Presentaci髇 de PowerPoint

Document Sample
Presentaci髇 de PowerPoint Powered By Docstoc
					       UNIVERSIDAD
       NACIONAL DEL
        NORDESTE
Facultad de Ciencias Exactas Y
  Naturales y Agrimensura
PHISHING




     Disertante: Lic. Litwak Noelia
•   ¿Qué es el Phishing?.
•   Historia del phishing.
•   Phishing en AOL.
•   Intentos recientes de phishing.
•   Técnicas de phishing.
•   Lavado de dinero producto del phishing.
•   Daños causados por el phishing.
•   Respuesta social.
•   Respuestas técnicas.
•   Respuestas legislativas y judiciales.
•   Conclusiones.
La masiva utilización de las computadoras y
redes    como    medios     para    almacenar,
transferir y procesar información se ha
incrementado en los últimos años, al grado de
convertirse en un elemento indispensable para
el funcionamiento de la sociedad actual.*

Como consecuencia, la información en todas
sus formas y estados se ha convertido en un
activo de altísimo valor, el cual se debe
proteger y asegurar.*
                   INTERNET



                             • Son abiertas y accesibles
                             • Permiten intercambios
                               rápidos y eficientes a
                               nivel mundial y a bajo
                               costo.




•Este concepto hace posible nuevas formas de funcionamiento
 de la sociedad actual que se ve dificultada por las
 inseguridades que van dejando al descubierto.
          Datos Interesantes
Internet ha pasado de tener miles de usuarios en
1983 a más de 800 millones de usuarios en el mundo
en el 2004 y 1000 millones en el 2005.


            PROGRESION DE USUARIOS EN EL MUNDO

               AÑO                  Nº Usuarios

               1990                 0,7-1 millón

               2000               300-400 millones

               2002               400-500 millones

               2003               500-600 millones

               2004                800 millones

               2005                1.000 millones




                                                     Fuente: Angus Reid Group
     Cantidad de Usuarios de INTERNET
                en Argentina

•   De acuerdo a un estudio
    realizado      por       una
    consultora, Internet fue uno
    de los indicadores que
    continuó creciendo durante
    la    crisis en    Argentina
    durante el 2002.

• Si bien la tasa de crecimiento fue menor que en tiempos
 anteriores, en el año 2005, la cantidad de Usuarios de
 Internet en el país llegó a los 3.900.000 (10% población).

• Mientras que hoy hay mas de 10 millones de usuarios, lo
 que representa aproximadamente, el 26% de la población.


            Fuente: D'Alessio IROL Tracking sobre penetración de Internet-2003
              Comercio electrónico

En el pasado, la posibilidad de conectarse con millones de
clientes las 24 horas al día, los 7 días de la semana, era
solamente posible para las grandes corporaciones.


                  Ahora, incluso una compañía con recursos
                  limitados puede competir con rivales más
                  grandes ofreciendo productos y servicios
                  por Internet con una inversión modesta.



                      www.mercadolibre.com.ar/
Los clientes no solamente compran fácilmente sus
productos, sino que las compañías también han
innovado      el     uso     de  conceptos     como
“personalización” para crear relaciones exclusivas e
individuales con los clientes.


Las compañías que utilizan la personalización pueden
identificar a sus clientes virtuales por el nombre,
ofrecerles productos basados en hábitos de compra
previos y almacenar de manera segura la
información de la dirección del domicilio para agilizar
las compras en línea.
Artículo obtenido de infobae.com del día 15
            de agosto de 2006.

  • “Más de un millón de argentinos realizan compras en
   Internet”.

  • El 32,94% de los usuarios de Internet de la Argentina usa
   la red para realizar compras, lo que representa más de 1,3
   millones de personas.

  • Los  datos surgen de una encuesta realizada por
   DeRemate.com en conjunto con Zoomerang.com, un motor
   de encuestas online utilizado por empresas de todo el
   mundo para hacer investigaciones entre personas que
   tienen acceso a Internet y navegan en forma habitual.

  • El informe revela que para el 35,25% de las personas que
   compra por Internet lo hace por "la comodidad que ofrecen
   las diferentes variantes de comercio electrónico que
   existen".
•   Un 29,51% señaló que lo hace porque es allí donde
    encuentran los mejores precios y un 23,77% dijo que usa
    este medio debido a que le facilita encontrar productos que
    tienen particularidades que hacen que sea complejo
    encontrarlos de otro modo.

