PHISHING: Qué es y por qué funciona
Posted by myself - 14/06/06 at 05:06:26 pmPhishing. Lo hemos leído. Seguramente pensamos que es otro de esos molestos términos informáticos que buscan asustarnos cada día más. Siguiendo con la tendencia de evaluar los riesgos y nuevas formas de robar información a los usuarios.
…. Pero ¿Qué es Phishing?
Wikipedia dice :
En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Un ingeniero social usará comunmente el teléfono o Internet para engañar a la gente y llevarla a revelar información sensible, o bien a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a confiar en su palabra, antes que aprovechar agujeros de seguridad en los sistemas informáticos. Generalmente se está de acuerdo en que “los usuarios son el eslabón débil” en seguridad; éste es el principio por el que se rige la ingeniería social.
Ok. Tanta habladuría, pero ¿Qué es Phishing?
Wikipedia dice :
Phishing es un término utilizado en informática con el cual se denomina el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta, como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria. El estafador, mejor conocido como phisher se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico o algún sistema de mensajería instantánea.
En resumidas cuentas… ¿Qué es Phishing?
Phishing no es más, que alguien robándote información aprovechándose de tu ignorancia e inocencia. O de tu inocencia e ignorancia. Da lo mismo.
La ingeniería social, es algo bastante viejo: es obtener algo, ganándose la confianza de la persona afectada. Sencillo.
Mucha gente adora las páginas lindas, ¿Cierto?
Mucha gente adora los íconos que se mueven y llenos de colores, ¿Cierto?
Mucha gente adora los lugares donde los traten bien, ¿Cierto?
Oh, bueno, y quien no adora los correos que comienzan con "Ganate…"… al menos los abren sólo por curiosidad, debo admitir.
Entonces, queda clara una parte de por qué el phishing funciona. No hay que ser graduado en Harvard para darse cuenta del problema que tenemos entre manos. Pero, hay que ser de Harvard para hacer un estudio que demuestra cuan ignorantes somos y cuan ingenuos somos capaces de ser. Total, Internet es para pasarla bien, así que por qué preocuparnos.
Hace un par de meses me encontré en mi correo con un mensaje que venía de una entidad bancaria de mi país. Interesante. Me tomé el riesgo -calculado- de abrir el correo. Más interesante aún:
La página parecía correcta, logotipo idéntico, remitente con dominio de entidadbancaria.com. El contenido parecía correcto, sin siquiera errores ortográficos. Pero un momento. La entidad bancaria -y cualquier entidad que se respete- tiene unos tips de seguridad para sus usuarios en línea. Esta al menos decía que "El banco no hace peticiones por correo para actualización de datos". Al menos tuve la suerte de leerla.
Adentrándome en el correo, noto la dirección electrónica a la que me piden que me dirija para hacer la actualización de datos. PAUSA.
www.entidadbancaria.com/actualizadatos
- aparece en la barra de estado del explorador al pasar el ratón sin hacer click.
Sólo por curiosidad, me dirijo a la página real de la entidad bancaria: www.entidad_bancaria.com/mercprod/site/home
- es la dirección que aparece en la barra de dirección del explorador. Es la página de inicio por defecto. Algo anda mal. Hago click en el botón login y noto que la dirección a la que me envía es bastante lejana a la que muestra el correo que he recibido. Me dirijo a la sección de actualización de datos:
https://olb.****1.com/servlet/msfv/B1000/Login/loginFrame.htm
-Creo que sobra decir que son bastante diferentes.
Para comenzar, hay dos diferencias obvias. La primera, es que el servidor real, tiene una dirección http segura: https y la segunda, más obvia es que la entidad bancaria no utiliza su propio url para realizar esas transacciones.
Las http seguras tienen la particularidad de mostrar un candado en la barra de estado y en Firefox, existe una ayuda visual adicional: la barra de direcciones se torna de color amarilla. Pero, asumo que pocos lo habrán notado y de haberlo hecho, no tendrán la menor idea de lo que significa. Es por esto que el Phishing funciona.
En mi caso, se trató de un correo que era sospechoso desde el principio. Por ello me tomé la molestia de abrirlo con escrúpulo. Su error fatal: no tengo cuenta bancaria en ese banco.
Así que por qué tomarme tantas molestias? Para demostrar cuan sencillo es engañar al ojo no adiestrado. Probablemente la dirección URL me enviaría a un servidor no seguro. Pero eso no lo iba a averiguar.
Más aquí .
