fbpx
Wikipedia

Phishing

Abril 26, 2022

Phishing es un término informático que distingue a un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza (suplantación de identidad de tercero de confianza), para manipularla y hacer que realice acciones que no debería realizar (por ejemplo revelar información confidencial o hacer click en un enlace). [1][2]

Este es un ejemplo de un intento de phishing. Haciéndose pasar por un correo electrónico oficial, trata de engañar a los clientes del banco para que den información acerca de su cuenta con un enlace a la página del phisher.

Para realizar el engaño, habitualmente se hace uso de la ingeniería social explotando los instintos sociales de la gente,[3]​ como es de ayudar o ser eficiente. También mediante la adulación de la víctima, explotando su intrínseca vanidad o necesidad de ser reconocido, baja autoestima, o una persona que busca trabajo. Por ejemplo, enviando correos electrónicos o mostrando publicidades a la víctima diciéndole que ha ganado un premio y que siga un enlace para recibirlo, siendo aquellas promesas falsas (un cebo). A veces también se hace uso de procedimientos informáticos que aprovechan vulnerabilidades. Habitualmente el objetivo es robar información pero otras veces es instalar malware, sabotear sistemas, o robar dinero a través de fraudes.[4]

A quien practica el phishing se le llama phisher.[5]

Dado el creciente número de denuncias de incidentes relacionados con el phishing, se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica y campañas para prevenir a los usuarios con la aplicación de medidas técnicas a los programas.

Origen del término

El término phishing proviene de la palabra inglesa "fishing" (pesca), haciendo alusión a utilizar un cebo y esperar a que las víctimas "muerdan el anzuelo". Los cebos utilizados pueden ser muy variados.[6][7]

También se dice que el término phishing es la contracción de password harvesting fishing (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo, dado que la escritura ph es comúnmente utilizada por hackers para sustituir la f, como raíz de la antigua forma de hacking telefónico conocida como phreaking.[8]

La primera mención del término phishing data de enero de 1996 en el grupo de noticias de hackers alt.2600 y fue usado para denominar a quienes intentaban "pescar" cuentas de miembros de AOL.[9]​ Es posible que el término ya hubiera aparecido anteriormente en la edición impresa del boletín de noticias hacker 2600 Magazine.[10]

En el phishing en AOL el atacante se hacía pasar como un empleado de AOL y enviaba un mensaje instantáneo a una víctima potencial. Para poder engañar a la víctima de modo que diera información confidencial,[11]​ el mensaje podía contener textos como "verificando cuenta" o "confirmando información de factura". Una vez el usuario enviaba su contraseña, el atacante podía tener acceso a la cuenta de la víctima y utilizarla para varios propósitos criminales, incluyendo el spam.

Técnicas de phishing

Los ataques de phishing se pueden clasificar según el objetivo contra el que se dirige el ataque, el fin, el medio que se utiliza o según el modo de operación. Un caso concreto puede pertenecer a varios tipos a la vez. [2]​ Actualmente se han contando más de 10 000 formas de phishing. [12]​Los tipos de ataques de phising más frecuentes son:[2]