•   El relevamiento abarcó 2.632 casos seleccionados al azar a
    través de una metodología que incluyó 29 preguntas sobre
    diferentes temas relacionados con el comercio electrónico.


                     Principales motivos de compras en
                                  INTERNET
                                 1
                                1 ,47%
                                                                  29,51%




                35,25%

                                                           23,77%


               M ejo res precio s   M ás Variedad   Co mo didad   Otro s M o tivo s



                             http://www.infobae.com/notas/nota.php?Idx=157323&IdxSeccion=100439
Surgen nuevos desafíos que las empresas deben superar para
tener éxito:


        “Deben ofrecer servicios fáciles de utilizar y

            totalmente seguros porque guardan

        información confidencial como direcciones o
                                  11,47

           números de las tarjetas de crédito

          personales, información de cuentas

         bancarias, historias médicas, etc.”.
 El amplio desarrollo de las nuevas tecnologías informáticas
  está ofreciendo un nuevo campo de acción a conductas
  antisociales y delictivas manifestadas en formas antes
imposibles de imaginar, ofreciendo la posibilidad de cometer
    delitos tradicionales en formas no tradicionales.
  John Schwarz, presidente y gerente de operaciones de
  Symantec, comparte sus opiniones sobre por qué la
  seguridad demanda una atención especial de los directivos.

1. ¿Por qué la seguridad es tan importante para los
   directivos?
   Con las amenazas al ciberespacio cada vez más frecuentes
   y complejas, una violación a la seguridad podría ser
   devastadora para una empresa al afectar sus operaciones,
   la reputación corporativa y la confianza de los clientes y
   accionistas.

2. ¿Qué cambios percibe en relación con las amenazas
   al ciberespacio?
  La nueva generación de amenazas en Internet puede
  atacar sin avisar puesto que la velocidad de distribución
  ha pasado de semanas a días y de días a horas.

  En el futuro, veremos amenazas que se propagan en
  minutos o incluso segundos.
 Caso real:
• Aproximadamente a las 15:00 horas empezó a distribuirse
 un virus en las instalaciones de una empresa, a través de un
 correo electrónico que le llegó al área de ventas.

• La distribución consistía de tomar las listas de distribución de
 los miembros.

• Toda la compañía quedó sin comunicaciones, ya que el
 poderoso virus congestionó la Red completa, por el lapso de
 tres horas, quedando prácticamente fuera de línea, sin
 brindar ningún servicio. La facturación de la empresa es
 alrededor de 2,000,000,000.00 de dólares anuales.

• 2,000,000,000 se dividen por 4380 horas de trabajo al año
 y se multiplica por 3 horas perdidas, lo que nos arroja un
 total de $1'369,863.01 USD.
            Pishing
  “Se conoce como „phishing‟ a la
suplantación de identidad con el fin de
apropiarse de datos confidenciales de
            los usuarios ”.
          ¿Qué es el Phishing?

• Uso de un tipo de ingeniería social, caracterizado por
 intentar adquirir información confidencial de forma
 fraudulenta, (contraseñas, información detallada sobre
 tarjetas de crédito, información bancaria).



• El estafador, mejor conocido como phisher se hace
 pasar por una persona o empresa de confianza en una
 aparente comunicación oficial electrónica, por lo común
 un correo electrónico o algún sistema de mensajería
 instantánea.
      Historia del phishing
•El término phishing viene de la palabra en inglés
"fishing" (pesca) haciendo alusión al acto de pescar
usuarios    mediante    señuelos   cada   vez   más
sofisticados y de este modo obtener información
financiera y contraseñas.

•También se dice que el término "phishing" es la
contracción de "password harvesting         fishing"
(cosecha y pesca de contraseñas).

•La primera mención del término phishing data en
1996, fue adoptado por crackers que intentaban
"pescar" cuentas de miembros de AOL.
                Phishing en AOL



               AOL tomó medidas tardíamente en 1995 para
               prevenir el Phishing.



• Un cracker se hacía pasar como un empleado de AOL y
 enviaba un mensaje instantáneo a una víctima potencial.

