El phishing
Phishing es la capacidad de duplicar una página web para hacer creer al visitante que se encuentra en la página original en lugar de una falsa, copiada de la original. Normalmente se utiliza con fines delictivos simulando páginas web de bancos conocidos y enviando indiscriminadamente correos para que se acceda a esta página para actualizar los datos de acceso al banco.
El término phishing viene de la palabra en inglés fishing, pesca, simbolizando el acto de pescar usuarios mediante señuelos cada vez más sofisticados para obtener información financiera y contraseñas. Quien lo practica es conocido con el nombre de phisher. También se dice que el término phishing es la contracción de password harvesting fishing, cosecha y pesca de contraseñas.
La primera que se menciona el término phishing es en enero de 1996, en el grupo de noticias de hackers alt.2600, aunque el término apareció tempranamente en la edición impresa del boletín hacker de noticias 2600 Magazine. El término phishing fue adoptado por crackers que intentaban "pescar" cuentas de miembros de AOL. Se sustituye la f por ph, como la forma de hacking conocida como phone phreaking.
Los intentos de phishing normalmente se dirigen a clientes de bancos y servicios de pago en línea. Cuando los phishers son capaces de establecer con qué banco una posible víctima tiene relación, le envían un correo electrónico falseado apropiadamente, esta variante hacia objetivos específicos en el phishing se ha denominado spear phishing, literalmente phishing con lanza. Otras veces hacen envíos masivos indiscriminados, acertando en algunos casos.
Técnicas de phishing
La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño, de tal manera que un enlace en un correo electrónico parezca una copia de la web de la organización por la cual se hace pasar. De esta manera, usan URLs mal escritas o el uso de subdominios, como el ejemplo en esta URL, si la web de tu banco es http://www.bancosanjuan.com/, pueden usar para confundir http://www.bancasanjuan.com/. Otro forma de disfrazar enlaces es el de utilizar direcciones que contengan el carácter arroba, @, para posteriormente preguntar el nombre de usuario y contraseña, algo contrario a los estándares. Por ejemplo, el enlace http://www.google.com@members.tripod.com/ puede engañar a una posible víctima, al creer que el enlace va a abrir en la página de www.google.com, cuando en realidad el enlace envía al navegador a la página de members.tripod.com, y entonces, al intentar entrar con el nombre de usuario de Google, si no existe tal usuario, se abrirá la página normalmente, aunque este método está bloqueados en las versiones modernas de los navegadores. Otros intentos de phishing usan comandos en javascript para alterar la barra de direcciones, colocando una imagen de la URL de la verdadera entidad sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL verdadera.
Otro método popular de phishing es cuando el phisher utiliza los propios códigos del banco. Este tipo de ataque resulta problemático, ya que dirigen al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque, conocido como Cross-site scripting, los usuarios reciben un mensaje diciendo que tienen que comprobar sus cuentas, seguido por un enlace en que aparece la página web auténtica, pero en realidad el enlace esta modificado para realizar un ataque, muy difícil de detectar si no se tienen los conocimientos necesarios.
Otro problema con las direcciones electrónicas o URLs ha sido encontrado en el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, ya que puede permitir que direcciones que resulten iguales a la vista puedan conducir a diferentes sitios, posiblemente páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homógrafos, los phishers afortunadamente no han tenido éxito.
Lavado de dinero producto del phishing
Cuando se captan personas por medio de correos electrónicos, chats, irc, y otros medios, donde empresas ficticias ofrecen trabajo, facilitando el ejercer el mismo desde la propia casa y ofreciendo amplios beneficios, aquellas personas que aceptan se convierten en víctimas que incurren en un grave delito bajo su ignorancia: el blanqueo de dinero, normalmente obtenido a través de acciones ilegales de phishing. Es una condición para que una persona pueda darse de alta con esta clase de falsas empresas rellenar un formulario en el que se indicarán, entre otros datos, la cuenta bancaria. Esto tiene como finalidad el ingresar en la cuenta del trabajador estafado o víctima el dinero procedente de las estafas bancarias realizadas por el método del phishing. La víctima se convierte automáticamente en lo que se conoce vulgarmente como mulero o mulero bancario.
La captación es sencilla y resulta estimulante para la víctima. En acto fraudulento de phishing, la víctima recibe un cuantioso ingreso en su cuenta bancaria, siendo avisado del mismo por parte de la empresa. Una vez hecho el ingreso, la víctima se quedará un porcentaje, que puede rondar un 10 %-2 0%, como comisión de trabajo y el resto lo reenviará a través de sistemas de envío de dinero a las cuentas indicadas por la falsa empresa.
Dado el desconocimiento de la víctima, frecuentemente motivado por la necesidad económica, ésta se ve involucrada en actos de estafa. La víctima, sin saberlo, ha cometido blanqueo de dinero y ha colaborado con estafadores, pudiendo verse requerido por la justicia, previa denuncia de los bancos. Estas denuncias se suelen resolver con la obligación de devolver todo el dinero sustraído a la víctima, obviando que la víctima únicamente recibió una comisión.
Entradas relacionadas: tus derechos
0 comentarios:
Publicar un comentario