  • Phishing general, phishing tradicional, Bulk Phishing o Spray and pray. Consiste en la emisión masiva de correos electrónicos a usuarios. Estos correos suplantan a entidades de confianza (ejemplo bancos) y persiguen el engaño del usuario y la consecución de información. Por ejemplo en el mensaje se incluyen enlaces a dominios maliciosos. Para camuflar estos enlaces es habitual que el texto del enlace sea la URL correcta, pero el enlace en sí apunte al sitio malicioso.
  • Vishing. Es similar al phishing tradicional pero el engaño se produce a través de una llamada telefónica. El término deriva de la unión de dos palabras en inglés: ‘'voice'’ y ‘'phishing’'. Un ejemplo típico de uso de esta técnica es cuando un ciberdelincuente ha robado ya información confidencial a través de un ataque de phising, pero necesita la clave SMS o token digital para realizar y validar una operación. Es en ese momento el ciberdelincuente llama por teléfono al cliente identificándose como personal del banco y, con mensajes particularmente alarmistas, intenta de que el cliente revele el número de su clave SMS o token digital, que son los necesarios para autorizar la transacción.[13]
  • Smishing. Es similar al phishing tradicional pero el engaño se produce a través mensajes de texto ya sean por SMS o mensajería instantánea (como WhatsApp). Un ejemplo típico de esta técnica es cuando el cliente recibe un mensaje de texto, donde el emisor se hace pasar por el banco, y le informan que se ha realizado una compra sospechosa con su tarjeta de crédito. A su vez, el texto solicita que se comunique con la banca por teléfono de la entidad financiera y le brinda un número falso. El cliente devuelve la llamada y es ahí cuando el ciberdelincuente, haciéndose pasar por el banco, solicita información confidencial para supuestamente cancelar la compra. En una variante de esta modalidad el mensaje también podría incluir un enlace a una ‘web’ fraudulenta para solicitar información sensible.[13]
  • URL Phishing. Se trata de engañar al usuario haciendo que una URL de un sitio malicioso parezca la de un sitio confiable. A ellas a veces se accede de forma inadvertida al escribir nombres de dominio mal escritos que están muy cerca del dominio legítimo, o siguiendo un enlace malicioso que parece correcto, o por engaños al usar caracteres unicode parecidos difícilmente detectables, especialmente en dispositivos móviles, con pantallas más pequeñas y generalmente una resolución de pantalla inferior. Por ejemplo caracteres latinos con un punto bajo o la letra griega ómicron, "ο". [14][15][16]​. Otra forma de disfrazar enlaces es utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares[17]​). Por ejemplo, el enlace http://www.google.com@members.tripod.com/ puede engañar a un observador casual y hacerlo creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente). Este método ha sido erradicado desde entonces en los navegadores de Mozilla[18]​ e Internet Explorer.[19]
  • Whaling. Se diferencia de los otros tipos de intentos de phishing en que el objetivo son personas importantes como por ejemplo ejecutivos de alto rango. Las solicitudes de información contenidas en el ataque están más adaptadas a la persona concreta. Por ejemplo, la información presentada puede incluir solicitudes de citaciones, quejas de clientes, solicitudes de transferencia bancaria u otras solicitudes relacionadas con transacciones financieras concretas. La persona objetivo desprevenida puede verse atraído a revelar información confidencial del sistema u otros datos valiosos a los que solo unos pocos individuos tienen acceso.
  • Business Email Compromise (BEC) o estafas Man-in-the-Email. Consisten en usar el correo electrónico para desplegar tácticas de ingeniería social y conseguir engañar a empleados desprevenidos. Los formas concretas más habituales de este tipo de ataques son:[20]
    • CEO Fraud. Consiste en hacerse pasar por un CEO u otro ejecutivo de alto rango que se comunica con un usuario final de nivel inferior para persuadirlo de realizar ciertas acciones. Para realizar este tipo de ataque pueden extraer previamente información relevante para que la solicitud parezca lo más legítima posible. Por lo tanto, el atacante puede combinar las diversas técnicas de phishing e ingeniería social.
    • Compromiso de la cuenta. La cuenta de correo electrónico de un ejecutivo o empleado es pirateada y utilizada para solicitar pagos de facturas a proveedores que figuran en sus contactos de correo electrónico. Los pagos se envían a cuentas bancarias fraudulentas.
    • Suplantación de identidad de los abogados. Los atacantes fingen ser un abogado o alguien de la firma de abogados supuestamente a cargo de asuntos cruciales y confidenciales. Normalmente, tales solicitudes falsas se realizan por correo electrónico o por teléfono, y durante el final del día hábil.
    • El falso esquema de facturas (Bogus Invoice Scheme). El atacante finge ser un proveedor que solicita transferencias de fondos para pagos a una cuenta que controla el atacante. Es típico de las empresas con proveedores extranjeros.
    • Robo de datos. Su objetivo son los empleados de nivel bajo de Recursos humanos y contabilidad y el objetivo es obtenerles información de identificación personal o declaraciones de impuestos de empleados y ejecutivos. Dichos datos pueden usarse para futuros ataques.
  • Spear Phishing. El objetivo a engañar es una persona o empleado específico de una compañía en concreto. Para ello los cibercriminales recopilan meticulosamente información sobre la víctima para conseguir su confiaza. Un correo malicioso de spear phishing bien elaborado (típicamente con enlace a sitio malicioso o con documento adjunto malicioso) es muy complicado de distinguir de uno legítimo, por lo que acaba siendo más fácil cazar a la presa. El spear phishing es una herramienta típica usada en ataques a empresas, bancos o personas influyentes y es el método de infección más utilizado en campañas de APT. Los objetivos de este tipo de ataque son tanto los altos cargos con acceso a información potencial, como los departamentos cuyo trabajo consiste en abrir numerosos documentos provenientes de otras fuentes. [21][22]
  • Search Engine phishing. En este tipo de ataque los estafadores crean su propio sitio malicioso y lo indexan los motores de búsqueda legítimos. Es habitual que estos sitios maliciosos ofrezcan productos barato, oportunidades de empleo o incluso lancen alertas de virus para los que es necesario adquirir su antivirus. Los compradores en línea encontrarán estos sitios apareciendo en una página típica de resultados de Google, y puede ser muy difícil notar la diferencia con un sitio legítimo. El sitio malicioso alienta a los usuarios a entregar su información personal, como el número del documento de identificación o su número de cuenta bancaria para poder realizar la compra. Estos datos se pueden usar para robarle, secuestrar su identidad o destruir su reputación. [23]
  • Phising con evasión de filtros. Los mecanismos 'Anti-Phishing' y 'Anti-malware' disponen de mecanismos para detectar ataques. Por ejemplo:
    • Conocen las palabras clave que deben buscar en correos electrónicos para detectar ataques de phishing. Para evadir esos filtros los atacantes usan técnicas de para evadir esos filtros. Para evitarlo se pueden usar imágenes que contienen texto de phishing incrustado para evitar filtros anti-phishing basados en el análisis de cadenas de texto.
    • Analizan los ficheros adjuntos para detectar ataques. Para evitarlo se pueden añadir ficheros adjuntos protegidos con contraseña. Esta técnica a la vez que evita el análisis de detección, crea una falsa sensación de seguridad. [24]
  • Nigerian phishing. Es la transposición a Internet de la clásica estafa que utiliza el gancho de herederas/viudas/secretarias/abogados de millonarios fallecidos/dictadores en desgracia/negocios seguros etcétera, que necesitan una pequeña cantidad de dinero para cierta gestión que les recompensará generosamente. Las historias se han adaptado a los nuevos tiempos y están ampliando su objetivo a empresas siendo frecuente habitual la compra de bases de datos de direcciones electrónicas corporativas en el mercado negro. Sin embargo la base es la misma, aprovecharse de la avaricia y la credulidad de sus víctimas. Puede creerse irrelevante pero este tipo de ataques, pero el FBI estima que entre octubre de 2013 y mayo de 2016 se estafaron más de 3 mil millones de dólares.[25]
  • Pharming o DNS-Based Phishing. El engaño consiste en redirigir al usuario a una sitio falso aprovechando para ello vulnerabilidades en el proceso de conversión de la secuencia de letras que componen una URL en una dirección IP. El ataque puede ser dirigido contra el ordenador del usuario o aprovechar vulnerabilidad del servidor DNS. El término "pharming" es una palabra compuesta por los términos "phishing" y "farming".[26]
  • Addline Phishing. Consiste en acceder de forma fraudulenta al dispositivo de la víctima con la intención de robar información de las cuentas personales (correos, PayPal, Amazon, Bitcoin, cuentas bancarias,...), típicamente usando servicios Wifi gratuitos maliciosos. Estas cuentas robadas, son utilizadas para cometer o realizar operaciones fraudulentas como si fuera la persona dueña de la cuenta. De esta forma se dificulta la detección del delincuente ya que son hechas en nombre de otra persona.[27]​ Los montos de dinero obtenidos por el Addline Phishing suelen ser bajos (menores a $50.000) por lo que los bancos dedican poca atención y respaldo a la víctima. Según un estudio de la Universidad de Nueva York, el 74% de las víctimas del Addline Phishing son turistas conectados a redes WiFi de hoteles
  • Malware-based phishing. Se refiere a aquellos ataques de phishing que implican la ejecución de un software malicioso en los ordenadores de la víctima. Por ejemplo, en un correo electrónico que suplanta la identidad de una marca se incluye como adjunto, o es accesible a través de un enlace, un documento PDF que al abrirse infecta el dispositivo de la víctima[28][29]
  • Content-Injection phishing. En este tipo de ataque los atacantes reemplazan parte del contenido de un sitio legítimo con contenido malicioso diseñado para obtener información confidencial del usuario.[29]
  • Man-in-the-Middle Phishing. El atacante se posiciona entre el ordenador del usuario y el servidor, grabando así, la información que se transmite entre ambos[29]
  • Watering Hole Phishing, watering hole attack o ataque de abrevadero. El atacante infecta con malware sitios web de terceros muy utilizados por los usuarios de la organización. De esta forma cuando los usuario de la organización acceden a ese sitio web quedan infectados. El ataque es altamente efectivo ya que con la infección de un solo sitio, se puede lograr que miles de víctimas descarguen la amenaza. El éxito se incrementa si se usa vulnerabilidades 0-Day, no conocidas aún públicamente y que no han sido solucionadas por el fabricante. Su nombre proviene de la forma en que algunos depredadores del mundo animal esperan su oportunidad para atacar a su presa cerca de los pozos de agua que sirven de abrevadero.[30]
  • Evil Twin. Se trata de crear un Punto de Acceso malicioso a una red Wireless, con apariencia de legítimo, para que los víctimas puedan conectarse y así capturar información confidencial. Por ejemplo redirigiendo a sitios maliciosos que capturan nuestras credenciales. [31][32]
  • Social Network Phishing. Son ataques de phishing en los que están involucradas las redes sociales. Por ejemplo: [33]
    • Phishing de inyección de contenido en redes sociales consiste en insertar contenido malicioso en las redes sociales. Por ejemplo, publicación de post falsos publicados por usuarios cuyas cuentas se vieron afectadas con aplicaciones no autorizadas.
    • Man-in-the-middle social network attack también conocido como social network session hijacking attack. Es una forma de phishing en la que el atacante se posiciona entre el usuario y el sitio web de una red social legítima. La información que se manda a la red social pasa a través del atacante el cual la lee, la procesa e incluso puede añadir contenido. La forma en que el atacante se sitúa entre el usuario y la red social pueden ser variadas, por ejemplo se puede aprovechar de una vulnerabilidad de la red social, o atraer a la víctima a un sitio de phishing (por ejemplo, una página de inicio de sesión falsa de Facebook) donde la víctima ingresa su nombre de usuario y contraseña que el servidor de phisher utiliza para ingresar al sitio web legítimo de la red social y actualizar y leer en la red social legítima.
    • Basado en malware. En este tipo de ataque se realiza la propagación de mensajes de phishing mediante el uso de malware. Por ejemplo, la cuenta de Facebook de una víctima que instaló una aplicación de Facebook no autorizada, envía automáticamente mensajes a todos los amigos de la víctima. Dichos mensajes a menudo contienen enlaces que permiten a los receptores de los mensajes instalar la aplicación maliciosa de Facebook en sus computadoras o dispositivos móviles.
    • Deceptive phishing. En un escenario típico, un phisher crea una cuenta que finge ser la cuenta de la víctima. A continuación, el phisher envía solicitudes de amistad a los amigos de la víctima, así como un mensaje como «He abandonado mi cuenta de Facebook anterior. De ahora en adelante, comuníquese conmigo solo a través de esta cuenta». A continuación, el phisher comienza a enviar mensajes a los amigos de la víctima que exigen que el destinatario haga clic en un enlace. Por ejemplo una factura ficticia que se puede cancelar haciendo clic en un enlace que solicita al usuario que proporcione su información personal.
  • Tabnabbing. Este tipo de phishing se basa en el hecho de que muchos acostumbran a tener varias pestañas del navegador abiertas. El ataque se basa en que mientras la víctima revisa los contenidos de otras pestañas, el sitio malicioso cambia su apariencia para parecer que se trata de otro sitio. Si no se da cuenta de que este nuevo sitio no es el que estaba utilizando, puede capturar la información. Por ejemplo el sitio malicioso puede simular que se ha perdido la conexión a una web de correo electrónico y pedirle a la víctima las credenciales. Cuando las introduce, le redirige a la página original donde había iniciado sesión anteriormente y le hace creer que su ingreso de datos tuvo éxito.[34]
  • Man in the Browser (MITB). Combina el uso de técnicas de phishing para instalar un troyano en el navegador del usuario, para capturar, modificar y/o insertar información adicional en las páginas sin el conocimiento del usuario. Una técnica habitual para realizar este tipo de ataque es la instalación de una extensión maliciosa en el navegador. La instalación de esta extensión maliciosa puede ser realizada por un software malicioso o por la propia víctima pensando que se trata de una extensión fiable. El malware instalado en el navegador analizará el tráfico y cuando se cargue una página de una lista de sitios objetivos realizará las acciones para las que está programado[35]
  • Phishing 2.0. Consiste en utilizar un proxy inverso transparente para montar un ataque man-in-the-middle contra usuarios. Este intermediario hace que en tiempo real, sin que el usuario sea consciente, cada paquete proveniente del navegador de la víctima, sea interceptado, y después enviado al sitio web real. Análogamente en tiempo real cada paquete proveniente del sitio web real será interceptado, antes de ser enviado al navegador. En la interceptación, el proxy inverso analiza el contenido del paquete, almacenando lo que considere útil (por ejemplo, el identificador de usuario, contraseña o cookies de sesión) y pudiendo incluso modificar el contenido del paquete. Para poder usar estas técnicas con servidores web que usen https, es necesario que el servidor proxy tenga instalado un certificado https válido de una URL falsa que suplante a la URl del sitio web real. Este tipo de ataque, al tener un control total del tráfico entre el navegador y el servidor, permite atacar sesiones con autenticación multifactor. Herramientas especializadas para automatizar este tipo de ataques son Evilginx2 y Modlishka[36][37]
  • Phishing móvil. Son ataques de phishing especialmente orientados a los dispositivos móviles. Por ejemplo:[38][39]
    • Aprovechar mensajes de SMS o de aplicaciones de mensajería instantánea, por ejemplo WhatsApp, para mandar enlaces falsos.
    • Aprovechar aplicaciones móviles maliciosas para recopilar información personal. Los datos pueden ser introducidos por el usuario o obtenidos directamente por la app, por ejemplo accediendo a los ficheros del dispositivo o usando la información de geolocalización.
    • Obtener información personal como dónde vivimos o dónde estamos en un preciso momento, a partir de aplicaciones de venta de objetos de segunda mano como Vibbo o Wallapop
    • Aprovechar información de valoraciones de restaurantes y otros sitios de interés turístico para averiguar dónde está la víctima o para tener información sobre ella. Esta información puede ser usada, por ejemplo, para un primer contacto de tal manera que parezcan personas de confianza
  • Hishing o “hardware phishing”. Consiste en distribuir malware ocultándolo en equipos que van a ser vendidos, ya sean estos nuevos o usados. Estos códigos maliciosos pueden ocultarse en teléfonos móviles, equipos MP3, etc.[40]

Phishing como servicio

El Phishing como servicio o PHaaS (del inglés Phishing-as-a-Service) consiste en ofrecer, previo pago, una plataforma que proporciona varios servicios de phishing. De esta forma se establece un mercado para comprar y vender dichos servicios.[41]

Es habitual que el sistema ofrezca una serie de plantillas (de redes sociales, banca, comercio minorista, telecomunicaciones, servicios públicos, juegos, plataformas de citas,...) para que el usuario elija la que usa y la configure de acuerdo al ataque de phishing que quiera utilizar. Además, el sistema proporciona un panel que permitirá al usuario seguir los detalles de la campaña de phishing y obtener las credenciales robadas con éxito. A partir de aquí ya el usuario puede explotar estas credenciales para su propio beneficio o venderlas a compradores interesados en el mercado.[41]

A veces se ofrecen suscripciones gratis que permiten ver tutoriales y se asesora sobre como utilizar el phishing para ganar dinero fácil.[41]

Un ejemplo de este tipo de plataformas es Hackshit[41]

Fases

  • En la primera fase, la red de estafadores se nutre de usuarios de chat, foros o correos electrónicos, a través de mensajes de ofertas de empleo con una gran rentabilidad o disposición de dinero (hoax o scam). En el caso de que caigan en la trampa, los presuntos intermediarios de la estafa, deben rellenar determinados campos, tales como: Datos personales y número de cuenta bancaria.
  • Se comete el phishing, ya sea el envío global de millones de correos electrónicos bajo la apariencia de entidades bancarias, solicitando las claves de la cuenta bancaria (phishing) o con ataques específicos.
  • El tercer paso consiste en que los estafadores comienzan a retirar sumas importantes de dinero, las cuales son transmitidas a las cuentas de los intermediarios (muleros).
  • Los intermediarios realizan el traspaso a las cuentas de los estafadores, llevándose estos las cantidades de dinero y aquellos —los intermediarios— el porcentaje de la comisión.