• Para poder engañar a la víctima de modo que diera
 información sensitiva, el mensaje podía contener textos
 como "verificando cuenta" o "confirmando información de
 factura".
•Una vez el usuario enviaba su contraseña, el atacante podía
tener acceso a la cuenta de la víctima y utilizarla para varios
propósitos.

•En 1997, AOL reforzó su política respecto al phishing y
fueron terminantemente expulsados de los servidores de
AOL.

•Durante ese tiempo el phishing era tan frecuente que
decidieron añadir en su sistema de mensajería instantánea,
una línea que indicaba que "no one working at AOL will ask
for your password or billing information" ("nadie que trabaje
en AOL le pedirá a usted su contraseña o información de
facturación").

• Simultáneamente   AOL desarrolló un sistema que
desactivaba de forma automática una cuenta involucrada en
phishing, comúnmente antes de que la víctima pudiera
responder.
   Intentos recientes de phishing
• Los intentos más recientes de phishing se han comenzado a
  dirigir a clientes de bancos y servicios de pago en línea.

• En principio es enviado por phishers de forma indiscriminada
  con la esperanza de encontrar a un cliente de dicho banco o
  servicio.

• Estudios recientes muestran que los phishers son capaces de
  establecer con qué banco una posible víctima tiene relación,
  y de ese modo enviar un e-mail, falseado apropiadamente, a
  la posible víctima.

• En   términos generales, esta variante
 hacia objetivos específicos en el phishing
 se ha denominado spear phishing
 (literalmente phishing con lanza).
Hemos recibido el aviso que has procurado recientemente retirar la siguiente
suma de tu cuenta.
Ejemplo de un intento de phishing, haciéndose pasar por un
Si esta información no está correcta, alguien desconocido puede tener acceso a tu
e-mail oficial, trata de engañar a los miembros del banco
cuenta. Como medida de seguridad, visite nuestro sitio Web, a travésdel link que
se encuentra aquí abajo para verificar tu información personal
para que den información acerca de su cuenta con un enlace
a la página del phisher.
Una vez que has hecho esto, nuestro departamento de fraude trabajará para
resolverlo.
          Técnicas de phishing
• La mayoría de los métodos de phishing utilizan alguna
 forma técnica de engaño en el diseño para mostrar que un
 enlace en un correo electrónico parezca una copia de la
 organización por la cual se hace pasar.

• URLs mal escritas o el uso de subdominios son trucos
 comúnmente usados por phishers, como el ejemplo en
 esta URL:

 http://www.trustedbank.com/general/custverifyinfo.asp

• Otro ejemplo para disfrazar enlaces es el de utilizar
 direcciones que contengan el carácter arroba: @, para
 posteriormente preguntar el nombre de usuario y
 contraseña.
• Por ejemplo, el enlace:


        http://www.google.com@members.tripod.com/

 puede engañar a un observador casual a creer que el enlace
 va a abrir en la página de www.google.com, cuando
 realmente el enlace envía al navegador a la página de
 members.tripod.com (y al intentar entrar con el nombre de
 usuario de www.google.com, si no existe tal usuario, la
 página abrirá normalmente).

• Este método ha sido erradicado desde entonces en los
 navegadores de Mozilla e Internet Explorer.

• Otros intentos de phishing utilizan comandos en JavaScripts
 para alterar la barra de direcciones. Esto se hace poniendo
 una imagen de la URL de la entidad legítima sobre la barra de
 direcciones, o cerrando la barra de direcciones original y
 abriendo una nueva que contiene la URL legítima.
• En otro método popular de phishing, el atacante utiliza los
  propios códigos del banco o servicio del cual se hacen
  pasar contra la víctima.

• Este tipo de ataque resulta particularmente problemático,
  ya que dirigen al usuario a iniciar sesión en la propia
  página del banco o servicio, donde la URL y los certificados
  de seguridad parecen correctos.

• En este método de ataque los usuarios reciben un mensaje
  diciendo que tienen que "verificar" sus cuentas, seguido
  por un enlace que parece la página web auténtica en
  realidad, el enlace esta modificado para realizar este
  ataque, además es muy difícil de detectar si no se tienen
  los conocimientos necesarios.
      Lavado de dinero producto
             del phishing
• Se está tendiendo actualmente a la captación de personas
  por medio de e-mails, chats, donde empresas ficticias les
  ofrecen trabajo,ofreciendoles ejercer desde su propia casa
  y amplios beneficios.

