Phishing
10
Click here to load reader
-
Upload
maduoc -
Category
Technology
-
view
1.050 -
download
0
Transcript of Phishing
PHISHINGGrupo 6 - MAD
Definición
• Estafas bancarias internautas: En inglés phishing, consiste en utilizar ingeniería social (engaño vulgar, hablando llanamente), de forma que los delincuentes consigan simular ser parte de alguna entidad bancaria y obtener de ese modo datos suficientes que les permita acceder a la cuenta del crédulo ciudadano y apropiarse de las cantidades posibles.
Métodos (I)
Inicios (mediados de los 90): el atacante se hacía pasar por empleado de AOL solicitando el usuario y contraseña de la víctima.
Hoy en día: • Creación de una web igual que la de una entidad bancaria.• Man-in-the-middle: crear una web situada entre el cliente y
el banco con el objetivo de capturar las contraseñas de un solo uso. Fácil de detectar y desactivar.
• Troyanos: de diferentes técnicas, difíciles de detectar, aún con un antivirus actualizado y siguiendo las normas de seguridad
Métodos (II)
Phishing telefónico: • Debido a la nueva función de navegación a través
del móvil (smishing), a través de descargas gratuitas. Este tipo de ataques es el que tiene tendencia a aumentar.
• Dando un número de teléfono que solicita información bancaria con alguna excusa.
SCAM: engañar a alguien con ofertas de empleo desde casa, blanqueando dinero procedente de phishing.
Evolución
Legislación
• En la legislación Española, aún existen vacios en su ordenamiento de algunos de los actos considerados como delito por las instituciones Internacionales, sin embargo, en el caso concreto del Phishing está considerado “Estafa” según la LO 10/1995 del Código Penal.
• LO 25/2007 de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas
Jurisprudencia
• Europea: Dictamen del Comité Económico y Social Europeo sobre la Comunicación de la Comisión al Consejo y al Parlamento Europeo relativa a un nuevo marco jurídico para los pagos en el mercado interior
• Española: AP Burgos (Sección 1ª), sentencia núm. 40/2007 de 14 diciembre
Soluciones
• Se ha creado una Comisión que participa activamente en los foros y las estructuras de cooperación internacionales, en particular en el Grupo de Lyón-Roma del G8, sobre la delincuencia de alta tecnología, y en los proyectos gestionados por INTERPOL.
• La tarjeta de coordenadas, en un intento de One Time Password (OTP), hace más difícil el phishing, aunque no imposible.
• Multifactor de autentificación y autentificación por biometría / reconocimiento de voz.
• Barra antiphishing.• FORMACIÓN a usuarios de internet y dispositivos móviles
Conclusiones• Mejorar y facilitar la coordinación y la cooperación entre las unidades
especializadas en detectar los delitos en la red, con la coordinación de las autoridades competentes y otros expertos de la Unión Europea.
• Desarrollar un marco político coherente, en colaboración con los Estados miembros y las organizaciones y partes interesadas a escala internacional y de la UE, en materia de lucha contra la ciberdelincuencia.
• Apoyar la investigación que contribuya a la lucha contra la ciberdelincuencia. Las instituciones públicas y el sector privado deben cooperar en esta dirección. Los dos sectores, el público y el privado deben seguir sensibilizando a la población, en especial a los consumidores, sobre los costes y peligros que entrañan los delitos cometidos en la red.
• A nivel de empresa privada, incluso de usuario, existe un amplio abanico de software destinado a la prevención de delitos informáticos. Esto, junto con la información que proporcionan los medios de comunicación, debe frenar potencialmente este tipo de delitos.
• Intentar educar unos buenos hábitos de seguridad electrónica y de fiabilidad en los usuarios de estas técnicas.
Cuestiones
• 1• 2• 3
