Estudio de los métodos de ataque usados en el phishing y sus medidas de protección existentes
-
Upload
luis-solis -
Category
Technology
-
view
2.106 -
download
3
description
Transcript of Estudio de los métodos de ataque usados en el phishing y sus medidas de protección existentes
2do Simposium Internacional de Innovación y Tecnología
ISIT 2011
M.Sc. Luis Alberto Solís UNIVERSIDAD TÉCNICA DE AMBATO
Twitter: @solisbeto
“Estudio de los métodos de ataque usados en el phishing y sus medidas de protección existentes”
Noviembre 28-30, 2011, Lima - PERÚ
Temario
• Introducción
• El éxito del phishing
• Métodos de ataque
• Medidas de protección
• Nuestras experiencias
• Conclusiones
2
Introducción
3
Introducción
Qué buscan los atacantes?
“Tomar ventaja de las vulnerabilidades existentes en el factor humano” En el estudio de Dhamiia y Tygar [1], demuestran que la mayoría de usuarios se basa en el contenido del sitio. Tienen confianza en la apariencia y no toman en cuenta aspectos de seguridad.
4
[1] Rachna Dhamija, J. D. Tygar, and Marti Hearst. Why phishing works. In Proceedings of the SIGCHI conference on
El éxito del phishing
Poco conocimiento de las tecnologías
• Inexperiencia en transacciones, desconocen de ataques en la red.
Engaños visuales
• Reemplazo de caracteres Ej. : www.paypal.com != www.paypai.com
• Ventanas emergentes
• Uso de imágenes
Falta de atención
• Usuarios concentrados en realizar sus transacciones lo más pronto posible.
5
Las apariencias engañan
6
Éxito del phishing
Sitio legítimo ?
El primer paso consiste en clonar el sitio
7
Éxito del phishing
Verificar la fuente del correo
8
Éxito del phishing
9
Éxito del phishing
Métodos de ataque
Explotación de fallas en
los sitios
Ingeniería social
Spam Pharming
10
1. Explotación de fallas en los sitios
• Buscar vulnerabilidades
– Inyección de código
– XSS (Cross Site Scripting)
inyectar código jscript
– Iframe permite insertar un documento html dentro de un sitio.
11
<html> <head> <title>Prueba de iframe</title> </head> <body topmargin="0" leftmargin="0" rightmargin="0" bottommargin="0"> <iframe src="http://www.bn.com.pe/" width="100%" height="200" frameborder="0"></iframe> <iframe src="http://www.bbvabancocontinental.com" width="100%" height="350" frameborder="0"></iframe> </body> </html>
Métodos de ataque
http://www.mibanca.com/sh.php?p=%3Cform+action%3D%22xss2.jsp%22+method%3D%%22POST%22%3E
1. Explotación de fallas en los sitios
12
Métodos de ataque
2. Ingeniería social
Técnica en la que se usa el engaño para manipular personas con el fin de obtener información.
Se puede obtener información valiosa desde datos personales hasta información confidencial.
13
Métodos de ataque
3. Spam
Los atacantes usan este medio de distribución para que los correos lleguen a miles o millones de usuarios y sean atraídos por estos mensajes que son combinados con técnicas de ingeniería social.
• El spam se puede enviar usando: – Open mail relay
– Open proxy relay
– spambot
14
Métodos de ataque
4. Pharming
• Explotar las vulnerabilidades DNS (Domain Name System) en los ordenadores de los usuarios víctimas.
• Se modifica los registros del DNS de la víctima.
• Al ingresar un sitio puede ser redirigido a otro sitio fraudulento.
• Existe dos tipos de Pharming: – Pharming local
– Ataque de envenenamiento DNS (DNS Poisoning Attack )
15
Métodos de ataque
Pharming local
– existen utilidades que permiten manipular los DNS locales de las víctimas que han sido infectadas.
– Explotar vulnerabilidades en aplicaciones no actualizadas para e infectarlas con software malicioso (malware).
– Con el sistema infectado, el atacante puede controlarlo remotamente por medio de un programa servidor, este sistema de administración de sistemas es conocido como botnet.
– Ejemplo de una botnet: S.A.P.Z. (Sistema de Administración de PCs Zombi) que ha sido desarrollada en Perú y diseñada para atacar usuarios de este país [2].
16
[2] Mieres Jorge. Botnet management from peru. http://www.securelist.com/en/blog/208188056/Botnet-management-from-Peru, 2011.
Métodos de ataque
Pharming usando la botnet S.A.P.Z.
Roba información sensible mediante la técnica de pharming local, donde se modifica el fichero host del sistema operativo, el cual se encarga de redireccionar los hosts (sitios web) hacia las direcciones IPs que se encuentran dentro de este.
17
Botnet S.A.P.Z., descubierta por Jorge Mieres [2]
[2] Mieres Jorge. Botnet management from peru. http://www.securelist.com/en/blog/208188056/Botnet-management-from-Peru, 2011.
Métodos de ataque
Medidas de protección
1. Anti-Phishing toolbars
2. Software propietario
3. Sistemas de entrenamiento
18
1. Anti-Phishing toolbars (Browser toolbar)
Dichas extensiones requieren de la instalación por parte del usuario.
Como ejemplo podemos citar la extensión de Firefox: Netcraft Toolbar ayuda a los usuarios a protegerse de
sitios falsos.
19
Netcraft Toolbar instalada en Mozilla Firefox
Medidas de protección
2. Software propietario
• Instalación en las máquinas locales de los usuarios
• No siempre es seguro instalar software de terceros. Falsos antivirus
• Usuarios no prestan atención a mensajes emitidos de alerta.
20
Medidas de protección
3. Sistemas de entrenamiento
Información en las páginas web de bancos.
Alertas regulares a sus usuarios por medio de correos.
Educar a los usuarios a través de juegos, por ejemplo: PhishGuru [3], Anti-Phishing Phil [4], entre otros.
21
Entrenamiento con Anti-Phishing Phil
[3] Anti-phishing phil: the design and evaluation of a game that teaches people not to fall for phish. In Proceedings of the 3rd symposium on Usable privacy and security, SOUPS '07 [4] Lorrie Cranor. Phishguru: A system for educating users about semantic attacks. Master's thesis, School of Computer Science, Institute for Software Research, Carnegie Mellon University, 2009.
Medidas de protección
Nuestras experiencias
22
Nuestras experiencias
23
Nuestras experiencias
24
Conclusiones
• Los ataques de phishing han evolucionado tanto, dónde técnicas cómo el pharming local y el envenenamiento de DNS son más complicadas de detectar a simple vista.
• Entre las mejores opciones para evitar el phishing está el entrenamiento de usuarios, este debe ser incorporado como una política dentro de las instituciones bancarias o negocios de comercio electrónico.
• América Latina está siendo vista por los delincuentes informáticos cómo un gran negocio a explotar, de hecho ya existen botnets desarrolladas para el robo de identidad en países específicos.
25
Preguntas?
26
27