• Todas aquellas personas que aceptan se convierten
  automáticamente en víctimas que incurren en un grave
  delito bajo su ignorancia: el blanqueo de dinero obtenido a
  través del acto fraudulento de phishing.

• Para que una persona pueda darse de alta con esta clase
  de empresas debe rellenar un formulario en el cual se
  indicarán entre otros datos, la cuenta bancaria.

• Esto tiene la finalidad de ingresar en la cuenta del
  trabajador-víctima el dinero procedente de las estafas
  bancarias realizadas por el método de phishing.
• Con cada acto fraudulento de phishing la víctima recibe el
 cuantioso ingreso en su cuenta bancaria y es avisado por
 parte de la empresa del mismo.

• Una vez hecho este ingreso la víctima se quedará un
 porcentaje del dinero total, pudiendo rondar el 10%-
 20%, como comisión de trabajo y el resto lo reenviará a
 través de sistemas de envío de dinero a cuentas
 indicadas por la seudo-empresa.

• Dado el desconocimiento de la víctima (muchas veces
 motivado por la necesidad económica) esta se ve
 involucrada en un acto de estafa importante, pudiéndose
 ver requerido por la justicia, previa denuncia de los
 bancos.

• Estas denuncias se suelen resolver con la imposición de
 devolver todo el dinero sustraído a la víctima, obviando
 que esta únicamente recibió una comisión.
   Daños causados por el phishing
La gráfica muestra el incremento en los reportes de phishing
desde Octubre del 2004 hasta junio de 2005.

Los daños causados oscilan entre la pérdida del acceso al correo
electrónico a pérdidas económicas sustanciales.

Este estilo de robo de identidad se está haciendo más popular
por la facilidad con que personas confiadas revelan información
personal a los phishers.
• Se estima que entre mayo del 2004 y mayo
  del 2005, aproximadamente 1.2 millones de
  usuarios de computadoras en los Estados
  Unidos tuvieron pérdidas a causa del
  phishing, lo que suma a aproximadamente
  $929 millones de dólares estadounidenses.

• Los negocios en los Estados Unidos perdieron
  cerca de 2000 millones de dólares al año
  mientras sus clientes eran víctimas.

• El Reino Unido también sufrió el alto
  incremento en la práctica del phishing. En
  marzo del 2005, la cantidad de dinero que
  perdió   el   Reino     Unido    era    de
  aproximadamente £12 millones de libras
 esterlinas.
                    Respuesta social

• Una estrategia para combatir el phishing consiste en entrenar a los
  usuarios para enfrentarse a posibles ataques.

• Un usuario que es contactado sobre la necesidad de "verificar" un
  cuenta puede o bien contactar con la compañía la cual es tema del
  correo, o teclee la dirección web de un sitio web seguro en la barra de
  direcciones de su navegador.

• Muchas compañías, se dirigen a sus clientes por su nombre de usuario
  en los correos electrónicos, de manera que si un correo electrónico se
  dirige al usuario de una manera genérica como ("Querido miembro de
  xxxx") es probable de que sea un intento de phishing.

• Las páginas han añadido herramientas de verificación que permite a los
  usuarios ver imágenes secretas que los usuarios seleccionan por
  adelantado, sí estas imágenes no aparecen, entonces el sitio no es
  legítimo.

• Monitorización continua, analizando y utilizando medios legales para
  cerrar páginas con contenido phishing.
Procedimientos para protegerse del "phishing“:

   1.   Nunca responda a solicitudes de información
        personal a través de correo electrónico. Si tiene
        alguna duda, póngase en contacto con la entidad
        que supuestamente le ha enviado el mensaje.

   2.   Para visitar sitios Web, introduzca la dirección
        URL en la barra de direcciones.

   3.   Asegúrese de que el sitio Web utiliza cifrado.

   4.   Consulte frecuentemente los saldos bancarios y
        de sus tarjetas de crédito.

   5.   Comunique los posibles delitos relacionados con
        su información personal a las autoridades
        competentes.
Paso 1: Nunca responda a solicitudes de información personal a
través de correo electrónico.

