Hostarting.es

Phishing, un ejemplo real y herramientas para combatir esta práctica

Posteado February 18, 2008 a 12:51 pm por Jordi Perez Feed Articulos

Hoy he recibido en mi e-mail un ejemplo muy trabajado de Phishing. Por su agudeza y por lo representativo que es, he querido tratar este tema al detalle en Pymecrunch.

El Phishing es una práctica delictiva que pretende obtener los datos privados de un usuario en las webs tipo bancos, Paypal, correo e-mail, etc. El usuario, confiado en que es un mensaje proveniente de un administrador web legítimo, cede su Identificador y Contraseña al estafador, pensando que se trata de una comprobación legítima y/o rutinaria.

Es un tema delicado, puesto que con esos datos, el delincuente puede hacer lo que quiera… por ejemplo:

  • Acceder a tu cuenta bancaria y desvalijarla.
  • Acceder a tu panel de control en tu compañía telefónica y cargarte a ti sus llamadas.
  • Comprar en tu nombre en tiendas online.
  • mandar e-mails masivos a un servidor web para colapsarlo (lo que se denominan ataques DDoS, tristemente de actualidad en los últimos días)
  • etc.

Hoy he sido víctima potencial de una estafa de este tipo, mediante un e-mail recibido en la carpeta SPAM de mi cuenta Gmail, referente a PayPal. Esta era la apariencia del e-mail:

Ejemplo de phishing

Como veis, la calidad del e-mail es notable. Parece legítimo. Hay un logotipo, copyright, está correctamente escrito, etc… No obstante, lo que me ha hecho sospechar (sin haber hecho clic en el enlace)

  • El emisor del e-mail no es un correo de paypal, aunque lo parezca.
  • Me lo han enviado a un e-mail que no se corresponde con el que yo di en mi cuenta de paypal

Si haces clic en el enlaceby clicking here Resolution Centervas a una pantalla de login y password. No obstante, también “informas” al emisor del SPAM de que la cuenta e-mail es verdadera y está en uso. Por tanto, para evitar esto, lo que hecho ha sido copiar el enlace en una nueva ventana de mi navegador, mediante el botón derecho del mail (copiar la ruta del enlace), así no haces clic directamente en el mail, y nadie puede verificar que el SPAM phishing que te han enviado ha ido a una cuenta verdadera y en uso.

Esta es la pantalla que había en esa ruta del enlace:

pantalla phishing paypal2

Como veis, la web destino del e-mail es de gran calidad. Parece realmente de Paypal.

Si hubiera entrado mi e-mail y mi password, automáticamente hubiera enviado mis datos de identificación a alguien que no es paypal, y, por consiguiente, pueden hacer con ellos y con mi cuenta lo que quieran.

El tema del Phishing es enormemente preocupante para todos los usuarios, pero sobretodo para aquellos más inexpertos que hubieran caído en una trampa como esta o similar. Como habéis visto en este ejemplo, la calidad del phishing objeto de este post es bastante notable.

>>> HERRAMIENTAS PARA EVITAR CAER EN UNA TRAMPA DE PHISHING:

  • Estate atento a los emisores de e-mail de este tipo. Verifica la autenticidad del e-mail de referencia en los detalles del e-mail.
  • Es raro que un servicio web necesite que le recuerdes tus datos. ¿¿Crees que tu banco necesita que hagas algo para recordarles tus datos?? si ya los tienen, no necesitan enviar mails a sus clientes para recordarselos.
  • Ante la duda, no hagas nada de lo que te diga el e-mail. Si realmente es importante que hagas algo para algún servicio web que necesita los datos, ¿¿no crees que ya te llamarán?
  • Sobretodo, ten instalada la última versión de tu navegador (la versión actual de Internet Explorer es la 7), puesto que tienen sistemas de detección de este tipo de fraudes. Firefox, por ejemplo, en el momento de que hubiera hecho clic al enlace, me hubiera sacado un mensaje de ADVERTENCIA de sitio web no legítimo. Los exploradores última versión tienen mecanismos habilitados para detectar estos fraudes, y particularmente el de Firefox es muy eficiente.
  • Estad atentos siempre.

