El Phishing - No pesques la Trampa.
Definición de Phishing
Es
un término informático que denomina un tipo de delito incluido dentro del
ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo
de ingeniería social caracterizado por intentar adquirir información
confidencial de forma fraudulenta (como puede ser una contraseña o información
detallada sobre tarjetas de crédito u otra información bancaria). El estafador,
conocido como phisher, se hace pasar por una persona o empresa de confianza en
una aparente comunicación oficial electrónica, por lo común un correo
electrónico, o algún sistema de mensajería instantánea o incluso utilizando
también llamadas telefónicas. (Wikipedia).
Origen
del término.
El término phishing
proviene de la palabra inglesa "fishing" (pesca), haciendo alusión al intento de hacer que los
usuarios "piquen en el anzuelo". A quien lo practica se le llama
phisher. También se dice que el término "phishing" es la contracción
de "password harvesting fishing" (cosecha y pesca de contraseñas),
aunque esto probablemente es un acrónimo retroactivo, dado que la escritura “ph”
es comúnmente utilizada por hackers para sustituir la f, como raíz de la
antigua forma de hacking telefónico conocida como phreaking.
Los
principales daños provocados por el phishing son:
1.
Robo de identidad y datos confidenciales de
los usuarios. Esto puede conllevar pérdidas económicas para los usuarios o
incluso impedirles el acceso a sus propias cuentas.
2.
Pérdida de productividad.
3.
Consumo de recursos de las redes
corporativas (ancho de banda, saturación del correo, etc.
El
escenario de Phishing generalmente
está asociado con la capacidad de duplicar una página web para hacer creer al
visitante que se encuentra en el sitio web original, en lugar del falso. El
engaño suele llevarse a cabo a través de correo electrónico y, a menudo estos
correos contienen enlaces a un sitio web falso con una apariencia casi idéntica
a un sitio legítimo. Una vez en el sitio falso, los usuarios incautos son
engañados para que ingresen sus datos confidenciales, lo que le proporciona a
los delincuentes un amplio margen para realizar estafas y fraudes con la
información obtenida.
La
principal manera de llevar adelante el engaño es a través del envío de spam
(correo no deseado) e invitando al usuario a acceder a la página señuelo. El
objetivo del engaño es adquirir información confidencial del usuario como
contraseñas, tarjetas de crédito o datos financieros y bancarios. A menudo,
estos correos llegan a la bandeja de entrada disfrazados como procedentes de
departamentos de recursos humanos o tecnología o de áreas comerciales
relacionadas a transacciones financieras.
Phishing
mediante Web falsa(Xploit)
Un
Xploit es una copia exacta de páginas que al ser enviada se aprovecha de la
imagen y estructura del sitio original para hacer entrar en confianza al usuario
y que este facilite su contraseña. Te mandan un correo de una postal Gusanito o
cualquier otra cosa, intentas abrirlo y cuando haces esto, resulta que te
saliste de tu cuenta de Hotmail y te pide que coloques nuevamente tu correo y
contraseña al hacer esto, tu password se lo envía a la persona que te envío ese
correo, como resultado de ello, le acabas de dar tu contraseña sin que le haya
costado el minino esfuerzo.
Phishing Mediante Mensajería Instantánea
(MSN Messenger)
Dos
de los ejemplos más recientes son las páginas quienteadmite y noadmitido
destinadas a robar el nombre y contraseña de los usuarios de MSN a cambio de
mostrarle los visitantes que las
utilicen, quien los ha borrado de su lista de contactos. Esta técnica consiste
en pedirle al usuario final su usuario o correo electrónico y luego la
contraseña, datos que son enviados luego a la base de datos del autor de la página,
y así almacenando la información para poder acceder a dichas cuentas.
Consejos para evitar ser víctima del
phishing
No hagas clic a enlaces
que vienen en correos electrónicos.
Esta
es la práctica más importante. Instituciones responsables nunca piden datos
confidenciales por email. Si sientes que debes verificar alguna información,
accede a la página web relacionada directamente, sin hacer clic a ningún enlace
en el correo electrónico. Aun cuando la dirección web parezca auténtica,
pudiera hacer un re-direccionamientos a páginas falsas.
Para visitar una página introduce la
dirección en la barra de direcciones
Esto
es para evitar los re-direccionamientos mencionados en la recomendación
anterior. Teclea la dirección (o URL) en la barra de direcciones del navegador
Internet, si realmente consideras necesario visitar la página web.
Disminuye la cantidad de correo no
deseado que recibes
Los
mensajes con intenciones de hacer phishing se distribuyen mediante correo
electrónico, por lo cual toda acción que contribuya a disminuir el correo no
deseado o spam que recibes, contribuye a reducir el riesgo.
No proporciones información
confidencial
Números
de tarjetas de crédito, de seguridad social, direcciones, licencias de
conducir, claves y números de acceso, son considerados información confidencial
y las instituciones responsables nunca piden datos confidenciales por email o
mediante un enlace enviado por email.
Nunca envíes información confidencial
por correo electrónico
El
correo electrónico no es el medio más seguro para enviar información
confidencial, no sólo por una posible intercepción, sino porque si alguien
adquiere acceso a tu computadora, o a la de la persona a la que lo enviaste,
dicha información queda expuesta.
El
phishing para que tenga éxito debe lograr que un usuario incauto caiga en
la trampa,
ya que está basado en la ingeniería social y esta continua
siendo una de las metodologías de ataque más utilizada por creadores de malware
y usuarios con fines maliciosos debido al alto nivel de eficacia logrado
engañando al usuario. “Frente a este panorama, resulta fundamental
que los usuarios conozcan las artimañas que circulan en Internet para evitar
ser víctimas de engaño que suelen apuntar al robo de identidad o de dinero”.
Fuentes
Investigadas.
·
Panda Security.
·
Wikipedia.
·
segu-info.com.ar
·
aprenderinternet.about.com
·
eset-la.com
·
elblogdejorgechu.com
.jpg)
0 comentarios