1 / 36

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

Universidad de La Coruña. Phishing. Seguridad en Sistemas de información Master en Informática. Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña. Índice. Phishing. Introducción Historia Definición Proceso de Phishing Tipos de phishing Recomendaciones de seguridad Casos Reales.

tadeo
Télécharger la présentation

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Universidad de La Coruña Phishing Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  2. Índice Phishing • Introducción • Historia • Definición • Proceso de Phishing • Tipos de phishing • Recomendaciones de seguridad • Casos Reales Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  3. Introducción Phishing Creciente popularización de servicios de banca electrónica y comercio basado en Web Aumento de fraudes y estafas financieras a través de Internet Este tipo de ataques se ha acuñado con el termino “Phishing” Acceder al sistema con intenciones maliciosas Introducir un virus Destruir datos personales o equipos Nueva generación de ataques Recopilar información personal Realizar operaciones fraudulentas Realizar estafas electrónicas Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  4. Historia Phishing • “Phishing” se encuentra relacionado con el denominado “Phreaking” • Acuñado a mediados de los años noventa por los crackers que • intentaban robar las cuentas de los clientes de AOL • El timador se presentaba como empleado de la empresa • El timador enviaba un correo a la víctima, solicitando que relevara su contraseña • Una vez que la víctima entregaba las claves, el atacante podría tener acceso a la cuenta de ésta • 1997, AOL reforzó su política respecto al “phishing” • Añadir un sistema de mensajería instantánea • “no one working at AOL will ask for your password or billing information” • Sistema que desactivaba de forma automática • una cuenta involucrada en “phishing” Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  5. Historia Phishing • 10 años después los casos de phishing se han extendido, • afectando a numerosas entidades • 90% de las campañas de phishing esta orientadas hacia el sector financiero • Los otros tipos de ataques están orientados: • Comercio electrónico • Servicios de reservaciones • Almacenes comerciales Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  6. Definición Phishing Modalidad de estafa caracterizada por suplantar la identidad con el fin de apropiarse de datos confidenciales de los usuarios • Phishing se trata de un término similar al de la palabra inglesa “fish” (pescar) • Un pescador lanza un sedal en el agua repetidamente con un cebo • El cebo es una pieza de un aparejo de pesca que parece un sabroso pez más pequeño, pero en realidad es un desagradable anzuelo • Al final, el cebo capta la atención de un pez que pica • El pez engañado se engancha al anzuelo y se encuentra con la muerte Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  7. Definición Phishing Los ataques de “phishing” causan mayores estragos entre los usuarios principiantes de servicios de comercio y banca electrónica, quienes podrían considerar 'normal' el recibir un correo electrónico solicitándoles ir a una Web para ingresar su información • Ataque phishing puede producirse de varias formas: • Mensaje a un teléfono móvil • Llamada telefónica • Aplicación Web que simula una entidad • Ventana emergente • Recepción de un correo electrónico Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  8. Proceso Phishing Phishing • Paso 0: • Phisher identifica la identidad financiera a clonar mediante herramientas informáticas • Phisher procede a instalar la página clonada de la entidad en un servidor Web Extensión del dominio original del servidor Web Creado especialmente para este fin El dominio usado Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  9. Proceso Phishing Phishing • Paso 1: • Dar a conocer a la mayor cantidad de personas el link fraudulento • El medio preferido para difundir el portal fraudulento es el SPAM Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  10. Proceso Phishing Phishing • Paso 2: • La víctima hace clic sobre el link direcionandolo a la página Web fraudulenta Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  11. Proceso Phishing Phishing • Paso 3: • La víctima ingresa los datos requeridos comprometiendo información confidencial en el sitio fraudulento Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  12. Proceso Phishing Phishing • Paso 4: • La información capturada es guardada o enviada a otro servidor • para poder ser usado en transacciones