Capacitación

• Phishing• Ingeniería Social

• Métodos de defensa

Phishing

¿Qué es el Phishing ?

• El phishing no es mas ni menos que la técnica de engañar al usuario para robar dinero, en sus orígenes este ataque estaba apuntado a robar credenciales de Home Banking

• Con el correr del tiempo las técnicas fueron evolucionando y se perfeccionaron por lo que se volvieron mucho mas peligrosas y abarcativas (obtención de credenciales de red, e-mails, pcs)

Ejemplo de ataque:

En esta imagen veremos recortada la parte de un correo recibido aparentemente del banco Galicia avisando tareas de actualización en base de datos y solicitando nuevamente que el usuario ingrese sus datos.

Aparentemente nada inseguro…

En esta diapositiva vemos lo mismo que en la anterior, pero sin recortar la parte de la pagina Web a donde llevaba el link supuesto www.e-galicia.com.ar que se mostraba en el correo.

Pagina Web Falsa.

Una vez ingresado al sitio falso sin que el usuario se diera cuenta de eso, vera una pagina “espejo” igual a la de su banco, solo falta que ingrese los datos como el supuesto mail del banco solicitaba.

¿Qué viene después?

Transferencias Bancarias a cuentas de otros bancos que fueron generadas con documentos falsos ,o transferencias bancarias a cuentas “mulas”(cuentas de terceros que cobran en la caja efectivo y se lo pasan a los atacantes luego de quedarse con algún porcentaje)

Países que alojan sitios de phishing

1 PayPal

2 Internal Revenue Service

3 Tibia

4 eBay, Inc.

5 Facebook

6 Bank of America Corporation

7 JPMorgan Chase and Co.

8 HSBC Group

9 Google

10 HSBC

Top 10 de targets para el uso de Phishing

Métodos de defensa

• Evitar el spam ya que es el principal medio de distribución de cualquier mensaje que intente engañarlo.

• Nunca hacer clic en un enlace incluido en un mensaje de correo. Siempre intente ingresar manualmente a cualquier sitio web. Esto se debe tener muy en cuenta cuando es el caso de entidades financieras, o en donde se nos pide información confidencial (como usuario, contraseña, tarjeta, PIN, etc.).

• Sepa que su entidad, empresa, organización, etc., sea cual sea, nunca le solicitará datos confidenciales por ningún medio, ni telefónicamente, ni por fax, ni por correo electrónico, ni a través de ningún otro medio existente. Es muy importante remarcar este punto y en caso de recibir un correo de este tipo, ignórelo y/o elimínelo.

• Otra forma de saber si realmente se está ingresando al sitio original, es que la dirección web de la página deberá comenzar con https y no http, como es la costumbre. La S final, nos da un alto nivel de confianza que estamos navegando por una página web segura.

Ingeniería Social

La "ingeniería social" es la técnica especializada del uso de acciones estudiadas o habilidosas que permiten manipular a las personas para que voluntariamente realicen actos que normalmente no harían.

Para que estas acciones tengan efecto se debe contar el desconocimiento, curiosidad, descuido o negligencia por parte de los usuarios que suelen caer en trampas disfrazadas en mensajes con asuntos o falsos contenidos que despiertan una serie de afectividades logrando actos involuntarios.

Objetivos de la ingeniería social

Ganar acceso no autorizado a los sistemas, redes o a la información para...

• Cometer Fraude

• Entrometerse en las Redes

• Espionaje Industrial

• Robo de Identidad (de moda)

• Irrumpir en los Sistemas o Redes

Métodos de defensa

• Mantenga una actitud cautelosa y revise constantemente sus tendencias de ayudar a personas que no conoce.

• Al teléfono, obtenga nombres e identidades (Nro. De Empleado, por ejemplo). Corrobórelos y llámelos a su pretendida extensión.

• No se deje intimidar o adular para terminar ofreciendo información.

• No le permita a una persona desconocida “descrestarlo” con su aparente conocimiento.

• Ejemplo: Aquellos que conocen detalles técnicos o usan acrónimos o la jerga propia de la empresa o industria

FIN