Mostrando entradas con la etiqueta Contraseñas Ceguras. Mostrar todas las entradas
Mostrando entradas con la etiqueta Contraseñas Ceguras. Mostrar todas las entradas

sábado, 3 de enero de 2015

Tipos de ataques informáticos (I): Robo de idendidad y ataques a sitios web

El robo de identidad, la suplantación de la personaldad o la usurapción del estado civil, es un delito. Según el artículo 401 de nuestro Código Penal, tan sólo se considerará delito si se usurpa el estad civil de otra persona física. Se produce en el momento que en el que atancante requisa información personal tanto de personas físicas, como jurídicas.

 Figura 1. Cartel película 'Robo de Identidad', (2004).

      No es nada fácil adquirir nuevos hábitos, ¿verdad?. Pero la pasión y las ganas de mejorar en el nuevo año, son los compromisos adquiridos con la profesión... pues vamos, que espera el merecido descanso semanal.

        Hace unos días, a través de 'facebook' una chica se pertcaba de que su fotografía de perfil, había sido utilizada sin su consentimiento; aparecía en varios perfiles con nombres de chica, y tras el razonable enfazo, busco las soluciones para minorar o prever los efectos de aquello que en un primer momento no supo encuadrar.

     Trataré de utlizar un lenguaje sencillo, tenemos todo el año para aprender y profundizar en cada uno de los ataques, y también comentar los que puedan ir surgiendo al amparo de las tecnologías.

TIPOS DE ATAQUES INFORMÁTICOS: SUPLANTACIÓN DE IDENTIDAD Y ATAQUES A SITIOS WEB

     La suplantación de identidad de servicios en internet es una de las técnicas más utilizadas para lograr robar datos de millones de personas exitosamente, pues para gente con poca experiencia en la seguridad informática es difícil identificar un ataque de este tipo hasta que ya es demasiado tarde.


     El Phishing es uno de los diferentes tipos de ataques de suplantación de identidad que existen. ¿Qué es el Phishing? ¿Cómo puedo identificar un ataque de Phishing y protegerme?, esas preguntas serán respondidas a continuación. Además, también profundizaremos en otro tipo de ataque muy ligado al Phishing: el Pharming

¿QUÉ ES EL PHISHING?
    
     Phishing es un término utilizado para referirse a una de las formas de suplantación de identidad de servicios como medio para realizar una estafa. El modus operandi común de los usuarios de esta técnica (conocidos como phishers), es el de enviar un correo electrónico a miles de personas (o cientos de miles, llegando en algunas ocasiones al millón) donde se hacen pasar por alguna empresa importante, como Google o Facebook, y solicitan información personal al usuario, frecuentemente datos bancarios que les permitan robar la cuenta.

     Por ejemplo, recientemente Google ha anunciado su nuevo servicio: Google Inbox, pero como aún esta en fase beta, se necesita una invitación por correo electrónico para acceder al servicio. Los phishers saben esto y han empezado a atacar: envían un correo electrónico que señalan que has sido seleccionado para probar Google Inbox, y después agregan un enlace para supuestamente acceder al servicio, pero al entrar al enlace, se te pedirá iniciar sesión con tu cuenta de Google. Obviamente, este enlace no te llevará a la página de Google
, sino que te envía a una página falsificada que imita su diseño, pero que no enviará la información a Google, sino a un servidor clandestino que se quedará con tus datos. Después de identificarte con tu cuenta de Google, serás redireccionado a una página de error, señalando que el proceso no se pudo completar.
     
Figura 2.Captura de pantalla del nuevo servicio de Google 'Inbox'.

     Es muy fácil que si no conoces las técnicas de Phishing, caigas en esta estafa, pues hablan de un servicio real, y es enviado desde una dirección de correo electrónico aparentemente fiable (inbox@google.com).


     Los ataques de Phishing son realmente baratos de realizar, y pueden dejar grandes ingresos a los atacantes aún con un porcentaje de éxito mínimo, como puedes ver en la siguiente imagen:

Figura 3. Estimación de ganancias de un atacante por Phishing.

