mensaje que indica que debe efectuar una descarga de software actualizado antes de poder ver la tarjeta electrónica, al efectuar la descarga el software se trata de un Keylogger, que al combinarlo con fines de phishing, tienen componente de rastreo que intentan monitorear acciones especificas a organizaciones determinadas como Instituciones financieras, minoristas online y gente delicada al comercio electrónico, con el objeto de obtener números de cuentas, ID de usuarios y contraseñas. Otra variedad es cuando el caballo de Troya les permite a los phishers capturar información delicada a través de un redireccionador. Estos dirigen el tráfico de los usuarios finales a otra dirección falsa.
Los mensajes de texto y las estafas a través del celular, los Phisher se hacen pasar por instituciones financieras reales, utilizando los sms como alternativa al correo electrónico para intentar acceder a la información confidencial de las cuentas.

La modalidad conocida como Smishing, la estafa típica le indica al usuario del celular que la cuenta bancaria de la persona está en riesgo o que ha desactivado la tarjeta de crédito /ATM. Se le indica a la victima que marque un número o ingrese a un sitio Web falso para que reactive su tarjeta, y el robot comienza a solicitarle información confidencial, sobre su número de seguridad, de cuenta y de tarjeta.
El phishing en la actualidad su nicho no es únicamente las instituciones financieras, su onda expansiva vulnera los sitios de subasta, los servicios de pagos, los sitios de ventas al menudeo y las redes sociales son blancos frecuentes, igualmente a los fabricantes y proveedores de celulares. Esto se traduce en una disminución por parte de los clientes en accesar y hacer transacciones online, generando pérdidas cuantiosas a las empresas.
Para proteger las empresas no existen soluciones mágicas, algunas tecnologías pueden proteger a las organizaciones como proveedor de servicios y por ende a sus clientes, podemos citar las siguientes herramientas como la Secure Sockets Layer (SSL) y Extended Validation (EV), apoya en el combate del phishing y otras formas del Cibercrímenes al cifrar información delicada y ayudando a los clientes a autenticar el sitio. Para ello se hace necesario implementar niveles más elevados de cifrado y autenticación posibles para protegerse del ciberfraude y aumentar la confianza.
Aplicar las tecnologías que apoyen la seguridad de la información, es necesario que las empresas continúen educando a los consumidores y empleados respecto de las prácticas seguras en internet y como evitar el ciberfraude. Es importante indicarles a los clientes a reconocer los signos de un intento de phishing como son los errores ortográficos, saludos genéricos en lugar de personalizados, solicitudes urgentes para realizar acciones, advertencia de los estados de las cuentas, solicitudes de información personas, y ligas y dominios falsos.
Publicadas por a la/s No hay comentarios.:
Suscribirse a: Entradas (Atom)