ilegales Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  13. Proceso Phishing Phishing • Paso 5: • El phisher con la información confidencial capturada procede a robar el dinero Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  14. Tipos de Phishing Phishing Phishing engañoso • Forma primitiva de “phishing” • La herramienta de comunicación utilizada es mediante el correo electrónico • Los ejemplos de llamada a la acción son muy diversos • Los correo y los sitios falsos son diseñados con mucha atención en el detalle • Dos variantes: • Vishing • Utiliza el teléfono como herramienta • Basado en un software denominado “war dialers” • Smashing • Utiliza mensajes de texto a móviles Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  15. Tipos de Phishing Phishing Phishing basado en software malicioso • Implica la ejecución de un software malicioso en el ordenador de la víctima • La propagación de este tipo de “phishing” puede depender: • Técnicas de ingeniería social • El ataque debe conseguir que el usuario • realice alguna actuación que permita la • ejecución del malware en su ordenador • Explotar vulnerabilidad del sistema • Aprovechan fallos en la seguridad • del sistema de un sitio Web legítimo • para introducir software malicioso Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  16. Tipos de Phishing Phishing Phishing basado en software malicioso • Keyloggers y Screenloggers • Secuestradores de sesión • Troyanos Web • Ataques de reconfiguración del sistema • Robo de datos Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  17. Tipos de Phishing Phishing Phishing basado en software malicioso • Keyloggers y Screenloggers • Programas que registran las pulsaciones que se realizan en el teclado • Las Aplicaciones están programadas para ponerse en funcionamiento al acceder a alguna Web registrada • Los datos son grabados y enviados al delincuente • Versiones más avanzadas capturan movimientos de ratón • Los “Screenloggers” capturan imágenes de la pantalla que son remitidos al atacante Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  18. Tipos de Phishing Phishing Phishing basado en software malicioso • Secuestradores de sesión • El ataque se produce una vez que el usuario ha accedido a alguna Web • No roba datos, directamente actúa cuando la víctima ha accedido a su cuenta corriente • Los programas suelen ir “disfrazados” como un componente del propio navegador Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  19. Tipos de Phishing Phishing Phishing basado en software malicioso • Troyanos Web • Programas maliciosos en forma de ventanas emergentes • Hacer creer al usuario que está introduciendo la información en el sitio Web real Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  20. Tipos de Phishing Phishing Phishing basado en software malicioso • Ataques de reconfiguración del sistema • Modificar los parámetros de configuración del sistema del usuario Modificar el sistema de nombres de dominio Instalación de un “proxy” para canalizar la información Dos tipos de modificación Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  21. Tipos de Phishing Phishing Phishing basado en software malicioso • Robo de datos • Códigos maliciosos que recaban información confidencial de la máquina en la que esta instalado Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  22. Tipos de Phishing Phishing Phishing basado en el DNS o “Pharming” • Este delito supone un peligro mayor • Menor colaboración de la víctima • El “disfraz” parece más real • Modificar fraudulentamente la resolución del nombre de dominio enviando • al usuario a una dirección IP distinta • Táctica consistente en cambiar los contenidos del DNS Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  23. Tipos de Phishing Phishing Phishing mediante introducción de contenidos • Introducir contenido fraudulento dentro de un sitio Web legítimo • 3 categorías: • Asaltar el servidor aprovechando una vulnerabilidad • Introducir contenido malicioso a través del “cross-site scripting • Aprovechar la falta de mecanismos de filtrado en los campos de entrada Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  24. Tipos de Phishing Phishing Phishing mediante la técnica del intermediario • El delincuente se posiciona entre el ordenador y el servidor • Posibilidad de escuchar toda la comunicación entre ambos • El usuario no detecta que está siendo víctima de un delito Phishing de motor de búsqueda • Los delincuentes crean páginas Web para productos o servicios falsos • Introducen la página en los índices de los motores de búsqueda • Normalmente las falsas ofertas tienen condiciones