7 Commentarios Publicado en: General, Trucos

Tags: , , ,

7 Comentarios para “Phishing, un ejemplo real y herramientas para combatir esta práctica”

1   Daniel | February 18, 2008

La verdad es que acojona este tema…mcuhas veces abro los mails rapidamente y sin fijarme mucho. Pueden hacer para que el remitente sea una cuenta paypal? Yo es en lo poco que me fijo…

2   Jordi | February 19, 2008

Pues sí que da miedo, la verdad. A todos nos pasa lo que a ti, que con el ajetreo vamos rápido y no siempre tenemos tiempo de fijarnos bien en estos e-mails…

Yo creo que tenemos que fijarnos bien en todo e-mail que recibamos de servicios susceptibles de ser Phishing… y estar atentos.

Fíjate como en este e-mail que yo recibí el emisor es akstcagbitaliamnsdgs @ agbitalia . it, y a parte, la ruta del enlace era http:// paypal- secure- check . com / eg / login.php … es decir, un dominio que da el pego pero que nada tiene que ver con el dominio www. paypal . com.

Total, que tenemos que estar atentos. Eso es lo más importante. Y, sobretodo, ante la duda, no hacer nada.

Saludos, Daniel!

3   Vishing: una nueva preocupación de seguridad » PymeCrunch | March 6, 2008

[...] no hace mucho en PymeCrunch de los peligros del phising, y del cuidado que hay que tener cuando recibimos correos [...]

4   Medidas De Seguridad contra el Phishing « DanMrk.NET | December 18, 2008

[...] en esta pagina pueden ver un ejmplo de phishing [...]

5   Cremark - El valor de una marca personal | January 5, 2009

[...] se dé de alta en twitter. Precisamente ahora, que muchos estamos siendo víctimas de un intento de phishing (bastantes han caído, a mi parecer, porque hasta hoy el twitter y tu comunidad generaba [...]

6   javier ramirez | January 5, 2009

En realidad no es cierto que al no hacer click en el enlace no pueden saber que el e-mail es válido.

Se puede hacer, muy fácilmente mediante la inserción de una imagen, que nada más abrir el e-mail, el que lo envió sepa que esa cuenta está activa.

La mejor manera de que no puedan saber que lo has leído es no leyéndolo. La segunda mejor es no mostrando las imágenes del e-mail hasta que sepas que realmente no es un scam. Algunos clientes de correo como thunderbird es el comportamiento que tienen por defecto.

La práctica de copiar el texto del enlace a una ventana del browser tampoco es la mejor del mundo. No siempre puedes ver a simple vista que un dominio no es real. Por ejemplo, te pueden mandar un mail de

http://www.paypal-spain.com
http://www.paypalonline.com
http://www.paypalservices.com

Que parecerían legítimas aunque no lo sean. Pero es que podrías recibir un dominio como

http://www.paypa1.com donde en lugar de una l han puesto un número ‘1′ y casi parece la misma letra (sobre todo dependiendo de la fuente)

pero es que podría ser peor, porque desde que en las URLs se soportan caracteres internacionales, hay letras en diferentes alfabetos que son prácticamente imposibles de reconocer. Es lo que se conoce como “homógrafos”, símbolos que son iguales visualmente, pero que son diferentes. Puedes ver unos cuantos ejemplos en http://en.wikipedia.org/wiki/IDN_homograph_attack

En este caso, te puede parecer que el dominio es exactamente el mismo, pero en realidad no lo es.

Afortunadamente, los navegadores modernos están bastante al tanto de este tipo de ataques, y utilizan filtros que se actualizan continuamente para prevenir este tipo de cosas. Por ejemplo, google como parte de su iniciativa “safe browising” mantiene una lista de sitios sospechosos que comparte cada 30 minutos con el resto del mundo, y navegadores como Firefox la usan para su filtro de phising avisando al usuario de que una URL puede no ser segura en el caso de que se detecte que está incluída en esa lista.

La mejor solución para no caer en la trampa? Sentido común… Uno ya sabe qué tipo de e-mails le enviaría su banco/proveedor y qué tipo de e-mails no le enviaría.

Ante la duda, nunca, jamás, hacer click en un link de un mail, ni seleccionar el texto y pegarlo en el browser. Si realmente te llega un mail que no has solicitado de tu banco, o de tu proveedor, y crees que puede ser real, vas a tu navegador, y con tus propios deditos escribes la URL. Es, a día de hoy, la forma más segura de usar la red.

7   marisol rden | March 14, 2009

se busca novio para casarme con el

Escribe un comentario


BBVA Open Talent

Patrocinadores

Freelancit.com
Loogic.com
Interominios.com
BBVA Open Talent

Suscripción por email

Para suscribirse a la lista de correos de
Pymecrunch inserte su email a continuación.

Condiciones de uso de FeedBurner