El phishing
Phishing es la capacidad de duplicar una página web para hacer creer al visitante que se encuentra en la página original en lugar de la copiada. Normalmente se utiliza con fines delictivos duplicando páginas web de bancos conocidos y enviando indiscriminadamente correos para que se acceda a esta página a actualizar los datos de acceso al banco.
(Definición de wikipedia, http://es.wikipedia.org/wiki/Phishing)
El término phishing viene de la palabra en inglés "fishing" (pesca) haciendo alusión al acto de pescar usuarios mediante señuelos cada vez más sofisticados y de este modo obtener información financiera y contraseñas. Quien lo practica es conocido con el nombre de phisher. También se dice que el término "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo.
La primera mención del término phishing data de enero de 1996 en grupo de noticias de hackers alt.2600, aunque el término apareció tempranamente en la edición impresa del boletín de noticias hacker "2600 Magazine". El término phishing fue adoptado por crackers que intentaban "pescar" cuentas de miembros de AOL; ph es comúnmente utilizado por hackers para sustituir la f, como raíz de la antigua forma de hacking conocida como "phone phreaking".
Los intentos más recientes de phishing se han comenzado a dirigir a clientes de bancos y servicios de pago en línea. Los phishers en un principio son capaces de establecer con qué banco una posible víctima tiene relación, y de ese modo enviar un e-mail, falseado apropiadamente, a la posible víctima. En términos generales, esta variante hacia objetivos específicos en el phishing se ha denominado spear phishing (literalmente phishing con lanza).
Técnicas de phishing
La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL, http://www.nombredetubanco.com.ejemplo.com/. Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares). Por ejemplo, el enlace http://www.google.com@members.tripod.com/ puede engañar a un observador casual a creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente). Este método ha sido erradicado desde entonces en los navegadores de Mozilla e Internet Explorer. Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL legítima.
En otro método popular de phishing, el atacante utiliza los propios códigos del banco o servicio del cual se hacen pasar contra la víctima. Este tipo de ataque resulta particularmente problemático, ya que dirigen al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque (conocido como Cross Site Scripting) los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace esta modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios.
Otro problema con las URL ha sido encontrado en el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, esto puede permitir que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios, posiblemente páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homógrafos, ningún ataque conocido de phishing ha tomado ventaja sobre esto.
Lavado de dinero producto del phishing.
Se está tendiendo actualmente a la captación de personas por medio de e-mails, chats, irc, y otros medios, donde empresas ficticias ofrecen trabajo a las mismas, instándolas a ejercer desde su propia casa y ofreciendo amplios beneficios.
Todas aquellas personas que aceptan se convierten automáticamente en víctimas que incurren en un grave delito bajo su ignorancia: el blanqueo de dinero obtenido a través del acto fraudulento de phishing. Para que una persona pueda darse de alta con esta clase de empresas debe rellenar un formulario en el cual se indicarán entre otros datos, la cuenta bancaria. Esto tiene la finalidad de ingresar en la cuenta del trabajador-víctima el dinero procedente de las estafas bancarias realizadas por el método de phishing. Una vez contratado la víctima se convierte automáticamente en lo que se conoce vulgarmente como mulero.
Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su cuenta bancaria y es avisado por parte de la empresa del mismo. Una vez hecho este ingreso la víctima se quedará un porcentaje del dinero total, pudiendo rondar el 10%-20%, como comisión de trabajo y el resto lo reenviará a través de sistemas de envío de dinero a cuentas indicadas por la seudo-empresa.
Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad económica) esta se ve involucrada en un acto de estafa importante, pudiéndose ver requerido por la justicia, previa denuncia de los bancos. Estas denuncias se suelen resolver con la imposición de devolver todo el dinero sustraído a la víctima, obviando que esta únicamente recibió una comisión.
(Tomado de wikipedia, http://es.wikipedia.org/wiki/Phishing)
(Definición de wikipedia, http://es.wikipedia.org/wiki/Phishing)
El término phishing viene de la palabra en inglés "fishing" (pesca) haciendo alusión al acto de pescar usuarios mediante señuelos cada vez más sofisticados y de este modo obtener información financiera y contraseñas. Quien lo practica es conocido con el nombre de phisher. También se dice que el término "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo.
La primera mención del término phishing data de enero de 1996 en grupo de noticias de hackers alt.2600, aunque el término apareció tempranamente en la edición impresa del boletín de noticias hacker "2600 Magazine". El término phishing fue adoptado por crackers que intentaban "pescar" cuentas de miembros de AOL; ph es comúnmente utilizado por hackers para sustituir la f, como raíz de la antigua forma de hacking conocida como "phone phreaking".
Los intentos más recientes de phishing se han comenzado a dirigir a clientes de bancos y servicios de pago en línea. Los phishers en un principio son capaces de establecer con qué banco una posible víctima tiene relación, y de ese modo enviar un e-mail, falseado apropiadamente, a la posible víctima. En términos generales, esta variante hacia objetivos específicos en el phishing se ha denominado spear phishing (literalmente phishing con lanza).
Técnicas de phishing
La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL, http://www.nombredetubanco.com.ejemplo.com/. Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares). Por ejemplo, el enlace http://www.google.com@members.tripod.com/ puede engañar a un observador casual a creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente). Este método ha sido erradicado desde entonces en los navegadores de Mozilla e Internet Explorer. Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL legítima.
En otro método popular de phishing, el atacante utiliza los propios códigos del banco o servicio del cual se hacen pasar contra la víctima. Este tipo de ataque resulta particularmente problemático, ya que dirigen al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque (conocido como Cross Site Scripting) los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace esta modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios.
Otro problema con las URL ha sido encontrado en el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, esto puede permitir que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios, posiblemente páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homógrafos, ningún ataque conocido de phishing ha tomado ventaja sobre esto.
Lavado de dinero producto del phishing.
Se está tendiendo actualmente a la captación de personas por medio de e-mails, chats, irc, y otros medios, donde empresas ficticias ofrecen trabajo a las mismas, instándolas a ejercer desde su propia casa y ofreciendo amplios beneficios.
Todas aquellas personas que aceptan se convierten automáticamente en víctimas que incurren en un grave delito bajo su ignorancia: el blanqueo de dinero obtenido a través del acto fraudulento de phishing. Para que una persona pueda darse de alta con esta clase de empresas debe rellenar un formulario en el cual se indicarán entre otros datos, la cuenta bancaria. Esto tiene la finalidad de ingresar en la cuenta del trabajador-víctima el dinero procedente de las estafas bancarias realizadas por el método de phishing. Una vez contratado la víctima se convierte automáticamente en lo que se conoce vulgarmente como mulero.
Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su cuenta bancaria y es avisado por parte de la empresa del mismo. Una vez hecho este ingreso la víctima se quedará un porcentaje del dinero total, pudiendo rondar el 10%-20%, como comisión de trabajo y el resto lo reenviará a través de sistemas de envío de dinero a cuentas indicadas por la seudo-empresa.
Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad económica) esta se ve involucrada en un acto de estafa importante, pudiéndose ver requerido por la justicia, previa denuncia de los bancos. Estas denuncias se suelen resolver con la imposición de devolver todo el dinero sustraído a la víctima, obviando que esta únicamente recibió una comisión.
(Tomado de wikipedia, http://es.wikipedia.org/wiki/Phishing)
Comentarios
Responder
Responder a todos
Reenviar
Imprimir
Añadir Fer a lista de contactos
Eliminar este mensaje
Mostrar original
¿El texto del mensaje es ilegible?
Fer a corresponsalam.
mostrar detalles 1:42 (12 horas antes)
Fernando Rubilar/País Chile wrote:
Señor
Director de tan prestigioso medio de
comunicación.Antes que nada una sana
aclaración.Todo lo que digo lo hago
responsablemente,por algo envio mi número de
cédula de
identidad,nombre y apellido completo,correo
electrónico,y ciudad,para "darle seriedad a
mi denuncia".Nótese Señor Director,que si fueran
falsas mis acusaciones,yo ya
estaria en la cárcel por infamia.Pero tengo los
"cheques originales del Banco donde le
prestó los millones de pesos al reo Héctor
Seguel.¡¿Porqué el Banco BCI y Manuel Ulloa
Pinto "guardan silencio?.Muy simple.tengo los
"documentos originales de dicha
estafa"
Entro en materia:
Soy un ciudadano de Chile
La historia es larga, pero resumiré: En calle
Freire XXX Concepción, País
Chile, yo tenia una propiedad donde yo tenia Ocho
arrendatarios, es asi que,
en
esa fecha yo ganaba 1 millón doscientos míl pesos
por concepto de arriendos.
Luego un falso corredor de propiedades Don Claudio
Nuñez Rebolledo él me
contactó con Héctor Seguel Arévalo y este último
prometió hacerme unos
departamentos nuevos; ahora Don Claudio Nuñez
Rebolledo puso cómo abogado
"nuestro" para ver si estaban bien los papeles al
abogado Hernán Meger
Navarrete, este cobró dos millones de pesos tengo
la boleta en mis manos) Don
Claudio Nuñez Rebolledo se le canceló la suma de 5
millones de pesos para
buscar un buen comprador y este comprador era
cliente V.I.P del Banco de
Crédito E Inversiones y El ejecutivo de apellido
Cataldo del Banco más con la
aprobación de Manuel Ulloa Pinto Gerente del Banco
de Crédito e Inversiones,
dieron la aprobación para pasarle 80.millones de
pesos a Héctor Seguel Arévalo
donde este se comprometia a cancelarme 1 millón
doscientos mil pesos mientras
duraba la construcción de los departamentos
Resumen: Don Héctor Seguel Arévalo hipotecó mi
bien raíz y arrancó con el
dinero, y cómo el hilo se corta por lo más delgado
entonces comenzaron a
hostigar a mi esposa; para tales efectos el
Gerente del Banco BCI, Manuel
Ulloa Pinto, amenazó a mi Señora que
reconociéramos una deuda que contrajo el
reo Héctor Seguel Arévalo,cliente VIP del Banco
BCI(actúalmente profugo),de lo
contrario nos rematarían la propiedad en cualquier
momento,pues bien;Don
Manuel Ulloa Pinto Gerente del BCI, se reunió con
los altos ejecutivos y
llegaron (entre
ellos a un acuerdo) y urdieron la trama para que
mi Señora firmara y para esto
tuvo una alta participación don Manuel Ulloa
Pinto. Gerente del BCI,...luego
contraté los servicios de Hugo Díaz Uribe y este
no nos defendió a nosotros,
al contrario, incluso ni apeló,y opuso una defensa
muy débil (a todo esto un
funcionario judicial, me confidenció que Hugo Díaz
recibió dinero por debajo
la mesa del banco, en palabras más simple el tipo
se vendió.
Entonces me remataron la propiedad,y ahora mi
Señora y yo estamos de
arrendatarios y con una diabetes profunda y una
hipertensión severa (mi
Señora.)
Entonces en este fraude y ESTAFA urdida vilmente
los protagonistas son varios
personajes, pero los que dio la autorización para
el prestamo al reo Seguel
fue el Gerente del Banco de Crédito BCI fue Manuel
Ulloa Pinto: en
consecuencia, que mi Señora 'jamás' solicitó dicho
dinero, y más encima el
abogado Hugo Díaz Uribe ni detuvo el remate de mi
propiedad,al contrario, ni
acudió a los tribunales para detener dicho
fraudulento remate:
Tengo en mi poder los cheques sin cobrar que se
comprometió a
cancelar mensualmente el reo Héctor Bernardino
Seguel Arévalo. Dicha estafa se
gestó el año 1998, pero ningún abogado nos
defendió al contrario, pues el
abogado Don Hugo Antonio Díaz Uribe, nos derivó
donde "otro abogado" que
actualmente está preso con una condena de cinco
años,por el bullado caso
Bilbao y Mercado Municipal de Concepción.Carlos
Worner Tapia (reo y preso)
Finalizo mis palabras Señor Director de un medio
de comunicación
'pluralista',que,mi denuncias son serias y
responsables,es por eso que pongo
mi número de cédula de identidad,teléfono,y
ciudad,para darle "seriedad" a
esta denuncia.Nótese Señor Director,si fuera
falsas mis acusaciones donde yo
trato "de estafadores" a los señores del Banco
BCI,tengalo por seguro que yo
ya estaría preso en la cárcel por falsas
acusaciones.¿Porqué el Banco BCI y su
Gerente Manuel Ulloa Pinto "guardan silencio?.Muy
simple: pues tengo los
"cheques originales del Banco",donde le prestó el
dinero al reo Héctor
Bernardino Seguel
Ahora a mi Señora la enviaron a Dicom, con la
deuda de 85.000.000 de $, en
consecuencia que, mi Señora jamás pisó las
oficinas de dicho Banco. La estafa
es de 165.millones de pesos a la sazón el año 1988
En la actualidad estamos
literalmente en "la calle" sin departamentos, y
más encima con una deuda que
jamás se contrajo
Fernando Rubilar Valenzuela.
C.I.6578467-K...Concepción