Daños causados por el phishing

 
Una gráfica muestra el incremento en los reportes de phishing desde octubre de 2004 hasta junio de 2005.

Los daños causados por el phishing oscilan entre la pérdida del acceso al correo electrónico a pérdidas económicas sustanciales. Este tipo de robo de identidad se está haciendo cada vez más popular por la facilidad con que personas confiadas normalmente revelan información personal a los phishers, incluyendo números de tarjetas de crédito y números de seguridad social. Una vez esta información es adquirida, los phishers pueden usar datos personales para crear cuentas falsas utilizando el nombre de la víctima, gastar el crédito de la víctima, o incluso impedir a las víctimas acceder a sus propias cuentas. También es importante considerar la angustia psicológica y emocional causada por tal robo de identidad en tener estos datos personales.[42]

Se estima que entre mayo de 2004 y mayo de 2005, aproximadamente 1,2 millones de usuarios de computadoras en los Estados Unidos tuvieron pérdidas a causa del phishing, lo que suma a aproximadamente $929 millones de dólares estadounidenses.[43]​ Los negocios en los Estados Unidos perdieron cerca de 2000 millones de dólares al año mientras sus clientes eran víctimas.[44]​ El Reino Unido también sufrió el alto incremento en la práctica del phishing. En marzo del 2005, la cantidad de dinero reportado que perdió el Reino Unido a causa de esta práctica fue de aproximadamente £12 millones de libras esterlinas.[45]

Lavado de dinero producto del phishing

Actualmente empresas ficticias intentan reclutar teletrabajadores por medio de correo electrónicos, chats, irc y otros medios, ofreciéndoles no sólo trabajar desde casa sino también otros jugosos beneficios. Aquellas personas que aceptan la oferta se convierten automáticamente en víctimas que incurren en un grave delito sin saberlo: el blanqueo de dinero obtenido a través del acto fraudulento de phishing.

Para que una persona pueda darse de alta con esta clase de «empresas» debe rellenar un formulario en el cual indicará, entre otros datos, su número de cuenta bancaria. Esto tiene la finalidad de ingresar en la cuenta del trabajador-víctima el dinero procedente de estafas bancarias realizadas por el método de phishing. Una vez contratada, la víctima se convierte automáticamente en lo que se conoce vulgarmente como mulero.

Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su cuenta bancaria y la empresa le notifica del hecho. Una vez recibido este ingreso, la víctima se quedará un porcentaje del dinero total, pudiendo rondar el 10%-20%, como comisión de trabajo y el resto lo reenviará a través de sistemas de envío de dinero a cuentas indicadas por la seudo-empresa.

Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad económica) ésta se ve involucrada en un acto de estafa importante, pudiendo ser requerido por la justicia previa denuncia de los bancos. Estas denuncias se suelen resolver con la imposición de devolver todo el dinero sustraído a la víctima, obviando que este únicamente recibió una comisión.


Anti-phishing

Existen varias técnicas diferentes para combatir el phishing, incluyendo la legislación y la creación de tecnologías específicas que tienen como objetivo evitarlo.

Respuestas organizativas

Una estrategia para combatir el phishing adoptada por algunas empresas es la de entrenar a los empleados de modo que puedan reconocer posibles ataques. Una nueva táctica de phishing donde se envían correos electrónicos de tipo phishing a una compañía determinada, conocido como spear phishing, ha motivado al entrenamiento de usuarios en varias localidades, incluyendo la Academia Militar de West Point en los Estados Unidos. En un experimento realizado en junio del 2004 con spear phishing, el 80% de los 500 cadetes de West Point a los que se les envió un correo electrónico falso fueron engañados y procedieron a dar información personal.[46]

Un usuario al que se le contacta mediante un mensaje electrónico y se le hace mención sobre la necesidad de "verificar" una cuenta electrónica puede o bien contactar con la compañía que supuestamente le envía el mensaje, o puede escribir la dirección web de un sitio web seguro en la barra de direcciones de su navegador para evitar usar el enlace que aparece en el mensaje sospechoso de phishing. Muchas compañías, incluyendo eBay y PayPal, siempre se dirigen a sus clientes por su nombre de usuario en los correos electrónicos, de manera que si un correo electrónico se dirige al usuario de una manera genérica como («Querido miembro de eBay») es probable que se trate de un intento de phishing.

Respuestas técnicas

 
Alerta del navegador Firefox antes de acceder a páginas sospechosas de phishing.

Hay varios programas informáticos anti-phishing disponibles. La mayoría de estos programas trabajan identificando contenidos phishing en sitios web y correos electrónicos; algunos software anti-phishing pueden por ejemplo, integrarse con los navegadores web y clientes de correo electrónico como una barra de herramientas que muestra el dominio real del sitio visitado. Los filtros de spam también ayudan a proteger a los usuarios de los phishers, ya que reducen el número de correos electrónicos relacionados con el phishing recibidos por el usuario.

Muchas organizaciones han introducido la característica denominada «pregunta secreta», en la que se pregunta información que sólo debe ser conocida por el usuario y la organización. Las páginas de Internet también han añadido herramientas de verificación que permite a los usuarios ver imágenes secretas que los usuarios seleccionan por adelantado; sí estas imágenes no aparecen, entonces el sitio no es legítimo.[47]​ Estas y otras formas de autentificación mutua continúan siendo susceptibles de ataques, como el sufrido por el banco escandinavo Nordea a finales de 2005.[48]

Muchas compañías ofrecen a bancos y otras entidades que sufren de ataques de phishing, servicios de monitoreo continuos, analizando y utilizando medios legales para cerrar páginas con contenido phishing. También han surgido soluciones que utilizan el teléfono móvil[49]​ (smartphone) como un segundo canal de verificación y autorización de transacciones bancarias.

El [www.apwg.org/ Anti-Phishing Working Group}, industria y asociación que aplica la ley contra las prácticas de phishing, ha sugerido que las técnicas convencionales de phishing podrían ser obsoletas en un futuro a medida que la gente se oriente sobre los métodos de ingeniería social utilizadas por los phishers.[50]​ Ellos suponen que en un futuro cercano, el pharming y otros usos de malware se van a convertir en herramientas más comunes para el robo de información.

Respuestas legislativas y judiciales

El 26 de enero de 2004, la FTC (Federal Trade Commission, la Comisión Federal de Comercio) de Estados Unidos llevó a juicio el primer caso contra un phisher sospechoso. El acusado, un adolescente de California, supuestamente creó y utilizó una página web con un diseño que aparentaba ser la página de America Online para poder robar números de tarjetas de crédito.[51]​ Tanto Europa como Brasil siguieron la práctica de los Estados Unidos, rastreando y arrestando a presuntos phishers. A finales de marzo de 2005, un hombre estonio de 24 años fue arrestado utilizando una backdoor, a partir de que las víctimas visitaron su sitio web falso, en el que incluía un keylogger que le permitía monitorear lo que los usuarios tecleaban.[52]​ Del mismo modo, las autoridades arrestaron al denominado phisher kingpin, Valdir Paulo de Almeida, líder de una de las más grandes redes de phishing que en dos años había robado entre $18 a $37 millones de dólares estadounidenses.[53]​ En junio del 2005 las autoridades del Reino Unido arrestaron a dos hombres por la práctica del phishing,[54]​ en un caso conectado a la denominada «Operation Firewall» del Servicio Secreto de los Estados Unidos, que buscaba sitios web notorios que practicaban el phishing.[55]

La compañía Microsoft también se ha unido al esfuerzo de combatir el phishing. El 31 de marzo del 2005, Microsoft llevó a la Corte del Distrito de Washington 117 pleitos federales. En algunos de ellos se acusó al denominado phisher "John Doe" por utilizar varios métodos para obtener contraseñas e información confidencial. Microsoft espera desenmascarar con estos casos a varios operadores de phishing de gran envergadura. En marzo del 2005 también se consideró la asociación entre Microsoft y el gobierno de Australia para educar sobre mejoras a la ley que permitirían combatir varios crímenes cibernéticos, incluyendo el phishing.[56]

El phishing como delito

General

Diversos países se han ocupado de los temas del fraude y las estafas a través de Internet. Uno de ellos es el pero además otros países han dedicado esfuerzos legislativos para castigar estas acciones.

Algunos países ya han incluido el phishing como delito en sus legislaciones, mientras que en otros aún están trabajando en ello.

Colombia

En enero de 2009 el Congreso de la República de Colombia sancionó la ley 1273 que adicionó nuevos delitos al código penal, relacionados con delitos informáticos, entre ellos el phishing:

 
Phishing

– Artículo 269G[57]: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES. El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave.

   En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave.

La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la mitad, si para consumarlo el agente ha reclutado víctimas en la cadena del delito.

