Estudio de los métodos de ataque usados en el phishing y sus medidas de protección existentes

2do Simposium Internacional de Innovación y Tecnología

ISIT 2011

M.Sc. Luis Alberto Solís UNIVERSIDAD TÉCNICA DE AMBATO

lsolis@uta.edu.ec

Twitter: @solisbeto

“Estudio de los métodos de ataque usados en el phishing y sus medidas de protección existentes”

Noviembre 28-30, 2011, Lima - PERÚ

Temario

• Introducción

• El éxito del phishing

• Métodos de ataque

• Medidas de protección

• Nuestras experiencias

• Conclusiones

Introducción

Qué buscan los atacantes?

“Tomar ventaja de las vulnerabilidades existentes en el factor humano” En el estudio de Dhamiia y Tygar [1], demuestran que la mayoría de usuarios se basa en el contenido del sitio. Tienen confianza en la apariencia y no toman en cuenta aspectos de seguridad.

[1] Rachna Dhamija, J. D. Tygar, and Marti Hearst. Why phishing works. In Proceedings of the SIGCHI conference on

El éxito del phishing

Poco conocimiento de las tecnologías

• Inexperiencia en transacciones, desconocen de ataques en la red.

Engaños visuales

• Reemplazo de caracteres Ej. : www.paypal.com != www.paypai.com

• Ventanas emergentes

• Uso de imágenes

Falta de atención

• Usuarios concentrados en realizar sus transacciones lo más pronto posible.

Las apariencias engañan

Éxito del phishing

Sitio legítimo ?

El primer paso consiste en clonar el sitio

Éxito del phishing

Verificar la fuente del correo

Éxito del phishing

Métodos de ataque

Explotación de fallas en

los sitios

Ingeniería social

Spam Pharming

1. Explotación de fallas en los sitios

• Buscar vulnerabilidades

– Inyección de código

– XSS (Cross Site Scripting)

inyectar código jscript

– Iframe permite insertar un documento html dentro de un sitio.

<html> <head> <title>Prueba de iframe</title> </head> <body topmargin="0" leftmargin="0" rightmargin="0" bottommargin="0"> <iframe src="http://www.bn.com.pe/" width="100%" height="200" frameborder="0"></iframe> <iframe src="http://www.bbvabancocontinental.com" width="100%" height="350" frameborder="0"></iframe> </body> </html>

Métodos de ataque

http://www.mibanca.com/sh.php?p=%3Cform+action%3D%22xss2.jsp%22+method%3D%%22POST%22%3E

1. Explotación de fallas en los sitios

Métodos de ataque

2. Ingeniería social

Técnica en la que se usa el engaño para manipular personas con el fin de obtener información.

Se puede obtener información valiosa desde datos personales hasta información confidencial.

Métodos de ataque

3. Spam

Los atacantes usan este medio de distribución para que los correos lleguen a miles o millones de usuarios y sean atraídos por estos mensajes que son combinados con técnicas de ingeniería social.

• El spam se puede enviar usando: – Open mail relay

– Open proxy relay

– spambot

Métodos de ataque

4. Pharming

• Explotar las vulnerabilidades DNS (Domain Name System) en los ordenadores de los usuarios víctimas.

• Se modifica los registros del DNS de la víctima.

• Al ingresar un sitio puede ser redirigido a otro sitio fraudulento.

• Existe dos tipos de Pharming: – Pharming local

– Ataque de envenenamiento DNS (DNS Poisoning Attack )

Métodos de ataque

Pharming local

– existen utilidades que permiten manipular los DNS locales de las víctimas que han sido infectadas.

– Explotar vulnerabilidades en aplicaciones no actualizadas para e infectarlas con software malicioso (malware).

– Con el sistema infectado, el atacante puede controlarlo remotamente por medio de un programa servidor, este sistema de administración de sistemas es conocido como botnet.

– Ejemplo de una botnet: S.A.P.Z. (Sistema de Administración de PCs Zombi) que ha sido desarrollada en Perú y diseñada para atacar usuarios de este país [2].

[2] Mieres Jorge. Botnet management from peru. http://www.securelist.com/en/blog/208188056/Botnet-management-from-Peru, 2011.

Métodos de ataque

Pharming usando la botnet S.A.P.Z.

Roba información sensible mediante la técnica de pharming local, donde se modifica el fichero host del sistema operativo, el cual se encarga de redireccionar los hosts (sitios web) hacia las direcciones IPs que se encuentran dentro de este.

Botnet S.A.P.Z., descubierta por Jorge Mieres [2]

[2] Mieres Jorge. Botnet management from peru. http://www.securelist.com/en/blog/208188056/Botnet-management-from-Peru, 2011.

Métodos de ataque

Medidas de protección

1. Anti-Phishing toolbars

2. Software propietario

3. Sistemas de entrenamiento

1. Anti-Phishing toolbars (Browser toolbar)

Dichas extensiones requieren de la instalación por parte del usuario.

Como ejemplo podemos citar la extensión de Firefox: Netcraft Toolbar ayuda a los usuarios a protegerse de

sitios falsos.

Netcraft Toolbar instalada en Mozilla Firefox

2. Software propietario

• Instalación en las máquinas locales de los usuarios

• No siempre es seguro instalar software de terceros. Falsos antivirus

• Usuarios no prestan atención a mensajes emitidos de alerta.

3. Sistemas de entrenamiento

Información en las páginas web de bancos.

Alertas regulares a sus usuarios por medio de correos.

Educar a los usuarios a través de juegos, por ejemplo: PhishGuru [3], Anti-Phishing Phil [4], entre otros.

Entrenamiento con Anti-Phishing Phil

[3] Anti-phishing phil: the design and evaluation of a game that teaches people not to fall for phish. In Proceedings of the 3rd symposium on Usable privacy and security, SOUPS '07 [4] Lorrie Cranor. Phishguru: A system for educating users about semantic attacks. Master's thesis, School of Computer Science, Institute for Software Research, Carnegie Mellon University, 2009.

Nuestras experiencias

Conclusiones

• Los ataques de phishing han evolucionado tanto, dónde técnicas cómo el pharming local y el envenenamiento de DNS son más complicadas de detectar a simple vista.

• Entre las mejores opciones para evitar el phishing está el entrenamiento de usuarios, este debe ser incorporado como una política dentro de las instituciones bancarias o negocios de comercio electrónico.

• América Latina está siendo vista por los delincuentes informáticos cómo un gran negocio a explotar, de hecho ya existen botnets desarrolladas para el robo de identidad en países específicos.

Preguntas?

Estudio de los métodos de ataque usados en el phishing y sus medidas de protección existentes

Technology

Transcript of Estudio de los métodos de ataque usados en el phishing y sus medidas de protección existentes

Ejemplo de Phishing - Fraude transferencia bancaria

NOCIONES BASICAS DE PHISHING

Phishing y keylogger

Phishing · 2020-05-21 · Phishing a través de emails El tipo de phishing más común es mediante correo electrónico. Los delincuentes envían el mismo correo electrónico fraudulento

Pc zombie, spim, ransomware, spam, phishing y scam

Phishing y Protección de Identidad

Impacto económico y social del phishing y el smishing en ... · Phishing y smishing. El phishing y el smishing son dos modalidades de fraude por medio de las cuales los ciberdelincuentes

Trabajo de informática - Phishing

Presentación Plantilla TelefónicaCreación web falsa Crimen organizado Hosting Ataque “Phishing Kits” desde 25$ Hazlo tu mismo! Activación ataque, recogida información y puesta

Presentacio Phishing V2.0b

Delitos Informáticos. Phishing El phishing es una técnica de captación ilícita de datos personales (principalmente relacionados con claves para el acceso.

Spim, ransomware, spam, phishing y scam

Phishing juan david betancurt - 7 a

Phishing y Otros Delitos Del Internet

Capacitación Phishing Ingeniería Social Métodos de defensa.

Phishing Presentation

MÁS ALLÁ DEL PHISHING INGENIERÍA SOCIAL

España - ABOX · Ejemplos ataques simulados 1.1. Ataque simulado de Twitter - Phishing 3 1.2. Premio falso- Phishing 4 1.3. Credenciales de Paypal - Phishing 5 1.4. Aerolínea Iberia

El Phishing en Apatzingan c

PHISHING · phishing. Siempre debe-mos estar alertas y ser cuidadosos con nuestra información. La palabra phishing deriva del verbo en inglés fish que significa “pescar”.