|
que no te timen |
|
|
- DURI - - Posts recientes -
Cinco ataques Phising en 48 horas contra bancos es... . : Archivos : . - ENLACES PATROCINADOS -
|
|
- enlaces DURI-
el blog del opositor y las oposiciones
el blog de las leyendas urbanas
el blog de la depuración del agua
el blog de la cocina y la gastronomía
- LICENCIA -
- Créditos -
Template By Caz
- ENLACES PATROCINADOS -
- ENLACES INTERESANTES -
|
Wednesday, July 05, 2006Cinco ataques Phising en 48 horas contra bancos españolesCon la llegada del verano, los ciberdelincuentes han aumentado severamente los ataques Phising contra los principales bancos españoles. En 48 horas se han producido cinco ataques de Phising con abundancia de envíos de correos electrónicos indiscriminados y fraudulentos en busca de los datos personales de clientes bancarios en línea incautos y desprevenidos. En estos momentos tres de estos ataques están operativos. 05-07-2006 - La Comisión de Seguridad de la Asociación de Internautas ha dado la alerta extrema -ALERT PHISING Nivel 5 (Extremo)- , por el peligroso ataque sufrido ayer por Banesto que consistió en la modificación del aspecto del navegador del cliente, consiguiendo un efecto muy real ya que en la caja de dirección aparece la dirección URL verdadera del banco , cuándo en realidad el cliente está visitando en un servidor trampa.Además en estos momentos el BBVA esta recibiendo hasta tres ataques consecutivos desde servidores trampa identificados por la Asociación de Internautas.. Es posible que otras entidades financieras españolas sufran ataques en estos días.La Asociación de Internautas ha denunciado estos ataques a las entidades afectadas y a las Fuerzas de Seguridad del Estado, Además recomienda a los internautas que sigan los consejos de seguridad de prevención ante estos ataques y observen las instrucciones antiphising indicadas en los sitios web de las entidades financieras. Noticia tomada de la página de la Asociación de Internautas, http://www.internautas.org/html/3785.html  
Phishing es la capacidad de duplicar una página web para hacer creer al visitante que se encuentra en la página original en lugar de la copiada. Normalmente se utiliza con fines delictivos duplicando páginas web de bancos conocidos y enviando indiscriminadamente correos para que se acceda a esta página a actualizar los datos de acceso al banco. (Definición de wikipedia, http://es.wikipedia.org/wiki/Phishing) El término phishing viene de la palabra en inglés "fishing" (pesca) haciendo alusión al acto de pescar usuarios mediante señuelos cada vez más sofisticados y de este modo obtener información financiera y contraseñas. Quien lo practica es conocido con el nombre de phisher. También se dice que el término "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo. La primera mención del término phishing data de enero de 1996 en grupo de noticias de hackers alt.2600, aunque el término apareció tempranamente en la edición impresa del boletín de noticias hacker "2600 Magazine". El término phishing fue adoptado por crackers que intentaban "pescar" cuentas de miembros de AOL; ph es comúnmente utilizado por hackers para sustituir la f, como raíz de la antigua forma de hacking conocida como "phone phreaking". Los intentos más recientes de phishing se han comenzado a dirigir a clientes de bancos y servicios de pago en línea. Los phishers en un principio son capaces de establecer con qué banco una posible víctima tiene relación, y de ese modo enviar un e-mail, falseado apropiadamente, a la posible víctima. En términos generales, esta variante hacia objetivos específicos en el phishing se ha denominado spear phishing (literalmente phishing con lanza). Técnicas de phishing La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL, http://www.nombredetubanco.com.ejemplo.com/. Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares). Por ejemplo, el enlace http://www.google.com@members.tripod.com/ puede engañar a un observador casual a creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente). Este método ha sido erradicado desde entonces en los navegadores de Mozilla e Internet Explorer. Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL legítima. En otro método popular de phishing, el atacante utiliza los propios códigos del banco o servicio del cual se hacen pasar contra la víctima. Este tipo de ataque resulta particularmente problemático, ya que dirigen al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque (conocido como Cross Site Scripting) los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace esta modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios. Otro problema con las URL ha sido encontrado en el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, esto puede permitir que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios, posiblemente páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homógrafos, ningún ataque conocido de phishing ha tomado ventaja sobre esto. Lavado de dinero producto del phishing. Se está tendiendo actualmente a la captación de personas por medio de e-mails, chats, irc, y otros medios, donde empresas ficticias ofrecen trabajo a las mismas, instándolas a ejercer desde su propia casa y ofreciendo amplios beneficios. Todas aquellas personas que aceptan se convierten automáticamente en víctimas que incurren en un grave delito bajo su ignorancia: el blanqueo de dinero obtenido a través del acto fraudulento de phishing. Para que una persona pueda darse de alta con esta clase de empresas debe rellenar un formulario en el cual se indicarán entre otros datos, la cuenta bancaria. Esto tiene la finalidad de ingresar en la cuenta del trabajador-víctima el dinero procedente de las estafas bancarias realizadas por el método de phishing. Una vez contratado la víctima se convierte automáticamente en lo que se conoce vulgarmente como mulero. Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su cuenta bancaria y es avisado por parte de la empresa del mismo. Una vez hecho este ingreso la víctima se quedará un porcentaje del dinero total, pudiendo rondar el 10%-20%, como comisión de trabajo y el resto lo reenviará a través de sistemas de envío de dinero a cuentas indicadas por la seudo-empresa. Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad económica) esta se ve involucrada en un acto de estafa importante, pudiéndose ver requerido por la justicia, previa denuncia de los bancos. Estas denuncias se suelen resolver con la imposición de devolver todo el dinero sustraído a la víctima, obviando que esta únicamente recibió una comisión. (Tomado de wikipedia, http://es.wikipedia.org/wiki/Phishing)
Sunday, April 16, 2006Que no te timen"Le llamó para decirle que ha sido agraciado con un premio de ..., sólo tiene que entregar la módica cantidad de ... para recogerle" "Le llamó para comunicarle que mañana pasarán a entregarle unos libros, pagando sólo la pequeña cantidad de ... Tenga en cuenta que valen diez veces más" "Le llamó de la Delegación de Hacienda, ¿me podía decir su número de cuenta para confirmar unos datos?" "Somos un grupo de profesores y queríamos hablar con ustedes sobre unos textos recomendados por el Ministerio de Educación y Ciencia ..." "Somos empresa de gas y venimos a revisarle la instalación...? "Somos una empresa que recoge datos para hacer estudios sobre el consumo en España, ¿me podía decir con qué entidad bancaria trabaja usted?" "Ha sido usted agraciado con una oferta especial de suscripción a una revista de ..." Los ejemplos pueden ser interminables. La falta de ética y de escrúpulos no conoce límites. Una cosa es ofrecer y vender, algo honorable y útil, y otra cosa es timar y presionar, algo execrable, inmoral y frecuentemente ilegal. La malicia y la picaresca han existido siempre, pero hoy día, por el avance de la informática y las telecomunicaciones, sus medios también han aumentado, pero también lo han hecho sus medios de persecución. No es tan fácil timar, los viejos trucos ya se los conoce la gente y han de emplearse nuevos: phishing, pseudo marketing telefónico ilegal (por contraposición al marketing teléfonico legal), spam, etc. No podemos afirmar que de una manera u otra no nos vayan a timar. Los ataques se multiplican y debemos estar siempre vigilantes. Que no te timen. Nosotros te ayudaremos a abrir los ojos.
|