AHORA HABLAMOS DE PHARMING

     El Pharming es otra técnica de suplantación de identidad ligada al phishing, pero con importantes diferencias. El Pharming consiste en que un atacante logre alterar el servidor DNS (Domain Name System, el servidor encargado de "traducir" las direcciones IP de los sitios web a dominios .com, .net, etc.) que utilices para redirigirte a páginas web maliciosas, desde donde podrán robar tus datos.


   Por ejemplo, imagina que el atacante logre infectar tu equipo mediante un troyano u otro tipo de malware, y cambie el archivo hosts de Windows (que realiza las funciones de DNS), provocando que al entrar, por ejemplo, a Gmail, seas redireccionado a un sitio malicioso que imite su diseño, y donde tengas que introducir los datos de tu cuenta (como normalmente harías al entrar a Gmail) para continuar. El final es igual que el Phishing: después de identificarte serás enviado a una página de error indicando que el proceso no se ha completado, o en algunos casos, serás redireccionado a la página real, para no provocar sospechas, pero tus datos ya habrán sido robados.


    El Pharming es aún más peligroso que el Phishing, ya que, si fue realizado con apoyo de malware, después del primer ataque, el atacante sigue controlando tus DNS, por lo que podría realizar numerosos ataques más. Además, el usuario se encuentra más desprotegido, pues a diferencia del Phishing, con el Pharming estarías entrando a la URL verdadera del sitio web, y sería sobre la marcha que después sería falsificado.
      
CÓMO NOS PODEMOS PROTEGER

    Como el Phishing no es un ataque realizado directamente a tu equipo, protegerse de este no es realmente complicado, sólo necesitas aprender a distinguir los correos de phishing y no hacer click en sus enlaces.

CÓMO IDENTIFICAR UN MENSAJE DE PHISHING
 
§  Verifica el campo de remitente. La mayoría de los phishers utilizan direcciones de correo electrónico similares a las de empresas reales, pero no iguales (por ejemplo, no-reply@hotmail.com en vez de no-reply@microsoft.com). No obstante, es relativamente sencillo enviar un correo electrónico de phishing desde una dirección de correo real (esto es llamado e-mail spoofing), por lo que no debe ser el único método que utilices para protegerte.

§  Verifica el campo de destinatarios. Si el mensaje de la supuesta empresa tiene más destinatarios además de ti, entonces es falso. Todas las empresas grandes realizan mensajes personalizados automáticamente, por lo que sólo debería haber un destinatario; aunque de nuevo, no confíes únicamente en este método, ya que es fácilmente ocultable la lista de destinatarios con tan sólo marcar "CCO" antes de enviar el mensaje.

§ El cuerpo del mensaje incluye contenido genérico (por ejemplo, empieza con "Estimado usuario/a"), como mencioné, la gran mayoría de empresas y páginas web utilizan sistemas para enviar mensajes personalizados de forma automática, por lo que en caso de que estés registrado, te escribirán mencionando tu nombre. En algunos casos, el cuerpo del mensaje también incluye faltas de ortografía.

§ Y lo más común: el enlace mencionado en el cuerpo del mensaje no coincide con el enlace que abre el navegador. Siempre verifica que la barra de direcciones indique la URL legitima del sitio web al que intentas acceder.

§ Finalmente, ten en cuenta esto: Ninguna institución o empresa te pedirá que introduzcas datos personales por medio de un e-mail. Todo mensaje que recibas solicitándote esto, puede ser un intento de Phishing.

 Figura 4. Cartel anunciador la película 'Identity Thief'.
      
CARACTERÍSTICAS DEL PHARMING

     El Pharming es una variante del Phishing que requiere ataques más elaborados, muchas veces con necesidad de utilizar malware para tener éxito. La mayoría de los ataques de Pharming implican que el equipo ya haya sido infectado con malware que modifique el archivo hosts de Windows, por lo que el principal consejo aquí sería mantener tu antivirus actualizado y analizar tu equipo con frecuencia. Existen muchos antivirus gratuitos muy recomendables, como AVG, Avira o Panda Cloud



     Verifica la URL de los sitios web que visitas. Aunque pienses que entras a un enlace legitimo, la redirección por DNS que realiza el Pharming puede cambiar el sitio web al que entras "sobre la marcha" y enviarte a una página web falsa; pero esta técnica no puede engañar a la barra de direcciones del navegador, que en todo momento mostrará la URL real a la que accedas. 