Es primordial mencionar que este artículo tipifica lo que comúnmente se denomina “phishing”, modalidad de estafa que usualmente utiliza como medio el correo electrónico pero que cada vez con más frecuencia utilizan otros medios de propagación como por ejemplo la mensajería instantánea o las redes sociales. Según la Unidad de Delitos Informáticos de la Policía Judicial (Dijín) con esta modalidad se robaron más de 3500 millones de pesos de usuarios del sistema financiero en el 2006

Argentina

En Argentina, el 19 de septiembre de 2011 fue presentado un proyecto para sancionar el Phishing,[58]​ bajo el N.º de Expediente S-2257/11, Proyecto de Ley para tipificar el Phishing o Captación Ilegítima de Datos en el Senado de la Nación. Mediante este proyecto se busca combatir las diferentes técnicas de obtención ilegítima de información personal.

Chile

En Chile, no existe un tipo penal en el Código Penal que sancione el phishing, sin embargo, los tribunales recurren a la figura de la estafa tradicional para castigar estas conductas.[59]

Estados Unidos

En los Estados Unidos, el senador Patrick Leahy introdujo el Ley Anti-Phishing de 2005 el 1 de marzo de 2005. Esta ley federal de anti-phishing establecía que aquellos criminales que crearan páginas web falsas o enviaran spam a cuentas de correo electrónico con la intención de estafar a los usuarios podrían recibir una multa de hasta $250,000 USD y penas de cárcel por un término de hasta cinco años.[60]

Algunos estados tienen leyes que tratan las prácticas fraudulentas o engañosas o el robo de identidad y que también podría aplicarse a los delitos de phishing.[61]

Véase también

Referencias

  1. Cómo saber cuándo un estafador se está haciendo pasar por tu banco. BBC News Mundo. 13 de febrero de 2019
  2. DESMONTANDO A LUPIN: La prevención de la estafa informática, desde y para el usuario. Adrián Carmona Caballero. Colegio Profesional de la Criminología de la Comunidad de Madrid. 30 de noviembre de 2019
  3. «Según Guillermo Chas, el desafío de la Justicia es combatir el cibercrimen». Norte Corrientes. 6 de octubre de 2021. Consultado el 8 de octubre de 2021. 
  4. Phishing Attacks:Defending Your Organisation. National Cyber Security Centre. GCHQ (servicio de inteligencia del Reino Unido).
  5. Stutz, Michael 29 de enero de 1998
  6. Suplantación o robo de identidad (phishing)a
  7. ¿Qué es el phishing?. Gabriela Gavrailova. mailjet.com/. 10 de diciembre de 2019
  8. "phishing, n." OED Online, March 2006, Oxford University Press. Oxford English Dictionary Online. [1]. 9 de agosto de 2006
  9. "phish, v." OED Online, March 2006, Oxford University Press. Oxford English Dictionary Online. http://dictionary.oed.com/cgi/entry/30004303/ 9 de agosto de 2006
  10. Ollmann, Gunter. Phishing Guide: Understanding and Preventing Phishing Attacks. Technical Info. [2]. 10 de julio de 2006.
  11. . Michael Stutz. Wired News. 29 de enero de 1998
  12. EL PHISHING. Mayra Sheila Mariana Leguizamón. TRABAJO FINAL DE GRADO.GRADO EN CRIMINOLOGÍA Y SEGURIDAD. Universitat Jaume I
  13. 'Phishing', 'vishing', 'smishing', ¿qué son y cómo protegerse de estas amenazas?. Claudia Castillo. bbva.com. 29 de noviembre de 2018
  14. Evgeniy Gabrilovich and Alex Gontmakher. .Communications of the ACM 45(2):128. febrero del 2002
  15. Johanson, Eric. 'The Shmoo Group. 11 de agosto de 2005.
  16. Cuidado con las URL que esconden puntos debajo de vocales y consonantes: son timos. Carlos González. adslzone.net. 20 de febrero de 2018
  17. Berners-Lee, Tim. , IETF Network Working Group, 28 de enero de 2006
  18. Fisher, Darin. Warn when HTTP URL auth information isn't necessary or when it's provided. Bugzilla. 28 de agosto de 2005
  19. Microsoft. A security update is available that modifies the default behavior of Internet Explorer for handling user information in HTTP and in HTTPS URLs Microsoft Knowledgebase Database. 28 de agosto de 2005
  20. Business Email Compromise (BEC).trendmicro.com
  21. ¿Qué es el spear phishing?. Marvin the Robot. kaspersky.es. 7 de diciembre de 2017
  22. Detección de APTs]. José Miguel Holguín et ali. CSIRT-CV. Mayo 2013
  23. Tips to Avoid Phishing # 4 — Search Engine Phishing. ReputationDefender. medium.com. 18 de mayo de 2017
  24. Phishing on the rise. European Union Agency For Cybersecurity. 12 de octubre de 2017
  25. Nigerian phishing: Industrial companies under attack. Kaspersky Lab ICS CERT. 15 de junio de 2017
  26. Qué es el pharming y cómo evitarlo. kaspersky.es
  27. Bitácora Tecnología #3: Ataques comunes a los sistemas informáticos. José Gutierrez. steemit.com 2018
  28. Ocho tipos de ataques phishing que ponen en riesgo tu seguridad. Rodolfo. muyseguridad.net. 15 de febrero de 2019
  29. ¿Qué es phishing y qué tipos existen?. Beatriz Corchado. goDaddy.com. 25 de enero de 2017
  30. Watering Hole Attack: Método de espionaje contra las empresas. Cristian Borghello. MUG 2013.
  31. How to identify and prevent evil twin attacks. Emily Green. nordvpn.com. 3 de marzo de 2020
  32. Realizar un ataque Evil Twin para capturar claves Wi-Fi con Wifiphisher. Cristian McGrath. origendata.com. 11 de enero de 2018
  33. The Most Popular Social Network Phishing Schemes. Rasa Juzenaite. infosecinstitute.com. 10 de noviembre de 2015
  34. ¿Qué es TabNabbing?. Eugenia Tobar. maestrosdelweb.com. 1 de junio de 2010
  35. A Review of Browser Extensions, a Man-in-the-Browser Phishing Techniques Targeting Bank Customers. Nattakant Utakrit. 7th Australian Information Security Management Conference, Perth, Western Australia. 1-3 de diciembre de 2009
  36. What is Phishing 2.0 and which countermeasures can organisations use against it?. Ubisecure. 11 de marzo de 2019
  37. Evilginx 2 - Next Generation of Phishing 2FA Tokens. Kuba Gretzky. breakdev.org. 26 de julio de 2018
  38. Phishing en el móvil: todas las formas de ataque y cómo protegernos. Javier Jiménez. redeszone.net. 7 de julio de 2019
  39. Cuidado con los ataques de phishing en tu móvil. pandasecurity.com. 16 de agosto de 2017
  40. Estudio sobre usuarios y entidades públicas y privadas afectadas por la práctica fraudulenta conocida como phishing. Instituto Nacional de Tecnologías de la Comunicación (INTECO). Octubre de 2007.
  41. Phishing-As-A-Service: Making Cybercrime Easy to Commit. theconartist.substack.com. 21 de enero de 2020
  42. «Robo de Identidad y Consecuencias Sociales | Documentos - CSI -». www.cert.org.mx. Consultado el 19 de noviembre de 2020. 
  43. Kerstein, Paul: , CSO, 19 de julio de 2005.
  44. Kerstein, Paul (19 de julio de 2005). . CSO. Archivado desde el original el 24 de marzo de 2008. 
  45. Richardson, Tim: “Brits fall prey to phishing”, The Register, 3 de mayo de, 2005.
  46. Bank, David: “'Spear Phishing' Tests Educate People About Online Scams”, The Wall Street Journal, 17 de agosto de 2005.
  47. CNN, July 14, 2005.
  48. . Finextra. 12 de octubre de 2005. Archivado desde el original el 18 de diciembre de 2005. 
  49. “Verificación y autorización de transacciones con el Smartphone”, SafeSigner.
  50. Kawamoto, Dawn: , ZDNet India, 4 de agosto de 2005.
  51. Legon, Jeordan: , CNN, 26 de enero de 2004.
  52. Leyden, John: , The Register, 4 de abril de 2005.
  53. Leyden, John: “Brazilian cops net 'phishing kingpin'”, The Register, 21 de marzo de 2005.
  54. “UK Phishers Caught, Packed Away,” eWEEK, 27 de junio de 2005.
  55. 20 de noviembre de 2005
  56. Microsoft Partners with Australian Law Enforcement Agencies to Combat Cyber Crime. 24 de agosto de 2005.
  57. «Normatividad sobre delitos informáticos». Policía Nacional de Colombia. 25 de julio de 2017. Consultado el 14 de octubre de 2019. 
  58. Borghello Cristian, Temperini Marcelo Marzo 2012.
  59. Oxman, Nicolas (2013). «Estafas informáticas a través de Internet: acerca de la imputación penal del "phishing" y el "pharming"». Revista de derecho (Valparaíso) (41): 191. Consultado el 1 de agosto de 2015. 
  60. Tan, Koon. Phishing and Spamming via IM (SPIM).|Internet Storm Center. [3]/]. 5 de diciembre de 2010
  61. Aquí se puede encontrar los estados que actualmente castigan este tipo de delitos.

Enlaces externos

Información sobre phishing

  • Grupo Activo Anti-Phishing el 22 de noviembre de 2003 en Wayback Machine. (en inglés)
  • CERT de INCIBE, equipo que gestiona incidentes de phishing en España
  • Phishing Bancario
  • Sitio de consulta y reporte de phishing en Hispanoamérica
  • Diferentes formas de aplicar el Phishing

Legislación

  • Duke Law & Technology Review el 28 de diciembre de 2005 en Wayback Machine. - Tapando los agujeros provocados por el phishing: legislación contra tecnología.