sensiblemente mejores Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  25. Recomendaciones de seguridad Phishing Comprobación del Certificado Digital del servidor Web antes de confiar en su contenido Certificado Digital de servidor Certificado de seguridad (mail.ucv.udc) Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  26. Recomendaciones de seguridad Phishing • Las direcciones de las páginas Web seguras empiezan por https:// • Reforzar la seguridad • Cerrar expresamente las conexiones seguras haciendo clic en la • correspondiente opción habilitada por la empresa en la página Web • Nunca se debe acceder a un formulario de autenticación a través de un • enlace desde otra página Web o desde el texto de un correo electrónico • Desconfiar de un mensaje de correo recibido en nombre de la entidad • financiera con una solicitud para entregar datos personales • No establecer conexiones a este tipo de Websites desde lugares públicos • Comprobar que la dirección URL de acceso no incluye • elementos sospechosos Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  27. Recomendaciones de seguridad Phishing • No instalar nuevos programas y controles en el navegador • sin antes comprobar su autenticidad • Guardar de forma segura los datos y claves de acceso • Habilitar la función del navegador que permite advertir del cambio entre • el contenido seguro (conexión SSL) y el no seguro Cambio entre conexión segura y no segura Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  28. Recomendaciones de seguridad Phishing • Las aplicaciones Web deben estar programadas para utilizar páginas • de autenticación independientes • Revisar periódicamente las cuentas • Utilizar nuevas alternativas propuestas por algunos bancos para • evitar tener que teclear las contraseñas • Comunicar los posibles delitos relacionados con la información personal • a las autoridades competentes Teclado virtual Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  29. Caso Real Phishing Banco Santander Central Hispano • Características de seguridad: • Autoridad Certificación • Conexiones Seguras SSL • Privacidad • Como actuar en caso de phishing • Banco Santander permite ponerse en contacto: • Teléfono 902 24 24 24 • Buzón Superlinea Santander • A mayores proporciona un enlace a la página: • http://www.nomasfraude.com/spain “1º Campaña contra el robo De identidad y el fraude on-line” Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  30. Caso Real Phishing Banco Santander Central Hispano Ejemplo de un caso real de ataque phishing detectado en Internet • Pasos del ataque phishing • Recepción del correo fraudulento • Acceder a la página fraudulenta • Completar el formulario Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  31. Caso Real Phishing Banco Santander Central Hispano • Recepción del correo fraudulento • Características del correo: • Nombres de compañía ya existente: • Banco Santander • Factor miedo: • Instalar nuevo sistema de seguridad • Enlace: • Página fraudulenta Correo phishing Banco Santander Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  32. Caso Real Phishing Banco Santander Central Hispano • Acceder a la página fraudulenta Página fraudulenta creada por los estafadores: Página oficial del banco: • El diseño de la página esta muy bien lograda • La página fraudulenta solicita la información de acceso a la cuenta Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  33. Caso Real Phishing Banco Santander Central Hispano • Completar el formulario • Rellenar los datos personales del usuario: • Nif • Clave de acceso • Entrar en la aplicación: • Se muestra un mensaje de error • La información ingresada es enviada a los estafadores Mensaje de error Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  34. Caso Real Phishing Banco Caja Madrid • Características de seguridad: • Autoridad Certificación • Sistemas informáticos protegidos del exterior por un sistema de firewalls • Monitorización continua de todas las aplicaciones • Seguimiento inmediato de cualquier incidencia del servicio de Internet • Información almacenada aislada con las máximas medidas de seguridad • Como actuar en caso de phishing • Caja Madrid permite ponerse en contacto: • Teléfono 902 24 68 10 Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  35. Caso Real Phishing Banco Caja Madrid Correo phishing Caja Madrid Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

  36. Universidad de La Coruña Phishing Muchas Gracias por vuestra atención ¿Alguna Pregunta? Seguridad en Sistemas de información Master en Informática Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña

More Related