miércoles, 24 de julio de 2013
VIERNES, DÍA PREFERIDO PARA ATAQUES DE PHISHING
El robo de identidad (phishing) continúa siendo una de las amenazas en línea principales. En 2012 se registraron, en promedio, más de 37,000 ataques de phishing por mes, lo que se traduce en pérdidas estimadas en 1,500 millones de dólares, destaca RSA.
La división de seguridad de EMC analizó kits de robo de identidad (phishing kits) donde se descubrió una táctica cada vez más usada por los criminales. El esquema incluye varias redirecciones de un sitio web a otro; por lo general se trata en principio de un sitio web legítimo que ha sido apropiado por los delincuentes, sin hacerle alguna modificación. Usando este sitio como trampolín, inducen a los internautas a ingresar a dicho primer sitio para posteriormente redireccionarlos a un segundo: la verdadera página de robo de identidad.
El uso de dos sitios tiene un propósito muy claro: evitar que los mensajes de correo electrónico sean bloqueados por los filtros de seguridad, ya que el primer sitio es “limpio” y es el que será analizado por el filtro. Uno no puede acceder al sitio malicioso si no se ha ingresado previamente a la primera URL legítima.
Otro de los ataques detectados son los llamados de “acción retardada”. Estos no son nuevos pero cada vez son utilizados más por los delincuentes. Esta variación usa igualmente un sitio legítimo o limpio, cuya URL se distribuye vía correo electrónico, pero se paraliza; el contenido malicioso solo se cargará uno o dos días después.
Por lo general se trata de ataques de fin de semana, en donde el correo malicioso se envía el domingo, borra los sistemas de correo electrónico y el contenido ilegal estará disponible el lunes. Este mismo esquema se utiliza para las campañas de infección por troyanos y robo de identidad de objetivos específicos.
Los análisis de RSA demuestran que los viernes son los días preferidos por los criminales del phishing para enviar sus correos de robo de identidad de objetivos específicos. ¿Por qué el viernes? Se determinó que hacia el final de la semana, los empleados tienen menor carga de trabajo, por lo que están menos atentos y son más propensos a caer en ataques de phishing. Por lo general, el viernes los empleados dedican más tiempo a borrar de su bandeja de entrada los correos de la semana y navegan más por Internet, lo que incrementa la posibilidad de hacer clic en algún enlace recibido ese día.
Qué es el phishing y cómo protegerse.
Seguro que estos últimos meses lleva escuchando en los medios de comunicación varias veces la palabra “Phishing” y además relacionándolo la mayoría de la veces con la banca por Internet. Debido a la confusión que existe en algunos internautas noveles y a algún medio de comunicación, que puede llevar a confusión al internauta por el tratamiento de las noticias de forma alarmista, donde incluso se puede deducir que la banca online no es segura, dejando en entredicho la seguridad de las entidades bancarias. Por todo esto, la Asociación de Internautas quiere explicar que es el Phishing y cómo protegerse del mismo.
¿Qué es el Phishing?
El "phishing" es una modalidad de estafa con el objetivo de intentar obtener de un usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito, identidades, etc. Resumiendo "todos los datos posibles" para luego ser usados de forma fraudulenta.
¿En que consiste?
Se puede resumir de forma fácil, engañando al posible estafado, "suplantando la imagen de una empresa o entidad publica", de esta manera hacen "creer" a la posible víctima que realmente los datos solicitados proceden del sitio "Oficial" cuando en realidad no lo es.
¿Cómo lo realizan?
El phishing puede producirse de varias formas, desde un simple mensaje a su teléfono móvil, una llamada telefónica, una web que simula una entidad, una ventana emergente, y la más usada y conocida por los internautas, la recepción de un correo electrónico. Pueden existir mas formatos pero en estos momentos solo mencionamos los más comunes;
- SMS (mensaje corto); La recepción de un mensaje donde le solicitan sus datos personales.
- Llamada telefónica; Pueden recibir una llamada telefónica en la que el emisor suplanta a una entidad privada o pública para que usted le facilite datos privados. Un ejemplo claro es el producido estos días con la Agencia Tributaria, ésta advirtió de que algunas personas están llamando en su nombre a los contribuyentes para pedirles datos, como su cuenta corriente, que luego utilizan para hacerles cargos monetarios.
- Página web o ventana emergente; es muy clásica y bastante usada. En ella se simula suplantando visualmente la imagen de una entidad oficial , empresas, etc pareciendo ser las oficiales. El objeto principal es que el usuario facilite sus datos privados. La más empleada es la "imitación" de páginas web de bancos, siendo el parecido casi idéntico pero no oficial. Tampoco olvidamos sitios web falsos con señuelos llamativos, en los cuales se ofrecen ofertas irreales y donde el usuario novel facilita todos sus datos, un ejemplo fue el descubierto por la Asociación de Internautas y denunciado a las fuerzas del Estado: Web-Trampa de recargas de móviles creada para robar datos bancarios.
http://seguridad.internautas.org/html/1/425.html
El "phishing" es una modalidad de estafa con el objetivo de intentar obtener de un usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito, identidades, etc. Resumiendo "todos los datos posibles" para luego ser usados de forma fraudulenta.
¿En que consiste?
Se puede resumir de forma fácil, engañando al posible estafado, "suplantando la imagen de una empresa o entidad publica", de esta manera hacen "creer" a la posible víctima que realmente los datos solicitados proceden del sitio "Oficial" cuando en realidad no lo es.
¿Cómo lo realizan?
El phishing puede producirse de varias formas, desde un simple mensaje a su teléfono móvil, una llamada telefónica, una web que simula una entidad, una ventana emergente, y la más usada y conocida por los internautas, la recepción de un correo electrónico. Pueden existir mas formatos pero en estos momentos solo mencionamos los más comunes;
- SMS (mensaje corto); La recepción de un mensaje donde le solicitan sus datos personales.
- Llamada telefónica; Pueden recibir una llamada telefónica en la que el emisor suplanta a una entidad privada o pública para que usted le facilite datos privados. Un ejemplo claro es el producido estos días con la Agencia Tributaria, ésta advirtió de que algunas personas están llamando en su nombre a los contribuyentes para pedirles datos, como su cuenta corriente, que luego utilizan para hacerles cargos monetarios.
- Página web o ventana emergente; es muy clásica y bastante usada. En ella se simula suplantando visualmente la imagen de una entidad oficial , empresas, etc pareciendo ser las oficiales. El objeto principal es que el usuario facilite sus datos privados. La más empleada es la "imitación" de páginas web de bancos, siendo el parecido casi idéntico pero no oficial. Tampoco olvidamos sitios web falsos con señuelos llamativos, en los cuales se ofrecen ofertas irreales y donde el usuario novel facilita todos sus datos, un ejemplo fue el descubierto por la Asociación de Internautas y denunciado a las fuerzas del Estado: Web-Trampa de recargas de móviles creada para robar datos bancarios.
http://seguridad.internautas.org/html/1/425.html
Suscribirse a:
Entradas (Atom)