  •   Datos: Q135005
  •   Multimedia: Phishing

Abril 26, 2022
phishing, término, informático, distingue, conjunto, técnicas, persiguen, engaño, víctima, ganándose, confianza, haciéndose, pasar, persona, empresa, servicio, confianza, suplantación, identidad, tercero, confianza, para, manipularla, hacer, realice, acciones,. Phishing es un termino informatico que distingue a un conjunto de tecnicas que persiguen el engano a una victima ganandose su confianza haciendose pasar por una persona empresa o servicio de confianza suplantacion de identidad de tercero de confianza para manipularla y hacer que realice acciones que no deberia realizar por ejemplo revelar informacion confidencial o hacer click en un enlace 1 2 Este es un ejemplo de un intento de phishing Haciendose pasar por un correo electronico oficial trata de enganar a los clientes del banco para que den informacion acerca de su cuenta con un enlace a la pagina del phisher Para realizar el engano habitualmente se hace uso de la ingenieria social explotando los instintos sociales de la gente 3 como es de ayudar o ser eficiente Tambien mediante la adulacion de la victima explotando su intrinseca vanidad o necesidad de ser reconocido baja autoestima o una persona que busca trabajo Por ejemplo enviando correos electronicos o mostrando publicidades a la victima diciendole que ha ganado un premio y que siga un enlace para recibirlo siendo aquellas promesas falsas un cebo A veces tambien se hace uso de procedimientos informaticos que aprovechan vulnerabilidades Habitualmente el objetivo es robar informacion pero otras veces es instalar malware sabotear sistemas o robar dinero a traves de fraudes 4 A quien practica el phishing se le llama phisher 5 Dado el creciente numero de denuncias de incidentes relacionados con el phishing se requieren metodos adicionales de proteccion Se han realizado intentos con leyes que castigan la practica y campanas para prevenir a los usuarios con la aplicacion de medidas tecnicas a los programas Indice 1 Origen del termino 2 Tecnicas de phishing 3 Phishing como servicio 4 Fases 5 Danos causados por el phishing 6 Lavado de dinero producto del phishing 7 Anti phishing 7 1 Respuestas organizativas 7 2 Respuestas tecnicas 7 3 Respuestas legislativas y judiciales 8 El phishing como delito 8 1 General 8 2 Colombia 8 3 Argentina 8 4 Chile 8 5 Estados Unidos 9 Vease tambien 10 Referencias 11 Enlaces externos 11 1 Informacion sobre phishing 11 2 LegislacionOrigen del termino EditarEl termino phishing proviene de la palabra inglesa fishing pesca haciendo alusion a utilizar un cebo y esperar a que las victimas muerdan el anzuelo Los cebos utilizados pueden ser muy variados 6 7 Tambien se dice que el termino phishing es la contraccion de password harvesting fishing cosecha y pesca de contrasenas aunque esto probablemente es un acronimo retroactivo dado que la escritura ph es comunmente utilizada por hackers para sustituir la f como raiz de la antigua forma de hacking telefonico conocida como phreaking 8 La primera mencion del termino phishing data de enero de 1996 en el grupo de noticias de hackers alt 2600 y fue usado para denominar a quienes intentaban pescar cuentas de miembros de AOL 9 Es posible que el termino ya hubiera aparecido anteriormente en la edicion impresa del boletin de noticias hacker 2600 Magazine 10 En el phishing en AOL el atacante se hacia pasar como un empleado de AOL y enviaba un mensaje instantaneo a una victima potencial Para poder enganar a la victima de modo que diera informacion confidencial 11 el mensaje podia contener textos como verificando cuenta o confirmando informacion de factura Una vez el usuario enviaba su contrasena el atacante podia tener acceso a la cuenta de la victima y utilizarla para varios propositos criminales incluyendo el spam Tecnicas de phishing EditarLos ataques de phishing se pueden clasificar segun el objetivo contra el que se dirige el ataque el fin el medio que se utiliza o segun el modo de operacion Un caso concreto puede pertenecer a varios tipos a la vez 2 Actualmente se han contando mas de 10 000 formas de phishing 12 Los tipos de ataques de phising mas frecuentes son 2 Phishing general phishing tradicional Bulk Phishing o Spray and pray Consiste en la emision masiva de correos electronicos a usuarios Estos correos suplantan a entidades de confianza ejemplo bancos y persiguen el engano del usuario y la consecucion de informacion Por ejemplo en el mensaje se incluyen enlaces a dominios maliciosos Para camuflar estos enlaces es habitual que el texto del enlace sea la URL correcta pero el enlace en si apunte al sitio malicioso Vishing Es similar al phishing tradicional pero el engano se produce a traves de una llamada telefonica El termino deriva de la union de dos palabras en ingles voice y phishing Un ejemplo tipico de uso de esta tecnica es cuando un ciberdelincuente ha robado ya informacion confidencial a traves de un ataque de phising pero necesita la clave SMS o token digital para realizar y validar una operacion Es en ese momento el ciberdelincuente llama por telefono al cliente identificandose como personal del banco y con mensajes particularmente alarmistas intenta de que el cliente revele el numero de su clave SMS o token digital que son los necesarios para autorizar la transaccion 13 Smishing Es similar al phishing tradicional pero el engano se produce a traves mensajes de texto ya sean por SMS o mensajeria instantanea como WhatsApp Un ejemplo tipico de esta tecnica es cuando el cliente recibe un mensaje de texto donde el emisor se hace pasar por el banco y le informan que se ha realizado una compra sospechosa con su tarjeta de credito A su vez el texto solicita que se comunique con la banca por telefono de la entidad financiera y le brinda un numero falso El cliente devuelve la llamada y es ahi cuando el ciberdelincuente haciendose pasar por el banco solicita informacion confidencial para supuestamente cancelar la compra En una variante de esta modalidad el mensaje tambien podria incluir un enlace a una web fraudulenta para solicitar informacion sensible 13 URL Phishing Se trata de enganar al usuario haciendo que una URL de un sitio malicioso parezca la de un sitio confiable A ellas a veces se accede de forma inadvertida al escribir nombres de dominio mal escritos que estan muy cerca del dominio legitimo o siguiendo un enlace malicioso que parece correcto o por enganos al usar caracteres unicode parecidos dificilmente detectables especialmente en dispositivos moviles con pantallas mas pequenas y generalmente una resolucion de pantalla inferior Por ejemplo caracteres latinos con un punto bajo o la letra griega omicron o 14 15 16 Otra forma de disfrazar enlaces es utilizar direcciones que contengan el caracter arroba para posteriormente preguntar el nombre de usuario y contrasena contrario a los estandares 17 Por ejemplo el enlace http www google com members tripod com puede enganar a un observador casual y hacerlo creer que el enlace va a abrir en la pagina de www google com cuando realmente el enlace envia al navegador a la pagina de members tripod com y al intentar entrar con el nombre de usuario de www google com si no existe tal usuario la pagina abrira normalmente Este metodo ha sido erradicado desde entonces en los navegadores de Mozilla 18 e Internet Explorer 19 Whaling Se diferencia de los otros tipos de intentos de phishing en que el objetivo son personas importantes como por ejemplo ejecutivos de alto rango Las solicitudes de informacion contenidas en el ataque estan mas adaptadas a la persona concreta Por ejemplo la informacion presentada puede incluir solicitudes de citaciones quejas de clientes solicitudes de transferencia bancaria u otras solicitudes relacionadas con transacciones financieras concretas La persona objetivo desprevenida puede verse atraido a revelar informacion confidencial del sistema u otros datos valiosos a los que solo unos pocos individuos tienen acceso Business Email Compromise BEC o estafas Man in the Email Consisten en usar el correo electronico para desplegar tacticas de ingenieria social y conseguir enganar a empleados desprevenidos Los formas concretas mas habituales de este tipo de ataques son 20 CEO Fraud Consiste en hacerse pasar por un CEO u otro ejecutivo de alto rango que se comunica con un usuario final de nivel inferior para persuadirlo de realizar ciertas acciones Para realizar este tipo de ataque pueden extraer previamente informacion relevante para que la solicitud parezca lo mas legitima posible Por lo tanto el atacante puede combinar las diversas tecnicas de phishing e ingenieria social Compromiso de la cuenta La cuenta de correo electronico de un ejecutivo o empleado es pirateada y utilizada para solicitar pagos de facturas a proveedores que figuran en sus contactos de correo electronico Los pagos se envian a cuentas bancarias fraudulentas Suplantacion de identidad de los abogados Los atacantes fingen ser un abogado o alguien de la firma de abogados supuestamente a cargo de asuntos cruciales y confidenciales Normalmente tales solicitudes falsas se realizan por correo electronico o por telefono y durante el final del dia habil El falso esquema de facturas Bogus Invoice Scheme El atacante finge ser un proveedor que solicita transferencias de fondos para pagos a una cuenta que controla el atacante Es tipico de las empresas con proveedores extranjeros Robo de datos Su objetivo son los empleados de nivel bajo de Recursos humanos y contabilidad y el objetivo es obtenerles informacion de identificacion personal o declaraciones de impuestos de empleados y ejecutivos Dichos datos pueden usarse para futuros ataques Spear Phishing El objetivo a enganar es una persona o empleado especifico de una compania en concreto Para ello los cibercriminales recopilan meticulosamente informacion sobre la victima para conseguir su confiaza Un correo malicioso de spear phishing bien elaborado tipicamente con enlace a sitio malicioso o con documento adjunto malicioso es muy complicado de distinguir de uno legitimo por lo que acaba siendo mas facil cazar a la presa El spear phishing es una herramienta tipica usada en ataques a empresas bancos o personas influyentes y es el metodo de infeccion mas utilizado en campanas de APT Los objetivos de este tipo de ataque son tanto los altos cargos con acceso a informacion potencial como los departamentos cuyo trabajo consiste en abrir numerosos documentos provenientes de otras fuentes 21 22 Search Engine phishing En este tipo de ataque los estafadores crean su propio sitio malicioso y lo indexan los