jueves, 15 de diciembre de 2011

Phishing (con extra vitaminas y minerales)

(Reedición del post de mi alter-ego)

Durante el último año sobre todo, se ha hablado mucho acerca del Phishing, ataque informático destinado a robar información a usuarios sin que éstos se den cuenta. Incluso han aparecido campañas por parte de los bancos sobre todo, tendientes a concientizar a los usuarios respecto de esta amenaza. Pero ¿Qué es el Phishing?

El Phishing es un ataque que funciona de la siguiente manera:
  1. A tí te llega un correo electrónico que dice "Haz clic aquí para ir a la página de tu banco". ¿La razón? Alguna promoción, chequear tu saldo, o un supuesto cambio de configuración provocado por un (también supuesto) ataque informático al servidor del banco.
  2. Tu haces clic en el link, y aparece la página de tu banco... o al menos eso es lo que crees. Porque en realidad es una página idéntica (de forma) a la página de tu banco alojada en otro servidor el cual está programado, no para ser parte del sistema web de tu banco, sino que para que, cuando ingreses tu RUT y password, las almacene.
  3. El inescrupuloso que armó este sitio, se conecta a él y extrae la información que tú le diste.
  4. Finalmente, usará esa información para suplantarte en la página de tu banco.
De ahí viene la palabra Phishing (que se pronuncia igual que "Fishing"): El atacante te lanza un anzuelo con su mail engañoso, tu caes y él "pesca" tus datos importantes.



¿Cómo defenderse de este tipo de ataques? Primero, debes tener en cuenta que los bancos, como medida de seguridad para sus clientes, NUNCA envían correos electrónicos como el que te mencioné a sus clientes, así que si recibes un mail de estas características, ten por seguro que te quieren enganchar para robarte la password.

También existen bases de datos de sitios de phishing (Phishtank, Google Safe Browsing) los cuales desarrollan plugins para browsers que, al ingresar un usuario a un sitio, chequean las bases de datos y avisan al usuario si son sitios maliciosos o no. Además, los browsers más modernos (Firefox, Internet Explorer, Opera, Chrome...) traen sistemas de chequeos integrados anti-phishing. Sin embargo, estas bases de datos no son automatizadas y dependen de las denuncias de los usuarios. Pueden pasar varios días antes de que un sitio sea denunciado en estos sitios.

Y por último, no llegar y hacer clic en cualquier parte. Miremos bien la dirección de la página en la que estamos antes de ingresar cualquier tipo de información.

Phishing a un conocido banco para robar su "clave dos"
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)