¡Que no te pesquen!: ataques en la Web

Noticias

¡Que no te pesquen!: ataques en la Web

28/01/2011

Compartir
Facebook Twitter Copiar enlace WhatsApp LinkedIn

El Phishing es una técnica de fraude muy utilizada en Internet para obtener datos que puedan resultar de interés a un tercero. El usuario es pescado a través de copias de sitios o correos electrónicos fraudulentos que actúan como señuelo. Actualmente hay una nueva modalidad de engaño: el Tab-nabbing.

¿Alguna vez recibió un correo electrónico diciendo…

… que le habían depositado dinero en su cuenta o que había salido favorecido con un gran premio, y era necesario su cuenta bancaria para el depósito?
…que debía cambiar su password de correo siguiendo un enlace dentro del mail?
…que debía comprobar si su cuenta estaba bien configurada y era necesario indicar información personal?
… que debía completar un formulario con datos personales para comprobar que la cuenta sigue activa?

Estos son solo algunos ejemplos de las excusas más utilizadas para "pescar" a un usuario y obtener su información privada. Si se siente identificado con alguno de estos casos, fue víctima de un ataque de "Phishing".

El “Phishing” es una técnica de fraude muy utilizada en Internet para obtener información como números de tarjetas de crédito, contraseñas, información de cuentas bancarias, entre otros datos personales que puedan resultar de interés para un tercero. El concepto que hay detrás de este tipo de ataque es simple: se crean copias de sitios o correos electrónicos tan convincentes que son casi idénticas a las originales (el sitio puede ser igual o casi igual al contenido original pero con algunas leves modificaciones para no levantar las sospechas de la víctima).

En este tipo de sitios se le solicita a la víctima que ingrese sus datos, como por ejemplo el número de tarjeta de crédito.
Es común recibir esta clase de ataques a través de SMS, mensajes de correo electrónico (en modalidad de spam) o por medio de ventanas emergentes que simulan ser sitios confiables (son idénticos a los originales), pero que exhiben el contenido malicioso creado por el atacante. En el caso de los correos electrónicos, generalmente son enviados desde una entidad que es similar a la que el usuario opera normalmente, pero no es la verdadera.

Si la víctima no se percata de que se trata de un contenido falso, procederá a completar los datos que se le solicitan, por lo cual se puede decir que “mordió el anzuelo”, y el ataque ha sido exitoso. Posteriormente, el atacante podrá iniciar transferencias bancarias, compras con su tarjeta de crédito, acceder a su cuenta de correo o cualquier tipo de acciones fraudulentas que puedan surgir a partir de los datos obtenidos.

En estas últimos meses se ha advertido un nuevo método de “Phishing” denominado “Tab-nabbing”, que no sigue con el método de propagación vía spam antes mencionado. Este nuevo procedimiento se apoya en que a diario se utilizan pestañas (tabs) para mantener diferentes sitios abiertos a la vez desde el navegador web.

El “Tab-nabbing” funciona de la siguiente manera: cuando se detecta que la pestaña ha quedado inactiva por más de cierto tiempo se cambia el contenido de una página (la página en sí y la información desplegada en la pestaña como el ícono y el nombre). De este modo, cuando el usuario selecciona esa pestaña se le presenta un sitio al que cree ya ha ingresado con anterioridad y trabajará en él, cayendo en la trampa.

A diario es común usar un “browser” para navegar por Internet, y se hace cada vez más más necesario trabajar con varias pestañas abiertas en forma simultánea, de modo de tener un acceso rápido a páginas que al usuario le resultan de interés, como por ejemplo Google, Hotmail, Yahoo, etc. El ataque de “Tab-nabbing” se lleva a cabo desde una página (abierta en una de esas pestañas) que haya sido diseñada o infectada con esos propósitos y sin que sea percibido por el usuario mientras recorre las pestañas de su navegador.

De esta manera, cuando la página maliciosa detecte que el usuario no está trabajando en ella, cambiará su propio contenido y la información desplegada en la pestaña en la que se encuentra. Así dicha página simulará, por ejemplo, la pantalla de “login” de un webmail para que el usuario ingrese sus credenciales sin advertir que la página ha sido modificada y no es la del servicio que dice ser.

Todo el contenido malicioso de esa página es casi idéntico al del sitio original por lo cual el usuario confía en él; a simple vista el usuario no puede apreciar nada que levante sospechas sobre la autenticidad del sitio ya que hasta la pestaña del navegador es simulada.
Cuando se efectúa el ataque la acción tradicional del usuario es loguearse. En ese caso, el atacante ha tenido éxito y desde ese momento cuenta con los datos de acceso del usuario.

No muerdas el anzuelo

Prevenir ser víctima de estos ataques es simple, alcanza con prestar atención y saber que:

Si recibe un correo que le solicita información personal, financiera o de cualquier otra índole no le responda. Y si éste contiene un enlace a un sitio externo, no vaya a ese sitio. Se debe tener en cuenta que las organizaciones (y principalmente los bancos) están al tanto de este tipo de ataque y nunca van a pedir información personal por ese medio, ni telefónicamente, ni por SMS o FAX.
Si tiene sospechas en los vínculos que vienen en los mails “confiables”, introduzca manualmente la dirección a la que lo lleva. De ese modo, si ve que la dirección difiere del sitio ya puede notar que se trata de un intento de “phishing”.
En los sitios en los que vaya a ingresar información personal, verifique adecuadamente los indicadores de seguridad que le muestra el navegador como por ejemplo: compruebe que se esté utilizando una comunicación cifrada (puede darse cuenta si en la barra de direcciones, la dirección del sitio comienza con https://) y que el certificado presentado por el sitio sea emitido por una entidad de confianza (como por ejemplo Verisign o El Correo).
Para evitar ser víctima del “Tab-nabbing”, compruebe que la dirección presentada por el navegador se corresponde con el sitio al que se quiere acceder.
Mantenga actualizado el software de su PC, tanto el sistema operativo como el antivirus (algunos traen capacidad de detectar casos de “Phishing”).
Permanezca informado (subscripciones vía RSS es un buen método) sobre los tipos de ataques más comunes a los que puede estar expuesto en Internet. Hay sitios especializados que cuentan con información actualizada de las últimas amenazas a las que se está expuesto en Internet. Por ejemplo, el sitio del CERTuy (www.cert.uy) que, entre otras cosas, es el encargado en dar respuesta a incidentes de seguridad informática a nivel nacional.
Comunique los posibles intentos de “phishing” a las autoridades y actores correspondientes, como por ejemplo al CERTuy y a la empresa o institución por la que se quieren hacer pasar.