motores de busqueda legitimos Es habitual que estos sitios maliciosos ofrezcan productos barato oportunidades de empleo o incluso lancen alertas de virus para los que es necesario adquirir su antivirus Los compradores en linea encontraran estos sitios apareciendo en una pagina tipica de resultados de Google y puede ser muy dificil notar la diferencia con un sitio legitimo El sitio malicioso alienta a los usuarios a entregar su informacion personal como el numero del documento de identificacion o su numero de cuenta bancaria para poder realizar la compra Estos datos se pueden usar para robarle secuestrar su identidad o destruir su reputacion 23 Phising con evasion de filtros Los mecanismos Anti Phishing y Anti malware disponen de mecanismos para detectar ataques Por ejemplo Conocen las palabras clave que deben buscar en correos electronicos para detectar ataques de phishing Para evadir esos filtros los atacantes usan tecnicas de para evadir esos filtros Para evitarlo se pueden usar imagenes que contienen texto de phishing incrustado para evitar filtros anti phishing basados en el analisis de cadenas de texto Analizan los ficheros adjuntos para detectar ataques Para evitarlo se pueden anadir ficheros adjuntos protegidos con contrasena Esta tecnica a la vez que evita el analisis de deteccion crea una falsa sensacion de seguridad 24 Nigerian phishing Es la transposicion a Internet de la clasica estafa que utiliza el gancho de herederas viudas secretarias abogados de millonarios fallecidos dictadores en desgracia negocios seguros etcetera que necesitan una pequena cantidad de dinero para cierta gestion que les recompensara generosamente Las historias se han adaptado a los nuevos tiempos y estan ampliando su objetivo a empresas siendo frecuente habitual la compra de bases de datos de direcciones electronicas corporativas en el mercado negro Sin embargo la base es la misma aprovecharse de la avaricia y la credulidad de sus victimas Puede creerse irrelevante pero este tipo de ataques pero el FBI estima que entre octubre de 2013 y mayo de 2016 se estafaron mas de 3 mil millones de dolares 25 Pharming o DNS Based Phishing El engano consiste en redirigir al usuario a una sitio falso aprovechando para ello vulnerabilidades en el proceso de conversion de la secuencia de letras que componen una URL en una direccion IP El ataque puede ser dirigido contra el ordenador del usuario o aprovechar vulnerabilidad del servidor DNS El termino pharming es una palabra compuesta por los terminos phishing y farming 26 Addline Phishing Consiste en acceder de forma fraudulenta al dispositivo de la victima con la intencion de robar informacion de las cuentas personales correos PayPal Amazon Bitcoin cuentas bancarias tipicamente usando servicios Wifi gratuitos maliciosos Estas cuentas robadas son utilizadas para cometer o realizar operaciones fraudulentas como si fuera la persona duena de la cuenta De esta forma se dificulta la deteccion del delincuente ya que son hechas en nombre de otra persona 27 Los montos de dinero obtenidos por el Addline Phishing suelen ser bajos menores a 50 000 por lo que los bancos dedican poca atencion y respaldo a la victima Segun un estudio de la Universidad de Nueva York el 74 de las victimas del Addline Phishing son turistas conectados a redes WiFi de hoteles Malware based phishing Se refiere a aquellos ataques de phishing que implican la ejecucion de un software malicioso en los ordenadores de la victima Por ejemplo en un correo electronico que suplanta la identidad de una marca se incluye como adjunto o es accesible a traves de un enlace un documento PDF que al abrirse infecta el dispositivo de la victima 28 29 Content Injection phishing En este tipo de ataque los atacantes reemplazan parte del contenido de un sitio legitimo con contenido malicioso disenado para obtener informacion confidencial del usuario 29 Man in the Middle Phishing El atacante se posiciona entre el ordenador del usuario y el servidor grabando asi la informacion que se transmite entre ambos 29 Watering Hole Phishing watering hole attack o ataque de abrevadero El atacante infecta con malware sitios web de terceros muy utilizados por los usuarios de la organizacion De esta forma cuando los usuario de la organizacion acceden a ese sitio web quedan infectados El ataque es altamente efectivo ya que con la infeccion de un solo sitio se puede lograr que miles de victimas descarguen la amenaza El exito se incrementa si se usa vulnerabilidades 0 Day no conocidas aun publicamente y que no han sido solucionadas por el fabricante Su nombre proviene de la forma en que algunos depredadores del mundo animal esperan su oportunidad para atacar a su presa cerca de los pozos de agua que sirven de abrevadero 30 Evil Twin Se trata de crear un Punto de Acceso malicioso a una red Wireless con apariencia de legitimo para que los victimas puedan conectarse y asi capturar informacion confidencial Por ejemplo redirigiendo a sitios maliciosos que capturan nuestras credenciales 31 32 Social Network Phishing Son ataques de phishing en los que estan involucradas las redes sociales Por ejemplo 33 Phishing de inyeccion de contenido en redes sociales consiste en insertar contenido malicioso en las redes sociales Por ejemplo publicacion de post falsos publicados por usuarios cuyas cuentas se vieron afectadas con aplicaciones no autorizadas Man in the middle social network attack tambien conocido como social network session hijacking attack Es una forma de phishing en la que el atacante se posiciona entre el usuario y el sitio web de una red social legitima La informacion que se manda a la red social pasa a traves del atacante el cual la lee la procesa e incluso puede anadir contenido La forma en que el atacante se situa entre el usuario y la red social pueden ser variadas por ejemplo se puede aprovechar de una vulnerabilidad de la red social o atraer a la victima a un sitio de phishing por ejemplo una pagina de inicio de sesion falsa de Facebook donde la victima ingresa su nombre de usuario y contrasena que el servidor de phisher utiliza para ingresar al sitio web legitimo de la red social y actualizar y leer en la red social legitima Basado en malware En este tipo de ataque se realiza la propagacion de mensajes de phishing mediante el uso de malware Por ejemplo la cuenta de Facebook de una victima que instalo una aplicacion de Facebook no autorizada envia automaticamente mensajes a todos los amigos de la victima Dichos mensajes a menudo contienen enlaces que permiten a los receptores de los mensajes instalar la aplicacion maliciosa de Facebook en sus computadoras o dispositivos moviles Deceptive phishing En un escenario tipico un phisher crea una cuenta que finge ser la cuenta de la victima A continuacion el phisher envia solicitudes de amistad a los amigos de la victima asi como un mensaje como He abandonado mi cuenta de Facebook anterior De ahora en adelante comuniquese conmigo solo a traves de esta cuenta A continuacion el phisher comienza a enviar mensajes a los amigos de la victima que exigen que el destinatario haga clic en un enlace Por ejemplo una factura ficticia que se puede cancelar haciendo clic en un enlace que solicita al usuario que proporcione su informacion personal Tabnabbing Este tipo de phishing se basa en el hecho de que muchos acostumbran a tener varias pestanas del navegador abiertas El ataque se basa en que mientras la victima revisa los contenidos de otras pestanas el sitio malicioso cambia su apariencia para parecer que se trata de otro sitio Si no se da cuenta de que este nuevo sitio no es el que estaba utilizando puede capturar la informacion Por ejemplo el sitio malicioso puede simular que se ha perdido la conexion a una web de correo electronico y pedirle a la victima las credenciales Cuando las introduce le redirige a la pagina original donde habia iniciado sesion anteriormente y le hace creer que su ingreso de datos tuvo exito 34 Man in the Browser MITB Combina el uso de tecnicas de phishing para instalar un troyano en el navegador del usuario para capturar modificar y o insertar informacion adicional en las paginas sin el conocimiento del usuario Una tecnica habitual para realizar este tipo de ataque es la instalacion de una extension maliciosa en el navegador La instalacion de esta extension maliciosa puede ser realizada por un software malicioso o por la propia victima pensando que se trata de una extension fiable El malware instalado en el navegador analizara el trafico y cuando se cargue una pagina de una lista de sitios objetivos realizara las acciones para las que esta programado 35 Phishing 2 0 Consiste en utilizar un proxy inverso transparente para montar un ataque man in the middle contra usuarios Este intermediario hace que en tiempo real sin que el usuario sea consciente cada paquete proveniente del navegador de la victima sea interceptado y despues enviado al sitio web real Analogamente en tiempo real cada paquete proveniente del sitio web real sera interceptado antes de ser enviado al navegador En la interceptacion el proxy inverso analiza el contenido del paquete almacenando lo que considere util por ejemplo el identificador de usuario contrasena o cookies de sesion y pudiendo incluso modificar el contenido del paquete Para poder usar estas tecnicas con servidores web que usen https es necesario que el servidor proxy tenga instalado un certificado https valido de una URL falsa que suplante a la URl del sitio web real Este tipo de ataque al tener un control total del trafico entre el navegador y el servidor permite atacar sesiones con autenticacion multifactor Herramientas especializadas para automatizar este tipo de ataques son Evilginx2 y Modlishka 36 37 Phishing movil Son ataques de phishing especialmente orientados a los dispositivos moviles Por ejemplo 38 39 Aprovechar mensajes de SMS o de aplicaciones de mensajeria instantanea por ejemplo WhatsApp para mandar enlaces falsos Aprovechar aplicaciones moviles maliciosas para recopilar informacion personal Los datos pueden ser introducidos por el usuario o obtenidos directamente por la app por ejemplo accediendo a los ficheros del dispositivo o usando la informacion de geolocalizacion Obtener informacion personal como donde vivimos o donde estamos en un preciso momento a partir de aplicaciones de venta de objetos de segunda mano como Vibbo o Wallapop Aprovechar informacion de valoraciones de restaurantes y otros sitios de interes turistico para averiguar donde esta la victima o para tener informacion sobre ella Esta informacion puede ser usada por ejemplo para un primer