Facebook Hackeada-Phishing: El cazabobos de Internet

El phishing es el sistema de estafa cibernética que usaron ayer un grupod e crackers para hacerse con el nombre de usuario y la clave de miles de usuarios de Facebook. Este sistema permite robar información en ataques masivos a usuarios desprevenidos generando por millones de dólares anualmente. En USA, este tipo de estafas ha costado más de US$ 2.000 millones.

CIUDAD DE BUENOS AIRES (Urgente24) – Un reciente ataque cracker a Facebook y Hi5, dos de las redes sociales más grandes de Internet, pone nuevamente en alerta a la comunidad electrónica sobre la posibilidad de caer en una estafa a través de la red que resulta, según los expertos, poco sofisticada pero masiva: el phishing.

El ataque de ayer a Facebook afectó a miles de usuarios que probablemente hayan perdido sus claves y espacios propios en manos de los estafadores. Aunque el caso de esta red social no es el único que se ha dado en los últimos días: Univisión, el portal de noticias, denunció hace poco que estaba siendo usada su imagen para distribuir

Esta semana comenzó a circular un correo electrónico bajo la dirección electrónica “Noticias@Univision.com”, que difundía una nota falsa titulada Dramática Nota del Sol de México, atribuída a Univision.com. Esta información, totalmente fraudulenta, podría tratarse de un virus, advirtió la empresa.

Este tipo de prácticas se conoce como phishing y es utilizada por estafadores que buscan obtener información de los usuarios que caen en la trampa. A través del archivo ejecutable (con terminación .exe) se vulneran las medidas de seguridad de las computadoras para poder obtener datos o introducir virus que destruyan los equipos de cómputo.

El correo atribuido a Univision.com muestra imágenes trucadas del reproductor de video (player) de Univision.com, así como el inicio de una nota firmada por Univision, con el nombre de una persona que no trabaja en Univision.com y que quizás realmente no exista.

La información enviada por mail en la estafa señala que Luis Miguel fue encontrado bajo las influencias de las drogas y el alcohol, caminando desnudo en Playa del Carmen, México, y que tuvo que ser atendido en una clínica de la localidad. También se asegura que las imágenes que se muestran en el video fueron tomadas por una cámara de seguridad del bar en el que se encontraba el cantante. Sin embargo, tales imágenes no existen.

Univisión.com, al igual que Facebook, Hi5 y tantas otras, fue victima de phishers (estafadores practicantes del phishing).

¿Qué es el Phishing?

Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

La primera mención del término phishing data de enero de 1996 en grupo de noticias de hackers alt.2600, aunque el término apareció tempranamente en la edición impresa del boletín de noticias hacker “2600 Magazine”. El término phishing fue adoptado por crackers que intentaban “pescar” cuentas de miembros de AOL. PH es comúnmente utilizado por hackers para sustituir la f, como raíz de la antigua forma de hacking conocida como “phone phreaking”.

Los casos de MSN y AOL

Seguramente en tu lista de contactos te habrá aparecido alguien que aparece ofreciendote un link que te lleva a un sitio que asegura que te dirá si alguno de los contactos que tienes en tu lista te tiene desadmitido en la suya. Esta es una clásica forma de phishing: si cometes el error de introducir tu clave en el sitio al que te han direccionado, ya serás parte de la lista de víctimas.

Dos de los ejemplos más recientes son las páginas “quienteadmite” y “noadmitido” destinadas a robar el nombre y contraseña de los usuarios de MSN. El servicio que brindan puede obtenerse fácilmente desde la solapa “privacidad” del menú opciones desde el Msn messenger. Sin embargo, como muchos usuarios desconocen esta opción, son estafados.

Un caso de psishing que tuvo mucha resonancia y que obligó al gigante AOL a realizar algunas modificaciones en sus servidores se dió a mediados de los 90’s y marcó el inicio de este tipo de prácticas.

Quienes comenzaron a hacer phishing en AOL durante los años 1990 solían obtener cuentas para usar los servicios de esa compañía a través de números de tarjetas de crédito válidos, generados utilizando algoritmos para tal efecto. Estas cuentas de acceso a AOL podían durar semanas e incluso meses. Recién en 1995 AOL tomó medidas para prevenir este uso fraudulento de sus servicios, de modo que los crackers recurrieron al phishing para obtener cuentas legítimas en AOL.

