Video curso e-Commerce - E23 - Phishing cómo protegernos 1/2

Juan Carlos Mejía Llano
Video curso e-Commerce - E23 - Phishing cómo protegernos 1/2
o Definición de Phishing:
 Phishing es un delito mediante el cual se intenta adquirir información confidencial de forma fraudulenta tal como:
o Usuarios y contraseñas
o Información detallada sobre tarjetas de crédito
o Otra información bancaria.
 El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza (generalmente una entidad financiera) en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.
 La persona engañada al ingresar al sitio falso para autenticarse o actualizar información entrega la información confidencial al phisher.
 El phisher utiliza esta información para realizar compras electrónicas como si fuera la persona estafada.
 De las amenazas vistas hasta ahora es decir virus y spyware, el Phishing representa una mayor amenaza para las personas que compran por Internet. Lo anterior debido a que los antivirus existentes apenas están empezando a trabajar en el tema.

o Técnicas de phishing:
 La mayoría de los métodos de phishing utilizan una copia del sitio Web real con características idénticas creada por el impostor.
 El phisher envía un e-mail a sus víctimas solicitando actualización de información o ingresar a su cuenta de manera urgente para evitar pérdida de información. Todo lo anterior con un enlace en el mail dirigiendo al usuario al sitio falso.
 URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers.
 Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL legítima.
 En otro método popular de phishing, el atacante utiliza contra la víctima el propio código de programa del banco o servicio por el cual se hace pasar.
 Este tipo de ataque resulta particularmente problemático, ya que dirige al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque (conocido como Cross Site Scripting) los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace está modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios.
 Otro problema con las URL es el relacionado con el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dοminiο.com, aunque en el segundo las letras "o" hayan sido reemplazadas por la correspondiente letra griega ómicron, "ο"). Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homógrafos, ningún ataque conocido de phishing lo ha utilizado.
 Otra forma de Phishing es el lavado de dinero. Actualmente empresas ficticias intentan reclutar tele trabajadores por medio de e-mails, chats y otros medios, ofreciéndoles no sólo trabajar desde casa sino también otros jugosos beneficios. Aquellas personas que aceptan la oferta se convierten automáticamente en víctimas que incurren en un grave delito sin saberlo: el blanqueo de dinero obtenido a través del acto fraudulento de phishing.
 Para que una persona pueda darse de alta con esta clase de empresas debe rellenar un formulario en el cual indicará, entre otros datos, su número de cuenta bancaria. Esto tiene la finalidad de ingresar en la cuenta del trabajador-víctima el dinero procedente de estafas bancarias realizadas por el método de phishing. Una vez contratada, la víctima se convierte automáticamente en lo que se conoce vulgarmente como mulero.
 Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su cuenta bancaria y la empresa le notifica del hecho. Una vez recibido este ingreso, la víctima se quedará un porcentaje del dinero total, pudiendo rondar el 10%-20%, como comisión de trabajo y el resto lo reenviará a través de sistemas de envío de dinero a cuentas indicadas por la seudo-empresa.
 Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad económica) ésta se ve involucrada en un acto de estafa importante, pudiendo ser requerido por la justicia previa denuncia de los bancos. Estas denuncias se suelen resolver con la imposición de devolver todo el dinero sustraído a la víctima.

Category:

Education

Tags:

• Video
• curso
• e-Commerce
• Phishing
• phisher
• spoofing
• Juan
• Carlos
• Mejía
• Llano

License:

Standard YouTube License