26 de enero de 2007

Phishing e Ingeniería Social

Aunque yo sé que los lectores del blog son muy inteligentes y saben proteger bien sus cuentas de Banco y sus contraseñas de correos electrónicos, también puede ser que alguien nuevo caiga aquí por accidente y no sepa de lo que estoy hablando.

Phishing se deriva de la palabra Fishing que significa Pescar y se remplaza la F por Ph que en inglés es una forma de decir que se refiere al Internet (Por el lenguaje 1337)

Phishing es la técnica de mandar una notificación por Correo y recientemente como SMS o Hablar directamente a Celulares para obtener una contraseña, normalmente de cuentas de banco con el fin de vaciarlas, aunque también hay muchos engaños para poder obtener las cuentas de correo, yo he estado recibiendo este tipo de correos de sitios que pretenden ser bancos como "Scotia Bank Inverlat" o "Banamex" (Que por cierto no tengo cuenta de banco por que aún soy menor), el contenido clásico de un mensaje de Phishing es este:

Asunto: URGENTE
Mensaje: Estimado cliente del banco X, hemos tenido algún problema con los servidores y tiene que actualizar su contraseña, por favor vaya a este link para entrar a nuestra página

Si por alguna razón reciben un correo como este, no den click en el link!, de preferencia vayan manualmente a la página del banco escribiendo manualmente el link. Las páginas a las que dirigen son páginas idénticas o muy parecidas en apariencia a las del banco que anuncian, pero se diferencian en que cuando ponen contraseña y nombre de usuario, las manda a una base de datos para vaciar las cuentas poco después.

A continuación dos Capturas de Pantalla, una de página real y otra de Phishing, ¿pueden detectar cual es cual?


Pues sí! mis queridos lectores inteligentes, la barra de dirección es diferente!! Una es una página que desaparecera en algunos días, después de tener suficiente dinero de las cuentas y la otra es la página real del banco, Son muy parecidas en lo visual (De hecho son diferentes por que Scotia Bank actualizo indicando que no envía correos pidiendo las contraseñas, justo de lo que hablamos) Por suerte muchos de los navegadores tienen Phishing Detector, incluso el nuevo IE7, pero por supuesto para llevarle la contraría a M$ les recomiendo el Phishing Detector de Opera, pues el de Firefox tiene algunos fallos.

Más Info en la Wiki

Ok, pasemos al siguiente termino:

Ingeniería Social, esto es increíblemente común, sobretodo en adolescentes, se trata de obtener una contraseña de computadoras, sin usar la computadora para hacerlo. Es decir, una persona que se hace decir tu amig@, te convence para que le des tu contraseña de X sitio, por técnicas como que ya no va a ser tu amigo, todo el mundo da sus contraseñas, en caso de que sea novios, que no le tienes confianza o que tienes correos de "dudosa reputación" (lol), etc. El caso es que al final se la das y pues no lo vuelves a ver ni tu correo ni al amigo. Como dicen los que práctican esta técnica "No hay parche ni antivirus para la estupidez humana", esta es la forma que no requiere cambios de código ni un nuevo Windows Vista para ser sacada más fácilmente, creo que el concepto es simple y no hay más que explicar.

Más Info en la Wiki

Lo último que tengo que decir es que se cuiden de estas técnicas de sacar maliciosamente sus contraseñas de internet, la seguridad es importante, sobre todo cuando están los ahorros de cuentas bancarias de por medio. También cuídense de los Keyloggers (Programas que capturan lo que escribes") y mi recomendación personal es que nunca revisen su correo ni cuentas importantes en computadoras ajenas a menos que sean MUY confiables las fuentes. Si quieren estar fuera de Spyware y otro tipo de Malware, pues... Usen Linux y si no pues al menos remplazen esa cosa IE por Opera o por Firefox, Seguros, más rápidos, mejores (Aunque sea el slogan de FF)

No hay comentarios.:

Publicar un comentario