Phishing es una forma de fraude o de robo de datos cuyo grupo de destino posible son clientes de proveedores de servicios en Internet (ISP), instituciones financieras, banca online, autoridades, etc.

Cuando introduce su dirección de email en Internet, por ejemplo en formularios online o al acceder a grupos de noticias o sitios Web, los datos pueden ser robados por programas rastreadores de red o crawlers y utilizados sin consentimiento para fines fraudulentos u otros delitos.
 

El concepto del phising

Los phishers crean sitios Web falsificados que se parecen a los sitios de proveedores conocidos y fiables. A continuación lanzan el señuelo con ayuda de bancos de datos de correo electrónico o direcciones de email generadas aleatoriamente.
Se envía por correo electrónico o por mensajería instantánea un mensaje con un asunto creíble. En él se solicita la comunicación de datos confidenciales, que deben introducirse en un sitio Web (vínculos de tipo "Haga clic aquí", de URL, de imágenes, de texto) o directamente en un formulario incluido en el correo electrónico. La solicitud es aparentemente lógica y normalmente se recibe la amenaza de que el no cumplimiento de esas instrucciones conlleva consecuencias, lo que tiene como fin desencadenar una reacción inmediata.

Ejemplos de asunto de los mensajes:
"Actualice su cuenta de PayPal"
"¡Su cuenta de eBay ha sido bloqueada!“

En la mayoría de los casos se solicitan los siguientes datos o datos similares:
$ Número de la tarjeta de crédito
$ Número secreto y claves de transferencia para cajeros automáticos o banca en Internet
$ Datos de la cuenta
$ NIF
$ Contraseñas
$ Datos de la cuenta de email
$ Otros datos personales

En el momento en que se hayan introducido los datos, estos dejan de ser confidenciales o secretos y serán utilizados por estafadores para llevar a cabo sus fraudes. Normalmente es muy difícil volver a recuperar el dinero, ya que los sitios de phising se retiran de la red ya tras pocos días e incluso horas.
 

Técnicas de phising

Principalmente se utiliza un email aparentemente confidencial con el que se atrae al internauta a un sitio Web falsificado. Algunos correos electrónicos de phising contienen formularios de solicitud o pedido en la parte del mensaje. Tenga en cuenta que las instituciones reales jamás envían correos electrónicos con formularios ni solicitando datos personales.

La URL de la página web falsificada puede variar de la URL correcta. Pero las URLs también pueden falsificarse:

  • Ingeniería social:
    La URL se parece mucho a la URL auténtica, lo que no siempre se distingue a primera vista. Así la URL http://www.bancopalma.com puede falsificarse con http://www.bancopaIma.com. ¿Piensa que son iguales, no? ¡De ninguna manera! La "l" minúscula se ha sustituido por una "i" mayúscula en el ejemplo.
  • Puntos vulnerables del navegador:
    El sitio Web falsificado puede contener un script que aprovecha puntos vulnerables (exploits) del navegador. En este caso se visualiza la URL correcta, pero el contenido del sitio Web viene del servidor fraudulento. Un ejemplo sería la visualización de una imagen falseada superpuesta en la propia barra de dirección del navegador. No se puede hacer clic en el campo de introducción de esta barra para marcar la URL. Otros exploits pueden visualizar un campo de introducción falso, de tal manera que incluso puede hacer clic en el campo y marcar la URL.
  • Pop-ups emergentes:
    El vínculo del email lleva a la página web correcta, pero se abre en primer plano otra ventana de navegador. En principio es posible ver el sitio Web real sin peligro, pero la segunda ventana podría ser peligrosa. Los pop-ups (ventanas emergentes) no disponen normalmente de una barra de dirección, que permitiría identificar los sitios Web falseados.
  • Sin barra de dirección:
    Algunos sitios falsos no visualizan siquiera la barra de dirección. Así que si no tiene esto presente, puede ser que no se dé cuenta de que falta la barra.

Existen otras técnicas que pueden utilizarse adicionalmente o en lugar de las modificaciones de la barra de dirección para acceder a información confidencial.

  • Otros puntos vulnerables del navegador:
    A través de otros puntos vulnerables del navegador puede también descargarse y ejecutarse software dañino de todo tipo. En estos casos puede tratarse, por ejemplo, de un troyano que registra todas las pulsaciones del teclado y supervisa todo el tráfico de Internet, sobre todo, cuando introduce y envía datos a través de un formulario online.
  • Pharming:
    En este caso de habla de "redireccionamiento de dominios" (domain spoofing). Desvía a los usuarios a un sitio Web falsificado. Aunque la URL del navegador se ha introducido correctamente, se accede a un sitio Web falso. No obstante, la URL correcta se visualiza sin modificaciones. Para lograr un desvío de este tipo debe modificarse la resolución del nombre. Esto es posible modificando los ajustes del protocolo TCP/IP o mediante una entrada en el archivo host.
  • Man-in-the-Middle:
    Este es el método más exigente, ya que no se produce ninguna modificación en el PC local. El phisher se sitúa como "intermediario" y reenvía su conexión a un servidor falso.

Técnicas de camuflaje del phising

Un sitio Web de phishing puede utilizar otros trucos, como por ejemplo:

  • herramientas de ayuda visual falsificadas
  • menús contextuales ocultos

Los phishers evitan la detección por programas antispam y antiphishing usando las siguientes técnicas:

  • caracteres aleatorios o citas conocidas en el asunto o texto de los emails
  • texto no visible en los emails HTML
  • contenidos HTML o Java en lugar de texto normal
  • sólo gráficos (email sin texto)

Consecuencias

Ya que los phisher utilizan tantas técnicas diferentes e incluso combinaciones de ellas, no es sencillo detectar si un email proviene de una fuente oficial o no.

¿Qué consecuencias puede conllevar revelar informaciones confidenciales?
$ Los phisher pueden realizar cargos a su cuenta.
$ Pueden abrir nuevas cuentas y acordar contratos de prestaciones de servicios o alquiler en su nombre.
$ Pueden utilizar una identidad falsa para delinquir utilizando sus datos personales.

¡No muerda el anzuelo!

  • No rellene ningún formulario de correo electrónico con datos confidenciales. Todos los proveedores fiables utilizan sitios Web seguros y certificados digitales.
  • No haga clic en los enlaces contenidos en correos electrónicos, sobre todo, cuando no esperaba ese email. Pregunte al remitente si deseaba enviar ese correo electrónico. Utilice para ello el número de teléfono que haya recibido directamente de la empresa, no el del email.
  • No responda. Borre el mensaje y póngase en contacto con la empresa correspondiente (utilice para ello el número de teléfono que haya recibido directamente de la empresa, no el del email).
  • No haga clic en enlaces ni vínculos contenidos en estos mensajes. Introduzca manualmente la dirección en el navegador.

Reglas de seguridad

La reparación de los daños causados por phishing cuesta tiempo y crispación. Además de la pérdida de productividad y la utilización de recursos de red, sobre todo es usted el o la que sufre las consecuencias derivadas del robo de los datos. Debe preocuparse por acreditar su identidad y reclamar su patrimonio y derechos -entre muchas otras cosas- para volver a tener las manos limpias.

It is much easier to follow some basic safety rules:

  • Es mucho más fácil tener en cuenta un par de reglas de seguridad básicas:
  • Actualice siempre su sistema operativo con los nuevos parches en cuanto estén disponibles.
  • Sustituya Internet Explorer por otro navegador.
  • Utilice software antivirus y cortafuegos y manténgalo actualizado.
  • Introduzca siempre las URLs manualmente en lugar de hacer clic en un vínculo.
  • Asegúrese de que está visitando un sitio Web seguro (HTTPS) y compruebe los certificados digitales.
  • Compruebe sus cuentas y extractos regularmente y comunique el uso abusivo inmediatamente.
  • Ponga los emails sospechosos en conocimiento de empresas de seguridad TI y autoridades locales.

Puede enviar los correos electrónicos sospechosos a las siguientes direcciones de Avira:
virus@avira.com

Información sobre virus