contacto de tal manera que parezcan personas de confianza Hishing o hardware phishing Consiste en distribuir malware ocultandolo en equipos que van a ser vendidos ya sean estos nuevos o usados Estos codigos maliciosos pueden ocultarse en telefonos moviles equipos MP3 etc 40 Phishing como servicio EditarEl Phishing como servicio o PHaaS del ingles Phishing as a Service consiste en ofrecer previo pago una plataforma que proporciona varios servicios de phishing De esta forma se establece un mercado para comprar y vender dichos servicios 41 Es habitual que el sistema ofrezca una serie de plantillas de redes sociales banca comercio minorista telecomunicaciones servicios publicos juegos plataformas de citas para que el usuario elija la que usa y la configure de acuerdo al ataque de phishing que quiera utilizar Ademas el sistema proporciona un panel que permitira al usuario seguir los detalles de la campana de phishing y obtener las credenciales robadas con exito A partir de aqui ya el usuario puede explotar estas credenciales para su propio beneficio o venderlas a compradores interesados en el mercado 41 A veces se ofrecen suscripciones gratis que permiten ver tutoriales y se asesora sobre como utilizar el phishing para ganar dinero facil 41 Un ejemplo de este tipo de plataformas es Hackshit 41 Fases EditarEn la primera fase la red de estafadores se nutre de usuarios de chat foros o correos electronicos a traves de mensajes de ofertas de empleo con una gran rentabilidad o disposicion de dinero hoax o scam En el caso de que caigan en la trampa los presuntos intermediarios de la estafa deben rellenar determinados campos tales como Datos personales y numero de cuenta bancaria Se comete el phishing ya sea el envio global de millones de correos electronicos bajo la apariencia de entidades bancarias solicitando las claves de la cuenta bancaria phishing o con ataques especificos El tercer paso consiste en que los estafadores comienzan a retirar sumas importantes de dinero las cuales son transmitidas a las cuentas de los intermediarios muleros Los intermediarios realizan el traspaso a las cuentas de los estafadores llevandose estos las cantidades de dinero y aquellos los intermediarios el porcentaje de la comision Danos causados por el phishing Editar Una grafica muestra el incremento en los reportes de phishing desde octubre de 2004 hasta junio de 2005 Los danos causados por el phishing oscilan entre la perdida del acceso al correo electronico a perdidas economicas sustanciales Este tipo de robo de identidad se esta haciendo cada vez mas popular por la facilidad con que personas confiadas normalmente revelan informacion personal a los phishers incluyendo numeros de tarjetas de credito y numeros de seguridad social Una vez esta informacion es adquirida los phishers pueden usar datos personales para crear cuentas falsas utilizando el nombre de la victima gastar el credito de la victima o incluso impedir a las victimas acceder a sus propias cuentas Tambien es importante considerar la angustia psicologica y emocional causada por tal robo de identidad en tener estos datos personales 42 Se estima que entre mayo de 2004 y mayo de 2005 aproximadamente 1 2 millones de usuarios de computadoras en los Estados Unidos tuvieron perdidas a causa del phishing lo que suma a aproximadamente 929 millones de dolares estadounidenses 43 Los negocios en los Estados Unidos perdieron cerca de 2000 millones de dolares al ano mientras sus clientes eran victimas 44 El Reino Unido tambien sufrio el alto incremento en la practica del phishing En marzo del 2005 la cantidad de dinero reportado que perdio el Reino Unido a causa de esta practica fue de aproximadamente 12 millones de libras esterlinas 45 Lavado de dinero producto del phishing EditarActualmente empresas ficticias intentan reclutar teletrabajadores por medio de correo electronicos chats irc y otros medios ofreciendoles no solo trabajar desde casa sino tambien otros jugosos beneficios Aquellas personas que aceptan la oferta se convierten automaticamente en victimas que incurren en un grave delito sin saberlo el blanqueo de dinero obtenido a traves del acto fraudulento de phishing Para que una persona pueda darse de alta con esta clase de empresas debe rellenar un formulario en el cual indicara entre otros datos su numero de cuenta bancaria Esto tiene la finalidad de ingresar en la cuenta del trabajador victima el dinero procedente de estafas bancarias realizadas por el metodo de phishing Una vez contratada la victima se convierte automaticamente en lo que se conoce vulgarmente como mulero Con cada acto fraudulento de phishing la victima recibe el cuantioso ingreso en su cuenta bancaria y la empresa le notifica del hecho Una vez recibido este ingreso la victima se quedara un porcentaje del dinero total pudiendo rondar el 10 20 como comision de trabajo y el resto lo reenviara a traves de sistemas de envio de dinero a cuentas indicadas por la seudo empresa Dado el desconocimiento de la victima muchas veces motivado por la necesidad economica esta se ve involucrada en un acto de estafa importante pudiendo ser requerido por la justicia previa denuncia de los bancos Estas denuncias se suelen resolver con la imposicion de devolver todo el dinero sustraido a la victima obviando que este unicamente recibio una comision Anti phishing EditarExisten varias tecnicas diferentes para combatir el phishing incluyendo la legislacion y la creacion de tecnologias especificas que tienen como objetivo evitarlo Respuestas organizativas Editar Una estrategia para combatir el phishing adoptada por algunas empresas es la de entrenar a los empleados de modo que puedan reconocer posibles ataques Una nueva tactica de phishing donde se envian correos electronicos de tipo phishing a una compania determinada conocido como spear phishing ha motivado al entrenamiento de usuarios en varias localidades incluyendo la Academia Militar de West Point en los Estados Unidos En un experimento realizado en junio del 2004 con spear phishing el 80 de los 500 cadetes de West Point a los que se les envio un correo electronico falso fueron enganados y procedieron a dar informacion personal 46 Un usuario al que se le contacta mediante un mensaje electronico y se le hace mencion sobre la necesidad de verificar una cuenta electronica puede o bien contactar con la compania que supuestamente le envia el mensaje o puede escribir la direccion web de un sitio web seguro en la barra de direcciones de su navegador para evitar usar el enlace que aparece en el mensaje sospechoso de phishing Muchas companias incluyendo eBay y PayPal siempre se dirigen a sus clientes por su nombre de usuario en los correos electronicos de manera que si un correo electronico se dirige al usuario de una manera generica como Querido miembro de eBay es probable que se trate de un intento de phishing Respuestas tecnicas Editar Alerta del navegador Firefox antes de acceder a paginas sospechosas de phishing Hay varios programas informaticos anti phishing disponibles La mayoria de estos programas trabajan identificando contenidos phishing en sitios web y correos electronicos algunos software anti phishing pueden por ejemplo integrarse con los navegadores web y clientes de correo electronico como una barra de herramientas que muestra el dominio real del sitio visitado Los filtros de spam tambien ayudan a proteger a los usuarios de los phishers ya que reducen el numero de correos electronicos relacionados con el phishing recibidos por el usuario Muchas organizaciones han introducido la caracteristica denominada pregunta secreta en la que se pregunta informacion que solo debe ser conocida por el usuario y la organizacion Las paginas de Internet tambien han anadido herramientas de verificacion que permite a los usuarios ver imagenes secretas que los usuarios seleccionan por adelantado si estas imagenes no aparecen entonces el sitio no es legitimo 47 Estas y otras formas de autentificacion mutua continuan siendo susceptibles de ataques como el sufrido por el banco escandinavo Nordea a finales de 2005 48 Muchas companias ofrecen a bancos y otras entidades que sufren de ataques de phishing servicios de monitoreo continuos analizando y utilizando medios legales para cerrar paginas con contenido phishing Tambien han surgido soluciones que utilizan el telefono movil 49 smartphone como un segundo canal de verificacion y autorizacion de transacciones bancarias El www apwg org Anti Phishing Working Group industria y asociacion que aplica la ley contra las practicas de phishing ha sugerido que las tecnicas convencionales de phishing podrian ser obsoletas en un futuro a medida que la gente se oriente sobre los metodos de ingenieria social utilizadas por los phishers 50 Ellos suponen que en un futuro cercano el pharming y otros usos de malware se van a convertir en herramientas mas comunes para el robo de informacion Respuestas legislativas y judiciales Editar El 26 de enero de 2004 la FTC Federal Trade Commission la Comision Federal de Comercio de Estados Unidos llevo a juicio el primer caso contra un phisher sospechoso El acusado un adolescente de California supuestamente creo y utilizo una pagina web con un diseno que aparentaba ser la pagina de America Online para poder robar numeros de tarjetas de credito 51 Tanto Europa como Brasil siguieron la practica de los Estados Unidos rastreando y arrestando a presuntos phishers A finales de marzo de 2005 un hombre estonio de 24 anos fue arrestado utilizando una backdoor a partir de que las victimas visitaron su sitio web falso en el que incluia un keylogger que le permitia monitorear lo que los usuarios tecleaban 52 Del mismo modo las autoridades arrestaron al denominado phisher kingpin Valdir Paulo de Almeida lider de una de las mas grandes redes de phishing que en dos anos habia robado entre 18 a 37 millones de dolares estadounidenses 53 En junio del 2005 las autoridades del Reino Unido arrestaron a dos hombres por la practica del phishing 54 en un caso conectado a la denominada Operation Firewall del Servicio Secreto de los Estados Unidos que buscaba sitios web notorios que practicaban el phishing 55 La compania Microsoft tambien se ha unido al esfuerzo de combatir el phishing El 31 de marzo del 2005 Microsoft llevo a la Corte del Distrito de Washington 117 pleitos federales En algunos de ellos se acuso al denominado phisher John Doe por utilizar varios metodos para obtener contrasenas e informacion confidencial Microsoft espera desenmascarar con estos casos a varios operadores de phishing de gran envergadura En marzo del 2005 tambien se