2do Simposium Internacional de Innovación y Tecnología

ISIT 2011

M.Sc. Luis Alberto Solís UNIVERSIDAD TÉCNICA DE AMBATO

lsolis@uta.edu.ec

Twitter: @solisbeto

“Estudio de los métodos de ataque usados en el phishing y sus medidas de protección existentes”

Noviembre 28-30, 2011, Lima - PERÚ

Temario

• Introducción

• El éxito del phishing

• Métodos de ataque

• Medidas de protección

• Nuestras experiencias

• Conclusiones

2

Introducción

3

Introducción

Qué buscan los atacantes?

“Tomar ventaja de las vulnerabilidades existentes en el factor humano” En el estudio de Dhamiia y Tygar [1], demuestran que la mayoría de usuarios se basa en el contenido del sitio. Tienen confianza en la apariencia y no toman en cuenta aspectos de seguridad.

4

[1] Rachna Dhamija, J. D. Tygar, and Marti Hearst. Why phishing works. In Proceedings of the SIGCHI conference on

El éxito del phishing

Poco conocimiento de las tecnologías

• Inexperiencia en transacciones, desconocen de ataques en la red.

Engaños visuales

• Reemplazo de caracteres Ej. : www.paypal.com != www.paypai.com

• Ventanas emergentes

• Uso de imágenes

Falta de atención

• Usuarios concentrados en realizar sus transacciones lo más pronto posible.

5

Las apariencias engañan

6

Éxito del phishing

Sitio legítimo ?

El primer paso consiste en clonar el sitio

7

Éxito del phishing

Verificar la fuente del correo

8

Éxito del phishing

9

Éxito del phishing

Métodos de ataque

Explotación de fallas en

los sitios

Ingeniería social

Spam Pharming

10

1. Explotación de fallas en los sitios

• Buscar vulnerabilidades

– Inyección de código

– XSS (Cross Site Scripting)

inyectar código jscript

– Iframe permite insertar un documento html dentro de un sitio.

11

<html> <head> <title>Prueba de iframe</title> </head> <body topmargin="0" leftmargin="0" rightmargin="0" bottommargin="0"> <iframe src="http://www.bn.com.pe/" width="100%" height="200" frameborder="0"></iframe> <iframe src="http://www.bbvabancocontinental.com" width="100%" height="350" frameborder="0"></iframe> </body> </html>

Métodos de ataque

http://www.mibanca.com/sh.php?p=%3Cform+action%3D%22xss2.jsp%22+method%3D%%22POST%22%3E

1. Explotación de fallas en los sitios

12

Métodos de ataque

2. Ingeniería social

Técnica en la que se usa el engaño para manipular personas con el fin de obtener información.

Se puede obtener información valiosa desde datos personales hasta información confidencial.

13

Métodos de ataque

3. Spam

Los atacantes usan este medio de distribución para que los correos lleguen a miles o millones de usuarios y sean atraídos por estos mensajes que son combinados con técnicas de ingeniería social.

• El spam se puede enviar usando: – Open mail relay

– Open proxy relay

– spambot

14

Métodos de ataque

4. Pharming

• Explotar las vulnerabilidades DNS (Domain Name System) en los ordenadores de los usuarios víctimas.

• Se modifica los registros del DNS de la víctima.

• Al ingresar un sitio puede ser redirigido a otro sitio fraudulento.

• Existe dos tipos de Pharming: – Pharming local

– Ataque de envenenamiento DNS (DNS Poisoning Attack )

15

Métodos de ataque

Pharming local

– existen utilidades que permiten manipular los DNS locales de las víctimas que han sido infectadas.

– Explotar vulnerabilidades en aplicaciones no actualizadas para e infectarlas con software malicioso (malware).

– Con el sistema infectado, el atacante puede controlarlo remotamente por medio de un programa servidor, este sistema de administración de sistemas es conocido como botnet.

– Ejemplo de una botnet: S.A.P.Z. (Sistema de Administración de PCs Zombi) que ha sido desarrollada en Perú y diseñada para atacar usuarios de este país [2].

16

[2] Mieres Jorge. Botnet management from peru. http://www.securelist.com/en/blog/208188056/Botnet-management-from-Peru, 2011.

Métodos de ataque

Pharming usando la botnet S.A.P.Z.

Roba información sensible mediante la técnica de pharming local, donde se modifica el fichero host del sistema operativo, el cual se encarga de redireccionar los hosts (sitios web) hacia las direcciones IPs que se encuentran dentro de este.

17

Botnet S.A.P.Z., descubierta por Jorge Mieres [2]

[2] Mieres Jorge. Botnet management from peru. http://www.securelist.com/en/blog/208188056/Botnet-management-from-Peru, 2011.

Métodos de ataque

Medidas de protección

1. Anti-Phishing toolbars

2. Software propietario

3. Sistemas de entrenamiento

18

1. Anti-Phishing toolbars (Browser toolbar)

Dichas extensiones requieren de la instalación por parte del usuario.

Como ejemplo podemos citar la extensión de Firefox: Netcraft Toolbar ayuda a los usuarios a protegerse de

sitios falsos.

19

Netcraft Toolbar instalada en Mozilla Firefox

Medidas de protección

2. Software propietario

• Instalación en las máquinas locales de los usuarios

• No siempre es seguro instalar software de terceros. Falsos antivirus

• Usuarios no prestan atención a mensajes emitidos de alerta.

20

Medidas de protección

3. Sistemas de entrenamiento

Información en las páginas web de bancos.

Alertas regulares a sus usuarios por medio de correos.

Educar a los usuarios a través de juegos, por ejemplo: PhishGuru [3], Anti-Phishing Phil [4], entre otros.

21

Entrenamiento con Anti-Phishing Phil

[3] Anti-phishing phil: the design and evaluation of a game that teaches people not to fall for phish. In Proceedings of the 3rd symposium on Usable privacy and security, SOUPS '07 [4] Lorrie Cranor. Phishguru: A system for educating users about semantic attacks. Master's thesis, School of Computer Science, Institute for Software Research, Carnegie Mellon University, 2009.

Medidas de protección

Nuestras experiencias

22

Nuestras experiencias

23

Nuestras experiencias

24

Conclusiones

• Los ataques de phishing han evolucionado tanto, dónde técnicas cómo el pharming local y el envenenamiento de DNS son más complicadas de detectar a simple vista.

• Entre las mejores opciones para evitar el phishing está el entrenamiento de usuarios, este debe ser incorporado como una política dentro de las instituciones bancarias o negocios de comercio electrónico.

• América Latina está siendo vista por los delincuentes informáticos cómo un gran negocio a explotar, de hecho ya existen botnets desarrolladas para el robo de identidad en países específicos.

25

Preguntas?

26

27