Las empresas de prestigio nunca solicitan contraseñas, números
de tarjeta de crédito u otro tipo de información personal por
correo electrónico. Si recibe un mensaje que le solicita este tipo
de información, no responda.

Si piensa que el mensaje es legítimo, comuníquese con la
empresa por teléfono o a través de su sitio Web para confirmar
la información recibida.

Paso 2: Para visitar sitios Web, introduzca la dirección URL en
la barra de direcciones.

Si sospecha de la legitimidad de un mensaje de correo
electrónico de la empresa de su tarjeta de crédito, banco o
servicio de pagos electrónicos, no siga los enlaces que lo
llevarán al sitio Web desde el que se envió el mensaje.

Las nuevas versiones de Internet Explorer hacen más difícil
falsificar la barra de direcciones, por lo que es una buena idea
visitar Windows Update regularmente y actualizar su software.
Paso 3: Asegúrese de que el sitio Web utiliza cifrado.
Si no se puede confiar en un sitio Web por su barra de
direcciones, ¿cómo se sabe que será seguro?
Existen varias formas: En primer lugar, antes de ingresar
cualquier tipo de información personal, compruebe si el sitio
Web utiliza cifrado para transmitir la información personal.
En Internet Explorer puede comprobarlo con el icono de color
amarillo situado en la barra de estado.




Este símbolo significa que el sitio Web utiliza cifrado para
proteger la información personal que introduzca.
Paso 4: Consulte frecuentemente los saldos bancarios y
de sus tarjetas de crédito.

Incluso si sigue los tres pasos anteriores, puede
convertirse en víctima de las usurpaciones de identidad. Si
consulta sus saldos bancarios y de sus tarjetas de crédito
al menos una vez al mes, podrá sorprender al estafador y
detenerlo antes de que provoque daños significativos.

Paso 5: Comunique los posibles delitos relacionados con
su información personal a las autoridades competentes.

Si cree que ha sido víctima de "phishing", proceda del
siguiente modo:

•Informe   inmediatamente del fraude a la empresa
afectada. Si no está seguro de cómo comunicarse con la
empresa, visite su sitio Web para obtener la información de
contacto adecuada.
• Proporcione los detalles del estafador, como los mensajes
recibidos, a la autoridad competente a través del Centro de
denuncias de fraude en Internet.

•Este centro trabaja en todo el mundo en colaboración con las
autoridades legales para clausurar con celeridad los sitios Web
fraudulentos e identificar a los responsables del fraude.
              Respuestas técnicas
• Varios programas de software anti-phishing están
  disponibles. La mayoría de estos programas trabajan
  identificando contenidos phishing en sitios web y correos
  electrónicos.

• El software anti-phishing puede integrarse con los
 navegadores web y clientes de correo electrónico como una
 barra de herramientas que muestra el dominio real del sitio
 visitado.

• Los filtros de spam también ayudan a proteger a los
  usuarios de los phishers, ya que reducen el número de
  correos electrónicos relacionados con el phishing que un
  usuario puede recibir.
                    Anti-Phishing
Existen varias técnicas para combatir el phishing, incluyendo la
legislación y la creación de tecnologías específicas que tienen
como blanco evitar el phishing.


Indicador de nivel de Pishing actual
 La Asociación de Internautas ha creado el indicador
 AlertPhising para uso de los sitios web que deseen ofrecer a
 sus visitantes información en línea del estado de los ataques.

 El indicador AlertPhising es una aplicación sencilla, que indica
 mediante distintos colores y niveles el estado de alerta de
 ataques de Phishing a las entidades que están siendo
 suplantadas.
             Filtro antiphishing en
              Internet Explorer 7
 Internet Explorer 7, incorporará un filtro antiphishing
 destinado a proteger a los usuarios de las estafas basadas en
 sitios webs falsificados.

 La tecnología será similar a la ya desplegada en la actualidad
 por las barras de herramientas antiphishing, basándose tanto
 en la detección "heurística" (patrones genéricos), listas
 negras, y listas blancas de sitios confiables.

 A efectos prácticos, el usuario podrá visualizar diferentes
 avisos que le indicarán el grado de peligrosidad de la página
 web que visita.