El phishing en AOL estaba estrechamente relacionado con la comunidad de warez que intercambiaba software pirateado. Un cracker se hacía pasar como un empleado de AOL y enviaba un mensaje instantáneo a una víctima potencial. Para poder engañar a la víctima de modo que diera información confidencial, el mensaje podía contener textos como “verificando cuenta” o “confirmando información de factura”. Una vez el usuario enviaba su contraseña, el atacante podía tener acceso a la cuenta de la víctima y utilizarla para varios propósitos criminales, incluyendo el spam. Tanto el phishing como el warezing en AOL requerían generalmente el uso de programas escritos por crackers, como el AOLHell.

En 1997 AOL reforzó su política respecto al phishing y los warez fueron terminantemente expulsados de los servidores de AOL. Durante ese tiempo el phishing era tan frecuente en AOL que decidieron añadir en su sistema de mensajería instantánea, una línea de texto que indicaba: “no one working at AOL will ask for your password or billing information” (“nadie que trabaje en AOL le pedirá a usted su contraseña o información de facturación”). Simultáneamente AOL desarrolló un sistema que desactivaba de forma automática una cuenta involucrada en phishing, normalmente antes de que la víctima pudiera responder. Los phishers se trasladaron de forma temporal al sistema de mensajería instantáneo de AOL (AIM), debido a que no podían ser expulsados del servidor de AIM. El cierre obligado de la escena de warez en AOL causó que muchos phishers dejaran el servicio, y en consecuencia la práctica.

¿Cómo hacen?

La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar el impostor. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL, www.nombredetubanco.com.ejemplo.com. Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares).

Por ejemplo, el enlace members.tripod.com puede engañar a un observador casual y hacerlo creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente). Este método ha sido erradicado desde entonces en los navegadores de Mozilla[18] e Internet Explorer.[19] Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL legítima.

En otro método popular de phishing, el atacante utiliza contra la víctima el propio código de programa del banco o servicio por el cual se hace pasar. Este tipo de ataque resulta particularmente problemático, ya que dirige al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque (conocido como Cross Site Scripting) los usuarios reciben un mensaje diciendo que tienen que “verificar” sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace está modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios.

Otro problema con las URL es el relacionado con el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a d?mini?.com, aunque en el segundo las letras “o” hayan sido reemplazadas por la correspondiente letra griega ómicron, “?”). Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homógrafos, ningún ataque conocido de phishing lo ha utilizado.

Las modalidades clásicas se repiten constantemente. Con el mismo sistema, se les pide a los usuarios que abran una cuenta en un banco porque hay una multimillonaria herencia esperando en Tailandia (aunque uno viva en Villa Crespo y el único oriental que conozca es el del supermercado de la esquina) o se convence a las víctimas de que una ONG ha decidido otorgarle una excesiva cantidad de dinero para que recorra el mundo promocionando las bondades de la ecología. Cualquier argumento sirve para “pescar” usuarios

Se estima que entre mayo del 2004 y mayo del 2005, aproximadamente 1.2 millones de usuarios de computadoras en los USA tuvieron pérdidas a causa del phishing, lo que suma a aproximadamente $929 millones de dólares estadounidenses. Los negocios en USA perdieron cerca de US$ 2000 millones al año mientras sus clientes eran víctimas. El Reino Unido también sufrió el alto incremento en la práctica del phishing. En marzo del 2005, la cantidad de dinero reportado que perdió el Reino Unido a causa de esta práctica fue de aproximadamente £12 millones de libras esterlinas.

Protección

Al igual que en el mundo físico, los estafadores continúan desarrollando nuevas y más siniestras formas de engañar a través de Internet. Si sigue estos cinco sencillos pasos podrá protegerse y preservar la privacidad de su información.

1. Nunca responda a solicitudes de información personal a través de correo electrónico. Si tiene alguna duda, póngase en contacto con la entidad que supuestamente le ha enviado el mensaje.