considero la asociacion entre Microsoft y el gobierno de Australia para educar sobre mejoras a la ley que permitirian combatir varios crimenes ciberneticos incluyendo el phishing 56 El phishing como delito EditarGeneral Editar Diversos paises se han ocupado de los temas del fraude y las estafas a traves de Internet Uno de ellos es el Convenio de Cibercriminalidad de Budapest pero ademas otros paises han dedicado esfuerzos legislativos para castigar estas acciones Algunos paises ya han incluido el phishing como delito en sus legislaciones mientras que en otros aun estan trabajando en ello Colombia Editar En enero de 2009 el Congreso de la Republica de Colombia sanciono la ley 1273 que adiciono nuevos delitos al codigo penal relacionados con delitos informaticos entre ellos el phishing Phishing Articulo 269G 57 SUPLANTACIoN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES El que con objeto ilicito y sin estar facultado para ello disene desarrolle trafique venda ejecute programe o envie paginas electronicas enlaces o ventanas emergentes incurrira en pena de prision de cuarenta y ocho 48 a noventa y seis 96 meses y en multa de 100 a 1000 salarios minimos legales mensuales vigentes siempre que la conducta no constituya delito sancionado con pena mas grave En la misma sancion incurrira el que modifique el sistema de resolucion de nombres de dominio de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza siempre que la conducta no constituya delito sancionado con pena mas grave La pena senalada en los dos incisos anteriores se agravara de una tercera parte a la mitad si para consumarlo el agente ha reclutado victimas en la cadena del delito Es primordial mencionar que este articulo tipifica lo que comunmente se denomina phishing modalidad de estafa que usualmente utiliza como medio el correo electronico pero que cada vez con mas frecuencia utilizan otros medios de propagacion como por ejemplo la mensajeria instantanea o las redes sociales Segun la Unidad de Delitos Informaticos de la Policia Judicial Dijin con esta modalidad se robaron mas de 3500 millones de pesos de usuarios del sistema financiero en el 2006 Argentina Editar En Argentina el 19 de septiembre de 2011 fue presentado un proyecto para sancionar el Phishing 58 bajo el N º de Expediente S 2257 11 Proyecto de Ley para tipificar el Phishing o Captacion Ilegitima de Datos en el Senado de la Nacion Mediante este proyecto se busca combatir las diferentes tecnicas de obtencion ilegitima de informacion personal Chile Editar En Chile no existe un tipo penal en el Codigo Penal que sancione el phishing sin embargo los tribunales recurren a la figura de la estafa tradicional para castigar estas conductas 59 Estados Unidos Editar En los Estados Unidos el senador Patrick Leahy introdujo el Ley Anti Phishing de 2005 el 1 de marzo de 2005 Esta ley federal de anti phishing establecia que aquellos criminales que crearan paginas web falsas o enviaran spam a cuentas de correo electronico con la intencion de estafar a los usuarios podrian recibir una multa de hasta 250 000 USD y penas de carcel por un termino de hasta cinco anos 60 Algunos estados tienen leyes que tratan las practicas fraudulentas o enganosas o el robo de identidad y que tambien podria aplicarse a los delitos de phishing 61 Vease tambien EditarSpoofing Pharming XSS Robo de identidadReferencias Editar Como saber cuando un estafador se esta haciendo pasar por tu banco BBC News Mundo 13 de febrero de 2019 a b c DESMONTANDO A LUPIN La prevencion de la estafa informatica desde y para el usuario Adrian Carmona Caballero Colegio Profesional de la Criminologia de la Comunidad de Madrid 30 de noviembre de 2019 Segun Guillermo Chas el desafio de la Justicia es combatir el cibercrimen Norte Corrientes 6 de octubre de 2021 Consultado el 8 de octubre de 2021 Phishing Attacks Defending Your Organisation National Cyber Security Centre GCHQ servicio de inteligencia del Reino Unido Stutz Michael AOL A Cracker s Paradise 29 de enero de 1998 Suplantacion o robo de identidad phishing a Que es el phishing Gabriela Gavrailova mailjet com 10 de diciembre de 2019 phishing n OED Online March 2006 Oxford University Press Oxford English Dictionary Online 1 9 de agosto de 2006 phish v OED Online March 2006 Oxford University Press Oxford English Dictionary Online http dictionary oed com cgi entry 30004303 9 de agosto de 2006 Ollmann Gunter Phishing Guide Understanding and Preventing Phishing Attacks Technical Info 2 10 de julio de 2006 AOL A Cracker s Paradise Michael Stutz Wired News 29 de enero de 1998 EL PHISHING Mayra Sheila Mariana Leguizamon TRABAJO FINAL DE GRADO GRADO EN CRIMINOLOGIA Y SEGURIDAD Universitat Jaume I a b Phishing vishing smishing que son y como protegerse de estas amenazas Claudia Castillo bbva com 29 de noviembre de 2018 Evgeniy Gabrilovich and Alex Gontmakher The Homograph Attack Communications of the ACM 45 2 128 febrero del 2002 Johanson Eric The State of Homograph Attacks Rev1 1 The Shmoo Group 11 de agosto de 2005 Cuidado con las URL que esconden puntos debajo de vocales y consonantes son timos Carlos Gonzalez adslzone net 20 de febrero de 2018 Berners Lee Tim Uniform Resource Locators IETF Network Working Group 28 de enero de 2006 Fisher Darin Warn when HTTP URL auth information isn t necessary or when it s provided Bugzilla 28 de agosto de 2005 Microsoft A security update is available that modifies the default behavior of Internet Explorer for handling user information in HTTP and in HTTPS URLs Microsoft Knowledgebase Database 28 de agosto de 2005 Business Email Compromise BEC trendmicro com Que es el spear phishing Marvin the Robot kaspersky es 7 de diciembre de 2017 Deteccion de APTs Jose Miguel Holguin et ali CSIRT CV Mayo 2013 Tips to Avoid Phishing 4 Search Engine Phishing ReputationDefender medium com 18 de mayo de 2017 Phishing on the rise European Union Agency For Cybersecurity 12 de octubre de 2017 Nigerian phishing Industrial companies under attack Kaspersky Lab ICS CERT 15 de junio de 2017 Que es el pharming y como evitarlo kaspersky es Bitacora Tecnologia 3 Ataques comunes a los sistemas informaticos Jose Gutierrez steemit com 2018 Ocho tipos de ataques phishing que ponen en riesgo tu seguridad Rodolfo muyseguridad net 15 de febrero de 2019 a b c Que es phishing y que tipos existen Beatriz Corchado goDaddy com 25 de enero de 2017 Watering Hole Attack Metodo de espionaje contra las empresas Cristian Borghello MUG 2013 How to identify and prevent evil twin attacks Emily Green nordvpn com 3 de marzo de 2020 Realizar un ataque Evil Twin para capturar claves Wi Fi con Wifiphisher Cristian McGrath origendata com 11 de enero de 2018 The Most Popular Social Network Phishing Schemes Rasa Juzenaite infosecinstitute com 10 de noviembre de 2015 Que es TabNabbing Eugenia Tobar maestrosdelweb com 1 de junio de 2010 A Review of Browser Extensions a Man in the Browser Phishing Techniques Targeting Bank Customers Nattakant Utakrit 7th Australian Information Security Management Conference Perth Western Australia 1 3 de diciembre de 2009 What is Phishing 2 0 and which countermeasures can organisations use against it Ubisecure 11 de marzo de 2019 Evilginx 2 Next Generation of Phishing 2FA Tokens Kuba Gretzky breakdev org 26 de julio de 2018 Phishing en el movil todas las formas de ataque y como protegernos Javier Jimenez redeszone net 7 de julio de 2019 Cuidado con los ataques de phishing en tu movil pandasecurity com 16 de agosto de 2017 Estudio sobre usuarios y entidades publicas y privadas afectadas por la practica fraudulenta conocida como phishing Instituto Nacional de Tecnologias de la Comunicacion INTECO Octubre de 2007 a b c d Phishing As A Service Making Cybercrime Easy to Commit theconartist substack com 21 de enero de 2020 Robo de Identidad y Consecuencias Sociales Documentos CSI www cert org mx Consultado el 19 de noviembre de 2020 Kerstein Paul How Can We Stop Phishing and Pharming Scams CSO 19 de julio de 2005 Kerstein Paul 19 de julio de 2005 How Can We Stop Phishing and Pharming Scams CSO Archivado desde el original el 24 de marzo de 2008 Richardson Tim Brits fall prey to phishing The Register 3 de mayo de 2005 Bank David Spear Phishing Tests Educate People About Online Scams The Wall Street Journal 17 de agosto de 2005 Security Bank to Require More Than Passwords CNN July 14 2005 Phishers target Nordea s one time password system Finextra 12 de octubre de 2005 Archivado desde el original el 18 de diciembre de 2005 Verificacion y autorizacion de transacciones con el Smartphone SafeSigner Kawamoto Dawn Faced with a rise in so called pharming and crimeware attacks the Anti Phishing Working Group will expand its charter to include these emerging threats ZDNet India 4 de agosto de 2005 Legon Jeordan Phishing scams reel in your identity CNN 26 de enero de 2004 Leyden John Trojan phishing suspect hauled in The Register 4 de abril de 2005 Leyden John Brazilian cops net phishing kingpin The Register 21 de marzo de 2005 UK Phishers Caught Packed Away eWEEK 27 de junio de 2005 Nineteen Individuals Indicted in Internet Carding Conspiracy 20 de noviembre de 2005 Microsoft Partners with Australian Law Enforcement Agencies to Combat Cyber Crime 24 de agosto de 2005 Normatividad sobre delitos informaticos Policia Nacional de Colombia 25 de julio de 2017 Consultado el 14 de octubre de 2019 Borghello Cristian Temperini Marcelo Cruzada por la Identidad Digital Marzo 2012 Oxman Nicolas 2013 Estafas informaticas a traves de Internet acerca de la imputacion penal del phishing y el pharming Revista de derecho Valparaiso 41 191 Consultado el 1 de agosto de 2015 Tan Koon Phishing and Spamming via IM SPIM Internet Storm Center 3 5 de diciembre de 2010 Aqui se puede encontrar los estados que actualmente castigan este tipo de delitos Enlaces externos EditarInformacion sobre phishing Editar Grupo Activo Anti Phishing Archivado el 22 de noviembre de 2003 en Wayback Machine en ingles Amenazas en la era digital Informe sobre el Phishing y otras amenazas para las Entidades Financieras CERT de INCIBE equipo que gestiona incidentes de phishing en Espana Phishing Bancario Sitio de consulta y reporte de phishing en Hispanoamerica Diferentes formas de aplicar el PhishingLegislacion Editar Duke Law amp Technology Review Archivado el 28 de diciembre de 2005 en Wayback Machine Tapando los agujeros provocados por el phishing legislacion contra tecnologia Datos Q135005 Multimedia Phishing Obtenido de https es wikipedia org w index php title Phishing amp oldid 142900619, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos