Universidad de La Coruña
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Índice
• Introducción
• Historia
• Definición
• Proceso de Phishing
• Tipos de phishing
• Recomendaciones de seguridad
• Casos Reales
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Introducción
Creciente popularización de servicios de banca electrónica y comercio basado en Web
Aumento de fraudes y estafas financieras a través de Internet
Este tipo de ataques se ha acuñado con el termino
“Phishing”
Acceder al sistema con intenciones maliciosas
Introducir un virus
Nueva generación
de ataques
Destruir datos personales o equipos
Recopilar información personal
Realizar operaciones fraudulentas
Realizar estafas electrónicas
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Historia
• “Phishing” se encuentra relacionado con el denominado “Phreaking”
• Acuñado a mediados de los años noventa por los crackers que
intentaban robar las cuentas de los clientes de AOL
− El timador se presentaba como empleado de la empresa
− El timador enviaba un correo a la víctima, solicitando que relevara su contraseña
− Una vez que la víctima entregaba las claves, el atacante podría tener
acceso a la cuenta de ésta
− 1997, AOL reforzó su política respecto al “phishing”
• Añadir un sistema de mensajería instantánea
• “no one working at AOL will ask for your password or billing information”
• Sistema que desactivaba de forma automática
una cuenta involucrada en “phishing”
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Historia
• 10 años después los casos de phishing se han extendido,
afectando a numerosas entidades
• 90% de las campañas de phishing esta orientadas hacia el sector financiero
• Los otros tipos de ataques están orientados:
Seguridad en Sistemas de información
Master en Informática
• Comercio electrónico
• Servicios de reservaciones
• Almacenes comerciales
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Definición
Modalidad de estafa caracterizada por suplantar la identidad
con el fin de apropiarse de datos confidenciales de los usuarios
Phishing se trata de un término similar al de la palabra inglesa “fish” (pescar)
− Un pescador lanza un sedal en el agua repetidamente con un cebo
− El cebo es una pieza de un aparejo de pesca que parece un sabroso pez
más pequeño, pero en realidad es un desagradable anzuelo
− Al final, el cebo capta la atención de un pez que pica
− El pez engañado se engancha al anzuelo y se encuentra con la muerte
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Definición
Los ataques de “phishing” causan mayores estragos entre los usuarios principiantes
de servicios de comercio y banca electrónica, quienes podrían considerar 'normal'
el recibir un correo electrónico solicitándoles ir a una Web para ingresar su información
Ataque phishing puede producirse de varias formas:
– Mensaje a un teléfono móvil
– Llamada telefónica
– Aplicación Web que simula una entidad
– Ventana emergente
– Recepción de un correo electrónico
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Proceso Phishing
Paso 0:
− Phisher identifica la identidad financiera a clonar mediante herramientas informáticas
− Phisher procede a instalar la página clonada de la entidad en un servidor Web
El dominio usado
Extensión del dominio original del servidor Web
Creado especialmente para este fin
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Proceso Phishing
Paso 1:
− Dar a conocer a la mayor cantidad de personas el link fraudulento
− El medio preferido para difundir el portal fraudulento es el SPAM
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Proceso Phishing
Paso 2:
− La víctima hace clic sobre el link direcionandolo a la página Web fraudulenta
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Proceso Phishing
Paso 3:
− La víctima ingresa los datos requeridos comprometiendo información confidencial
en el sitio fraudulento
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Proceso Phishing
Paso 4:
− La información capturada es guardada o enviada a otro servidor
para poder ser usado en transacciones ilegales
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Proceso Phishing
Paso 5:
− El phisher con la información confidencial capturada procede a robar el dinero
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Tipos de Phishing
Phishing engañoso
• Forma primitiva de “phishing”
• La herramienta de comunicación utilizada es mediante el correo electrónico
• Los ejemplos de llamada a la acción son muy diversos
• Los correo y los sitios falsos son diseñados con mucha atención en el detalle
Dos variantes:
• Vishing
– Utiliza el teléfono como herramienta
– Basado en un software denominado “war dialers”
• Smashing
– Utiliza mensajes de texto a móviles
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Tipos de Phishing
Phishing basado en software malicioso
• Implica la ejecución de un software malicioso en el ordenador de la víctima
• La propagación de este tipo de “phishing” puede depender:
Técnicas de ingeniería social
Explotar vulnerabilidad del sistema
− El ataque debe conseguir que el usuario
realice alguna actuación que permita la
ejecución del malware en su ordenador
– Aprovechan fallos en la seguridad
del sistema de un sitio Web legítimo
para introducir software malicioso
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Tipos de Phishing
Phishing basado en software malicioso
• Keyloggers y Screenloggers
• Secuestradores de sesión
• Troyanos Web
• Ataques de reconfiguración del sistema
• Robo de datos
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Tipos de Phishing
Phishing basado en software malicioso
• Keyloggers y Screenloggers
− Programas que registran las pulsaciones que se realizan en el teclado
− Las Aplicaciones están programadas para ponerse en funcionamiento
al acceder a alguna Web registrada
− Los datos son grabados y enviados al delincuente
− Versiones más avanzadas capturan movimientos de ratón
− Los “Screenloggers” capturan imágenes de la pantalla que son remitidos al atacante
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Tipos de Phishing
Phishing basado en software malicioso
• Secuestradores de sesión
− El ataque se produce una vez que el usuario ha accedido a alguna Web
− No roba datos, directamente actúa cuando la víctima ha accedido
a su cuenta corriente
− Los programas suelen ir “disfrazados” como un componente del propio navegador
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Tipos de Phishing
Phishing basado en software malicioso
• Troyanos Web
− Programas maliciosos en forma de ventanas emergentes
− Hacer creer al usuario que está introduciendo la información en el sitio Web real
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Tipos de Phishing
Phishing basado en software malicioso
• Ataques de reconfiguración del sistema
− Modificar los parámetros de configuración del sistema del usuario
Dos tipos de modificación
Modificar el sistema de nombres de dominio
Instalación de un “proxy” para canalizar la información
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Tipos de Phishing
Phishing basado en software malicioso
• Robo de datos
− Códigos maliciosos que recaban información confidencial de la máquina
en la que esta instalado
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Tipos de Phishing
Phishing basado en el DNS o “Pharming”
• Este delito supone un peligro mayor
− Menor colaboración de la víctima
− El “disfraz” parece más real
• Modificar fraudulentamente la resolución del nombre de dominio enviando
al usuario a una dirección IP distinta
• Táctica consistente en cambiar los contenidos del DNS
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Tipos de Phishing
Phishing mediante introducción de contenidos
• Introducir contenido fraudulento dentro de un sitio Web legítimo
3 categorías:
– Asaltar el servidor aprovechando una vulnerabilidad
– Introducir contenido malicioso a través del “cross-site scripting
– Aprovechar la falta de mecanismos de filtrado en los campos de entrada
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Tipos de Phishing
Phishing mediante la técnica del intermediario
• El delincuente se posiciona entre el ordenador y el servidor
• Posibilidad de escuchar toda la comunicación entre ambos
• El usuario no detecta que está siendo víctima de un delito
Phishing de motor de búsqueda
• Los delincuentes crean páginas Web para productos o servicios falsos
• Introducen la página en los índices de los motores de búsqueda
• Normalmente las falsas ofertas tienen condiciones sensiblemente mejores
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Recomendaciones de seguridad
1. Comprobación del Certificado Digital del servidor Web antes
de confiar en su contenido
Certificado Digital de servidor
Certificado de seguridad (mail.ucv.udc)
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Recomendaciones de seguridad
2. Las direcciones de las páginas Web seguras empiezan por https://
3. Reforzar la seguridad
4. Cerrar expresamente las conexiones seguras haciendo clic en la
correspondiente opción habilitada por la empresa en la página Web
5. Nunca se debe acceder a un formulario de autenticación a través de un
enlace desde otra página Web o desde el texto de un correo electrónico
6. Desconfiar de un mensaje de correo recibido en nombre de la entidad
financiera con una solicitud para entregar datos personales
7. No establecer conexiones a este tipo de Websites desde lugares públicos
8. Comprobar que la dirección URL de acceso no incluye
elementos sospechosos
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Recomendaciones de seguridad
9. No instalar nuevos programas y controles en el navegador
sin antes comprobar su autenticidad
10. Guardar de forma segura los datos y claves de acceso
11. Habilitar la función del navegador que permite advertir del cambio entre
el contenido seguro (conexión SSL) y el no seguro
Cambio entre conexión segura y no segura
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Recomendaciones de seguridad
12. Las aplicaciones Web deben estar programadas para utilizar páginas
de autenticación independientes
13. Revisar periódicamente las cuentas
14. Utilizar nuevas alternativas propuestas por algunos bancos para
evitar tener que teclear las contraseñas
Teclado virtual
15. Comunicar los posibles delitos relacionados con la información personal
a las autoridades competentes
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Caso Real
Banco Santander Central Hispano
Características de seguridad:
− Autoridad Certificación
− Conexiones Seguras SSL
− Privacidad
Como actuar en caso de phishing
Banco Santander permite ponerse en contacto:
− Teléfono 902 24 24 24
− Buzón Superlinea Santander
“1º Campaña contra el robo
De identidad y el fraude on-line”
A mayores proporciona un enlace a la página:
− http://www.nomasfraude.com/spain
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Caso Real
Banco Santander Central Hispano
Ejemplo de un caso real de ataque phishing detectado en Internet
Pasos del ataque phishing
1. Recepción del correo fraudulento
2. Acceder a la página fraudulenta
3. Completar el formulario
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Caso Real
Banco Santander Central Hispano
1. Recepción del correo fraudulento
Características del correo:
Nombres de compañía ya existente:
−Banco Santander
Factor miedo:
− Instalar nuevo sistema de seguridad
Enlace:
− Página fraudulenta
Correo phishing Banco Santander
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Caso Real
Banco Santander Central Hispano
1. Acceder a la página fraudulenta
Página fraudulenta creada por los estafadores:
Página oficial del banco:
– El diseño de la página esta muy bien lograda
– La página fraudulenta solicita la información de acceso a la cuenta
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Caso Real
Banco Santander Central Hispano
1. Completar el formulario
Rellenar los datos personales del usuario:
– Nif
– Clave de acceso
Entrar en la aplicación:
− Se muestra un mensaje de error
− La información ingresada es enviada a los estafadores
Mensaje de error
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Caso Real
Banco Caja Madrid
Características de seguridad:
− Autoridad Certificación
− Sistemas informáticos protegidos del exterior por un sistema de firewalls
− Monitorización continua de todas las aplicaciones
− Seguimiento inmediato de cualquier incidencia del servicio de Internet
− Información almacenada aislada con las máximas medidas de seguridad
Como actuar en caso de phishing
Caja Madrid permite ponerse en contacto:
− Teléfono 902 24 68 10
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Caso Real
Banco Caja Madrid
Correo phishing Caja Madrid
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Universidad de La Coruña
Muchas Gracias por vuestra atención
¿Alguna Pregunta?
Seguridad en Sistemas de información
Master en Informática
Pedro Lorenzo Riveiros
22 mayo 2008, La Coruña
Descargar

Diapositiva 1 - SABIA