Microsoft y las empresas de prestigio nunca solicitan contraseñas, números de tarjeta de crédito u otro tipo de información personal por correo electrónico. Si recibe un mensaje que le solicita este tipo de información, no responda. Si piensa que el mensaje es legítimo, comuníquese con la empresa por teléfono o a través de su sitio Web para confirmar la información recibida. Consulte el Paso 2 para obtener información sobre las prácticas más adecuadas para acceder a un sitio Web si cree que ha sido víctima de una maniobra de “phishing”.

Para obtener una lista de ejemplos de correo electrónico de “phishing” recibidos por algunos usuarios, consulte el Archivo del grupo antiphishing.

2. Para visitar sitios Web, introduzca la dirección URL en la barra de direcciones. Si sospecha de la legitimidad de un mensaje de correo electrónico de la empresa de su tarjeta de crédito, banco o servicio de pagos electrónicos, no siga los enlaces que lo llevarán al sitio Web desde el que se envió el mensaje. Estos enlaces pueden conducirlo a un sitio falso que enviará toda la información ingresada al estafador que lo ha creado.

Aunque la barra de direcciones muestre la dirección correcta, no se arriesgue a que lo engañen. Los piratas conocen muchas formas para mostrar una dirección URL falsa en la barra de direcciones del navegador. Las nuevas versiones de Internet Explorer hacen más difícil falsificar la barra de direcciones, por lo que es una buena idea visitar Windows Update regularmente y actualizar su software. Si cree que podría olvidarse o prefiere que la instalación se realice sin su intervención, puede configurar la computadora para que realice actualizaciones automáticas. Para obtener más información, consulte la información que se ofrece en el sitio

3. Asegúrese de que el sitio Web utiliza cifrado. Si no se puede confiar en un sitio Web por su barra de direcciones, ¿cómo se sabe que será seguro? Existen varias formas: En primer lugar, antes de ingresar cualquier tipo de información personal, compruebe si el sitio Web utiliza cifrado para transmitir la información personal. En Internet Explorer puede comprobarlo con el icono de color amarillo situado en la barra de estado.

Este símbolo significa que el sitio Web utiliza cifrado para proteger la información personal que introduzca: números de tarjetas de crédito, número de la seguridad social o detalles de pagos.

Haga doble clic sobre el icono del candado para ver el certificado de seguridad del sitio. El nombre que aparece a continuación de Enviado a debe coincidir con el del sitio en el que se encuentra. Si el nombre es diferente, puede que se encuentre en un sitio falso. Si no está seguro de la legitimidad de un certificado, no introduzca ninguna información personal. Sea prudente y abandone el sitio Web.

4. Consulte frecuentemente los saldos bancarios y de sus tarjetas de crédito. Incluso si sigue los tres pasos anteriores, puede convertirse en víctima de las usurpaciones de identidad. Si consulta sus saldos bancarios y de sus tarjetas de crédito al menos una vez al mes, podrá sorprender al estafador y detenerlo antes de que provoque daños significativos.

5. Comunique los posibles delitos relacionados con su información personal a las autoridades competentes. Si cree que ha sido víctima de “phishing”, proceda del siguiente modo:

Informe inmediatamente del fraude a la empresa afectada. Si no está seguro de cómo comunicarse con la empresa, visite su sitio Web para obtener la información de contacto adecuada. Algunas empresas tienen una dirección de correo electrónico especial para informar de este tipo de delitos. Recuerde que no debe seguir ningún vínculo que se ofrezca en el correo electrónico recibido. Debe introducir la dirección del sitio Web conocida de la compañía directamente en la barra de direcciones del navegador de Internet.

Proporcione los detalles del estafador, como los mensajes recibidos, a la autoridad competente a través del Centro de denuncias de fraude en Internet. Este centro trabaja en todo el mundo en colaboración con las autoridades legales para clausurar con celeridad los sitios Web fraudulentos e identificar a los responsables del fraude.

Si cree que su información personal ha sido robada o puesta en peligro, también debe comunicarlo a la FTC y visitar el sitio Web de robo de identidades de la FTC para saber cómo minimizar los daños.

Fuente: Urgente 24

Comparti en tus redes
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Pin on Pinterest
Pinterest
Email this to someone
email

Sin Comentarios

No hay comentarios

¿Le gustó este artículo? ¡Su opinión puede ser util para otros!

Deja un Comentario