7 Comments »
RSS feed for comments on this post. TrackBack URI
Leave a comment
FEED / RSS / EL PERRITO
Los Blogs
Categories
- Actualidad (rss) (335)
- Blog (rss) (129)
- Browsers (rss) (69)
- Buscadores (rss) (19)
- Codecs (rss) (3)
- Descargas (rss) (4)
- Discovery en la escuela (rss) (14)
- elecciones3d (rss) (1)
- Hardware (rss) (4)
- Humor (rss) (128)
- IM (rss) (13)
- Internet (rss) (9)
- iPOD (rss) (7)
- No es pornografía. Pero… (rss) (17)
- Office (rss) (6)
- OpenSource (rss) (17)
- Password (rss) (2)
- Plataformas (rss) (9)
- Redes Sociales (rss) (10)
- S.O. (rss) (121)
- Seguridad (rss) (346)
- Semana Geek (rss) (10)
- Servicios (rss) (9)
- Tutoriales & HowTo's (rss) (4)
- WiFi (rss) (2)
- YouTube (rss) (10)
- Zune (rss) (8)
Archives
- October 2008 (1)
- September 2008 (3)
- August 2008 (11)
- July 2008 (20)
- June 2008 (13)
- May 2008 (16)
- April 2008 (34)
- March 2008 (11)
- February 2008 (1)
- November 2007 (5)
- October 2007 (5)
- September 2007 (12)
- August 2007 (5)
- July 2007 (9)
- June 2007 (17)
- May 2007 (30)
- April 2007 (20)
- March 2007 (31)
- February 2007 (92)
- January 2007 (84)
- December 2006 (46)
- November 2006 (68)
- October 2006 (102)
- September 2006 (54)
- August 2006 (37)
- July 2006 (5)
- June 2006 (25)
- May 2006 (15)
Blogroll
Search
Powered by WordPress with GimpStyle Theme design by Horacio Bella.
Entries and comments feeds.
Valid XHTML and CSS.
[...] El phishing está de moda y parece que siempre lo estará. [...]
Pingback by bolsanegra.blog » Mamá: ¿qué será lo que quiere el negro? — January 4, 2007 #
Y pensar que esto lo escribiste hace ene… y para mí es es muy contemporáneo… Tengo harta lectura ad portas.
A propósito, seguramente has investigado de los fraudes que hacen creer que has ganado milies de dólares. Mi hermana casi cae, si no fuera por el pequeño detalle que quería usar MI VISA para “cobrar” su premio no lo hubiese investigado, allí me di cuenta como se estafaba, literalmente, a y en todo el mundo.
¿Has escrito de ello?
Saludos
Comment by María Inés — April 11, 2008 #
María, un caluroso saludo.
Tu hermana es una de las tantas personas que pueden decir que “casi” caen. Pero hay otros cientos que ingenuamente no corrieron con la misma suerte.
La mayoría de esos fraudes son parte del Phishing. Son correos que intentan ganarse tu confianza mediante el hoaxing (correos falsos), hay unos que dicen que si depositas 10usd, al tercer correo habrás ganado 200usd, y así sucesivamente. Una especie de negocio piramidal.
Tenemos entonces una serie de correos pensados para sacarle dinero a la gente:
Jaimito, el niño perdido de Ruanda que necesita volver a su país.
Jaimito, el niño enfermo que requiere operarse y medicamentos.
El negocio perfecto: deposita 10usd y al cuarto correo, te depositan a tí un total de 200mil usd.
El negocio perfecto: Te regalo dinero a cambio de un pequeño depósito.
El premio perfecto: CocaCola en Inglaterra te regala un premio de 2Millones de Euros sólo llenando unos datos.
Y puedo continuar, pero creo que hice claro mi punto hace rato : D
Comment by myself — April 12, 2008 #
Muy claro.
Igual me pesa la necesidad de la gente. La búqueda de una oportunidad para realizar lo que sienten es inalcanzable.
…
Ok, me puse melodramática. Nunca más.
Já.
Saludos
Comment by María Inés — April 12, 2008 #
Es un juego sucio. Juegan con los sentimientos e intereses de las personas. Se aprovechan de eso, de su ingenuidad, de su ignorancia de los temas y hacen lucro de ello.
Pero para eso estoy yo. Para salvar al mundo.
(No sé cual mundo, pero le salvé la vida a una hormiga, supongo que eso cuenta)
Comment by myself — April 13, 2008 #
Osea…
¿Realizas artículos para ayudar a la gente a no caer engañadas? ¿Contestas todos los post, sean de quien sean, digan lo que digan, torpes o inteligentes? Y MÁS ENCIMA SALVAS HORMIGAS!!!!!
¡Eres un Súper Héroe!
Ohhhhhhh
(espera, cuando me recupere de la impresión te sigo escribiendo..)
Já
Saludos SH (obvio: Súper Héroe)
Comment by María Inés — April 13, 2008 #
Para, para que me sonrojo :$
(O peor aún, y me lo creo)
Comment by myself — April 13, 2008 #