 Si bien desde el punto de la tecnología no aporta ninguna
 novedad, el hecho de que se integre por defecto en el
 navegador más utilizado ayudará a que gran parte de los
 usuarios cuenten con una primera línea de defensa.
Barras antiphishing para navegadores
Respuestas legislativas y judiciales
  • El 26 de enero de 2004, la FTC (Federal Trade
    Commission) llevó a juicio el primer caso contra un
    phisher sospechoso.

  • El defendido, un adolescente de California, creó y
    utilizó una página web con un diseño que aparentaba
    ser la página de American Online para poder robar
    números de tarjetas de crédito.

  • Tanto Europa como Brasil siguieron la práctica de los
    Estados Unidos, rastreando y arrestando a presuntos
    phishers.

  • A finales de marzo del 2005, un hombre de 24 años
    fue arrestado utilizando un backdoor, a partir de que
    las víctimas visitaron su sitio web falso, en el que
    incluía un keylogger que le permitía monitorizar lo que
    los usuarios tecleaban.
• Del mismo modo, las autoridades arrestaron al
  denominado phisher kingpin, Valdir Paulo de Almeida,
  líder de una de las más grandes redes de phishing que
  en dos años había robado entre $18 a $37 millones de
  dólares estadounidenses.

• En los Estados Unidos, se introdujo el Acta Anti-
  Phishing del 2005 el 1 de marzo del 2005.

• Esta ley federal de anti-phishing establecía que aquellos
  criminales que crearan páginas web falsas o enviaran
  spam a cuentas de e-mail con la intención de estafar a
  los usuarios podrían recibir una multa de hasta
  $250,000 USD y penas de cárcel por un término de
 hasta cinco años.
• La compañía Microsoft también se ha unido al esfuerzo
  de combatir el phishing.

• El 31 de marzo del 2005, Microsoft llevó a la Corte del
  Distrito de Washington 117 pleitos federales. En algunos
  de ellos se acusó al denominado phisher "John Doe" por
  utilizar varios métodos para obtener contraseñas e
  información confidencial.

• Microsoft espera desenmascarar con estos casos a varios
  operadores de phishing de gran envergadura.

• En marzo del 2005 también se consideró la asociación
  entre Microsoft y el gobierno de Australia para educar
  sobre mejoras a la ley que permitirían combatir varios
 crímenes cibernéticos, incluyendo el phishing.
Tapa diario Clarín. Domingo 27 de agosto de 2006.
Los 10 virus más detectados
              Conclusión

• Debemos mencionar que no existe un sistema
 computarizado que garantice al 100% la
 seguridad de la información, por la inmensa
 mayoría de diferentes formas con las cuales se
 pueden romper la seguridad de un sistema.
• Dado el creciente número de denuncias de
 incidentes relacionados con el phishing se
 requieren métodos adicionales de protección.
• Se  han realizado intentos con leyes que
 castigan la práctica, campañas para prevenir a
 los usuarios y aplicación de medidas técnicas a
 los programas, y aun así no es suficiente.
                BIBLIOGRAFIA
Wikipedia, la enciclopedia libre. En:
es.wikipedia.org/wiki/Phishing

Páginas Web para robar datos. N. Rojo. Septiembre
20004. En:
http://www.consumer.es/web/es/tecnologia/internet/
2004/09/22/109261.php

Robo de datos Por Internet. El 'phishing', delito
informático de moda. L. Tejero. Julio de 2004. En:
http://www.elmundo.es/navegante/2004/07/29/esoci
edad/1091118343.html

Todo lo que debe saber acerca del "phishing“. Publicado:
27/05/04. En:
http://www.microsoft.com/latam/seguridad/hogar/spa
m/phishing.mspx

Filtro antiphishing en Internet Explorer 7.
http://www.desarrolloweb.com/articulos/2099.php
Heuristica: En computación, dos objetivos fundamentales para la mayoría
de casos son encontrar algoritmos con buenos tiempos de ejecución y
buenas soluciones, usualmente las óptimas. Una heurística es un algoritmo
que ofrece uno o ambos objetivos; por ejemplo, normalmente encuentran
buenas soluciones, aunque en ocasiones no hay pruebas de que la solución
no pueda ser arbitrariamente errónea; o se ejecuta razonablemente rápido,
aunque no existe tampoco prueba de que deba ser así.

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:9
posted:4/29/2010
language:Spanish
pages:47