   En caso de que ya hayas sido víctima del ataque, debes proceder a analizar tu equipo en busca de malware con tu antivirus, y abrir el archivo hosts de Windows que se encuentra en:

C:\Windows\System32\drivers\etc\hosts


     Para abrirlo, haz click derecho y después ve a Abrir con, ahí selecciona Bloc de Notas. Será necesario otorgar derechos de administrador para continuar. Después, al final del texto del archivo, elimina todos los registros excepto los que dicen "localhost".

RECOMENDACIONES Y ÚTILES PARA PROTEGERNOS: WOT
§ Algunos consejos generales que aplican para protegerte, no sólo de Phishing y Pharming, sino de los ataques informáticos en general.


§ Instala el complemento WOT (Web of Trust) en tu navegador, te indicará si estas visitando un sitio web malicioso o falso. 

Figura 5. Captura de pantalla del complemento WOT.
     
WOT muestra la reputación de cada sitio web y te permite conocer 
si estas en peligro al visitarlo.


RECOMENDACIONS Y ÚTILES PARA PROTEGERNOS: EveryWhere

     Instala el complemento HTTPS Everywhere en tu navegador, ya que este obliga al navegador a utilizar conexiones seguras al entrar en cada sitio web. Los ataques de Phishing y Pharming nunca utilizan conexiones seguras, por lo que HTTPS Everywhere te notificará antes de entrar. 


     Mantén actualizado tu antivirus e instala un antimalware, como Malwarebytes.


    Nunca des información personal en internet por medio de correos electrónicos o sitios web que no utilicen conexiones seguras.


CÓMO EVITAR EL ROBO DE IDENTIDAD

 Figura 6. Ilustración DNI.

     Ejemplo de señora que quería pedir ayuda porque al ir a pedir un crédito para un viaje estas navidades se lo denegaron porque estaba incluida en el fichero de morosos de ASNEF. Este fichero es consultado por las entidades financieras para compartir información de deudores y evitar que un estafador vaya pidiendo créditos, una a una, a todas las financieras. En este caso ella no había sido responsable, y parece que alguien la había suplantado su identidad para contratar varios servicios que, evidentemente, dejó sin pagar.

RECOMENDACIONES

§ Se le puede recomendar con una denuncia en la comisaría y contactando con la empresa que la había dado de alta haciéndoles llegar una copia de todos los documentos, probablemente la sacaran. Al cabo del tiempo confirmó que así había sido, la sacaron del fichero de ASNEF, pero aún estaba intrigada por cómo habían sacado sus datos.

§ "Fácil”, "seguro que están en algún lugar de Internet. Búscate.."Lo hizo y se sorprendió que así fuera. Lo cierto es que siempre suelen ser por las mismas cosas, así que, aunque sea básico, vamos a conocerlos para no sufrir un caso de estos, que si te roban tu DNI o todos los datos de tu identidad, pueden causar un daño real.

CUIAD DE FACILITAR TUS DATOS
§  Cuando envías un Curriculum Vitae a cualquier sitio, no es necesario que pongas tu DNI y tu dirección personal. Todos esos Curricula Vitae que vas enviando pueden acabar en cualquier sitio, y especialmente es peligroso cuando pones esos datos en Internet tú mismo.    
§   Lo mismo sucede con los pies de los correos electrónicos, o los mensajes de OOO (Out of Office) que a veces muestran más detalles de los estrictamente necesarios. No regales tus datos personales a cualquiera. 

Figura 7.  Cuida de facilitar tus datos en cualquier lugar.

PRUEBA A BUSCAR TUS DATOS EN INTERNET
§  No debería pasar, pero algunas veces los formularios que rellenas en sitios webs o en documentaciones de la administración pública, acaban por ser indexados en la web. Si estos datos personales quedan allá cualquiera puede utilizarlos para intentar construir la identidad completa. Buscar periódicamente en ellos, e incluso tener un alerta con Google para que te avise cada vez que encuentre una publicación con ellos puede ser una buena idea.

  Prueba a buscar tus datos en Internet

................... To be continued.....................

 

Recursos y complementos: