Phishing

Phishing según Wikipedia.

Suplantación de identidad o Phishing es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social.

Se trata de una técnica de hacking que consiste en suplantar una identidad para conseguir un objetivo a través del engaño a una víctima. Habitualmente está acompañada de una metodología que consiste en crear un scam (copia) de una página web, para que un usuario introduzca sus datos que obtendrá posteriormente el atacante.
Engañando al posible estafado, suplantando la imagen de una empresa o entidad pública, de esta manera hacen “creer” a la posible víctima que realmente los datos solicitados proceden del sitio “Oficial” cuando en realidad no lo es.” seguridad.internautas.org

Cabe señalar que esta estrategia es muy usada por por los ciber-delincuentes debido a su sencillez, pues consiste en suplantar una página web; copiando normalmente el panel de login donde la víctima deposita toda su confianza, y a través de ella, las contraseñas y nombres de usuario son enviados directamente al atacante.


Cómo funciona el phishing.

Todo phishing conlleva un falso aviso (generalmente vía e-mail) ya sea de entidades bancarias, tarjetas de crédito, proveedores/vendedores, o sistemas de pago digital (núcleo objetivo del phishing). Normalmente la estafa informática consiste en solicitar al usuario actualizar con urgencia sus datos confidenciales o relevantes bajo pretextos de que corren peligro o se han perdido, problemas del sistema, o anuncios de bloqueo de la cuenta; pero que en definitiva, induzcan a que la víctima introduzca información confidencial.

El uso de la ingeniería social para “convencer” a la víctima es indispensable en este área, y no pocas veces, el mensaje engañoso consiste (irónicamente) inducir a que se haga clic en un link e ingrese el nombre de usuario y contraseña para “protegerse del phishing”.

En muchos ejemplos de phishing observamos como se sitúa a la víctima en un contexto de tensión o peligro (sus credenciales han sido robadas y debe restablecerlas, por ejemplo) con el fin de que actúe erroneamente.

Los expertos en seguridad suelen indicar que la duración promedio de un sitio de phishing es de cinco días, tiempo en que los filtros anti-phishing detectan el sitio malicioso, y los ciber-delincuentes que emplean esta técnica deben registrar nuevos dominios para continuar con sus fines.

Sin embargo, aunque hay que tener en cuenta la apreciación temporal, esta no es una regla que se cumpla siempre: hay sitios web de phishing que se mantienen años.

Por otra parte, hay que señalar que dependiendo de la “calidad” de los mensajes de phishing enviados por e-mail o la web copiada del sitio falso, va a depender la probabilidad de éxito del ataque.

Recordemos que las URL adjuntas al mail-estafa están pensadas para aparentar que provienen de una fuente legítima (a la que será redirigido el usuario), por lo que contienen pequeñas modificaciones si la comparamos con el sitio auténtico y que al usuario descuidado o menos experimentado le puede pasar inadvertida.

Ilustremos con un ejemplo:

  • web original: www.bancooficial.com
  • web copia: www.banco-oficial.com

El empleo de guiones puede inducir al user a no sospechar del engaño. El mismo comentario para el uso de / o cambio de una letra.

Las imágenes a continuación son una buena muestra de ejemplo del comentario precedente:

Underc0de - phishing url

Underc0de - phishing

Hay que añadir que la sustracción de datos bancarios, aunque sea lo más común en el phishing, no es el único objetivo de éste. Puede conducir también a sitios que descargan spyware, keyloggers o troyanos, cuando no la tan actual amenaza de ransomware.


Tipos de phishing

Si bien venimos relatando del phishing clásico, es oportuno mencionar otras variantes de este tipo de estafa.

Phishing redirector.

Esta clase de phishing tiene una variante respecto al tradicional, no solo en los niveles de complejidad sino que como indican en WeLive Security.

  • “…esta técnica es utilizada en campañas masivas, por lo tanto utiliza por lo menos dos o más sitios o dominios para perpetuar la estafa.”

Se caracteriza por:

  • “el uso de acortadores de URLs, inyección de iframes y la explotación de técnicas ligadas a los marcos en el código HTML.”

El común denominador de estas técnicas distintas, es el empleo de “una redirección para reflejar un sitio almacenado en determinado servidor desde otro servidor. Este será visible solo bajo un estudio del código fuente.”

Spear phishing.

A diferencia de los anteriores, apunta a personas o grupos reducidos, generalmente miembros o personal de una empresa. Debido a esto no solo se personalizan con el nombre del destinatario, sino que incluyen enlaces falsos de sitios conocidos o con buena reputación.

Este tipo de phishing no suelen dirigirse al personal de dirección, normalmente se dirige a los empleados comunes y menos expertos que ocupan cargos en sectores no informáticos.

Implica un estudio previo de perfiles sociales para detectar a los individuos más vulnerables o que mayores beneficios puedan reportar bajo el empleo de la consigna: identificar el eslabón más débil dentro de la red corporativa que se intenta engañar.

Smishing (SMS)

Otra técnica relacionada es el smishing, cuya diferencia con el phishing consiste en que el robo de identidad se hace por medio de un mensaje de texto a través del teléfono móvil.

Underc0de - smishing

La notificación fraudulenta de la ganancia de premios es el canal más usual, teniendo el destinatario que responder con sus datos confidenciales para validar y acceder al falso premio.

En la actualidad, con los smartphones y tablets, han surgido un gran número de variedades; una muy usual en lugar del utilizar el servicio de SMS, emplea aplicaciones de mensajería como WhatsApp o Telegram.

Esto también ha dado lugar a que en vez de requerir un sms con las credenciales, se envíe a la víctima a una web maliciosa para infectar su terminal.

Otros objetivos que persigue esta técnica destinados a smartphones son la suscripción a servicios SMS premium o la llamada a números de tarificación especial

Nuevamente, WeliveSeguridad nos aporta una captura (a modo de ejemplo) para resaltar esta variante de la clase smishing:

Underc0de - sms smishing

Este es un medio de gran ventaja para el atacante porque no le implica costos y es de rápida y ágil propagación.

Vishing.

Es oportuna una mención a otra modalidad de phishing que también involucra medios telefónicos: los casos de vishing. Esta variante implica un montaje más elaborado a través de falsos centros de atención telefónica para la realización de llamadas o SMS fraudulentos, haciéndose pasar por una entidad bancaria o similar.

El objetivo es también el robo de información confidencial, pero la técnica empleada es VoIP (voz sobre ip). Dicha información es posteriormente vendida o utilizada para actos delictivos.

En todo caso, el delincuente informático ha de contar con algún mecanismo para el envío de spam para hacer llegar la estafa a los teléfonos móviles de los confiados usuarios.

Para cerrar este apartado, cabe la referencia a un caso altamente conocido, fue The Fappening, en el cual se infiltraron imágenes desnudas de famosas, y donde Ryan Collins se hizo pasar por ICloud.

Underc0de - filtraciones


Detección de phishing

La tarea de identificar un phishing no es nada fácil, pero existen detalles y métodos para poder detectarlo.

  • Comprobar el protocolo de seguridad https. La “S”, es un plus de seguridad de un sitio web, aunque no otorgue absoluta certidumbre.
  • Es de buena práctica mirar el candado de certificado de seguridad. Se puede comprobar el mismo haciendo clic sobre el candado que aparece en el sitio
  • Revisar la ortografía. Tanto en direcciones de sitios web como en los e-mails recibidos. En estos últimos hay que alertar que la ortografía ha mejorando notablemente, redactándose con más cuidado y precisión.
  • Verificar el dominio de correo electrónico “si el dominio de tu banco es [email protected] y nos llega un correo de nuestro supuesto banco con el correo [email protected] Pero en todo caso, recordar que las entidades bancarias, financieras o similares NO solicitan datos confidenciales por estos medios, por tanto ignorar y eliminar este tipo de mensajes.

Otras Recomendaciones

Es buena medida evitar abrir spam o archivos adjuntos sin analizarlos. Debe primar siempre la sospecha de malicioso para tomar la decisión de abrir o ejecutar un adjunto.

Desterrar la tendencia a hacer clic en enlaces incluidos en mensajería de correo, SMS, Facebook, Twitter, o aplicaciones del tipo WhatApp o Telegram. Es recomendable pasar el cursor sobre el vínculo para ver si el enlace es auténtico, aún a sabiendas que no es simple detectar la suplantación de uno verdadero. Es imprescindible desconfiar de todo enlace acortado.

Nunca llamar a los números telefónicos que aparecen en este tipo de mensajes.

Por último tener presente que: nuestros datos confidenciales como la contraseña, son como el cepillo para dientes: de estricto uso personal y no se comparten con nadie.


Documentación.

Puede ampliarse esta información en los siguientes enlaces: