Todos los que navegan por la Web están bajo el ataque de los e-mails de phishing, de los sitios de pharming y de los programas criminales – programas espías, Troyanos, programas de captura de tecleo y otros.
Los delincuentes virtuales están utilizando botnets -grupos de PC secuestrados- para lanzar ataques de phishing por spam que son imposibles de rastrear. El número de estafas de phishing y pharming creció abrumadoramente. Los delincuentes están usando ataques combinados — que reúnen varias técnicas de crimen electrónico — para robar identidades y secuestrar sistemas, a menudo engañando hasta a los usuarios más experimentados.
El sector de servicios financieros es, por un gran margen, el más atacado. En verdad, los delincuentes cibernéticos frecuentemente crean sitios falsos que imitan casi perfectamente los sitios legítimos de bancos y de Wall Street, llevando los usuarios a proveer sus nombres de cuentas en Internet, sus contraseñas, sus números de documentos y otra información personal.
Trucos de Phishing
Al diseñar un sitio falso, los phishers atraen a los usuarios a través de spam o e-mails dirigidos, esperando lograr éxito y encontrar clientes verdaderos del banco, de la tienda virtual o de la empresa de tarjeta de crédito que secuestraron. Los e-mails pueden ser extremamente convincentes, como un mensaje de eBay afirmando que su tarjeta de crédito fue recusada, o de Citibank afirmando que detectaron actividades no autorizadas en su cuenta.
Técnicas de Pharming
El Pharming utiliza el secuestro o la “contaminación” del DNS (Servicio de Nombres de Dominio) para llevar los usuarios a un sitio falso, alterando el DNS del sitio de destino. El sistema también puede redirigir los usuarios a sitios auténticos a través de proxies controlados por los phishers, que se pueden usar para monitorear e interceptar el tecleo. Los sitios falsificados recopilan números de tarjetas de crédito, nombres de cuentas, contraseñas y números de documentos. Eso se hace a través de la exhibición de un pop-up para robar la información antes de llevar al usuario al sitio real, a través del uso de un certificado autofirmado para fingir la autenticación e inducir al usuario a creer suficientemente en ello para insertar sus datos personales en el sitio falsificado, o a través de la superposición de la barra de dirección y de status de navegador para inducir al usuario a pensar que está en el sitio legítimo e insertar su información.
Programas criminales — Descargas engañosas
Los phishers utilizan trucos para instalar programas criminales en las PC de los consumidores para robar directamente la información. En la mayoría de los casos, el usuario no sabe que está infectado, dándose cuenta sólo de una ligera reducción en la velocidad de la computadora, o dándose cuenta de fallos de operación atribuidos a fallos normales de software. Un software de seguridad es una herramienta necesaria para evitar la instalación de programas criminales si un ataque afecta al usuario.
Los phishers también utilizan ingeniería social para inducir a los usuarios a descargar el software directamente desde su sitio, convenciéndoles de que el software es algo deseado, como un salvapantallas o un programa de descarga de músicas.
Luego que se instala el programa criminal, el usuario está en un lío. Puede llevar al navegador a acceder a sitios falsificados, puede secuestrar el archivo de host de la PC para redirigir la computadora a sitios falsificados, y puede usar programas de captura de tecleo y screen scrapers para registrar y enviar al hacker los datos robados. Los programas criminales también instalan rootkits que se ejecutan “por debajo del radar” y ocultan la presencia de los programas espías, o pueden transformar la PC en un robot controlado a distancia, listo para lanzar una campaña masiva de spam o un ataque de Negación de Servicio.
Tendencias del Phishing
Según la opinión general, los ataques de phishing están en una subida acentuada. Decenas de miles de casos separados de phishing surgen todos los años, y dichos números están creciendo exponencialmente. Además, nuevos sitios de phishing también están siguiendo una tendencia de crecimiento semejante, así como las URL con programas malintencionados de robo de contraseñas. Estados Unidos hospeda la mayoría de los sitios de phishing, seguido por China y Corea del Sur.
Los phishers están estrechando su foco para realizar ataques contra grandes empresas financieras y de comercio electrónico; por ejemplo, entre cada cien marcas secuestradas, aproximadamente cinco son responsables del 80 por ciento de todas las campañas de phishing. Además, debido a que eBay y las grandes instituciones financieras toman medidas más activas de combate al phishing, los criminales se están dirigiendo hacia las cooperativas de crédito y otras empresas que quizás no sean tan conscientes tecnológicamente. A medida que las personas se vuelven más conscientes sobre el phishing, los ataques dejan de asemejarse al spam y, en cambio, sacan más provecho de debilidades específicas.
Las 10 normas principales para defenderse contra el Phishing
1. Nunca deje de aplicar los parches necesarios en su sistema operativo, evitando, así, la explotación de las vulnerabilidades conocidas del software. Instale los parches de los fabricantes del software luego de su distribución, pues los hackers logran crear rápidamente programas malintencionados utilizando componentes prefabricados para explotar la vulnerabilidad antes de que la mayoría de las personas descargue la corrección. Una computadora con todos los parches detrás de un firewall es la mejor defensa contra la instalación de Troyanos y programas espías.
2. Descargue la versión más reciente de su navegador para asegurar que también esté totalmente actualizado y utilice las tecnologías más recientes. Internet Explorer 7 y otros navegadores contienen una barra de herramientas anti-phishing para incluir una capa más de protección.
3. El origen de un e-mail, la ubicación de una página y el uso del cifrado SSL se pueden falsificar. Los iconos de candado de los navegadores también se pueden falsificar. Usted debe estar seguro de que se está utilizando el SSL (busque “https:” en la URL) y verificar el nombre de dominio del sitio para saber si el sitio es legítimo. Sin embargo, debido a los trucos de los hackers, no es posible confiar sólo en dichas verificaciones como señales absolutas de seguridad de la comunicación o del sitio.
4. Nunca haga clic en enlaces dentro de un e-mail y siempre ignore los e-mails que solicitan acciones, tales como “Su cuenta será cerrada”. Llame a la empresa en cuestión a través de un número de teléfono obtenido fuera del e-mail.
5. Tenga mucho cuidado al descargar cualquier software de la Web. Los programas espías pueden “venir a cuestas” de programas legítimos, o el software puede contener programas de captura de tecleo o screen scrapers para robar su información. Usted debe evitar completamente los salvapantallas gratis y otros regalos. También tenga cuidado al abrir adjuntos de e-mail – un vídeo, gráfico o PDF— aunque sea de alguien conocido. Un software de exploración de virus le protegerá, definiendo si hay virus ocultos antes de que usted abra el adjunto.
6. Use programas que verifiquen automáticamente si una URL es legítima antes de que usted acceda al sitio. Véase AccountGuard de eBay y ScamBlocker de EarthLink. Usted también puede verificar la legitimidad de una cierta URL con una búsqueda por WHOIS, como www.DNSstuff.com, que posee una herramienta de búsqueda que exhibe la información de contacto de dominios/IP de virtualmente cualquier país.
7. Use un proveedor de acceso a Internet (ISP) que implemente tecnologías y políticas anti-spam y anti-phishing sólidas. Por ejemplo, AOL bloquea los sitios de phishing conocidos para que los clientes no los puedan acceder. La organización SpamHaus lista los 10 peores ISP del momento en esta categoría — piénsalo al elegir su ISP.
8. Examine sus estados de cuenta bancarios y de tarjeta de crédito luego de recibirlos para verificar si hay algún débito no autorizado. Si su estado de cuenta se retrasa en más de dos días, llame a la administradora de su tarjeta de crédito o a su banco para confirmar su dirección de correspondencia y sus balances.
9. Sea uno de los primeros en adoptar nuevas tecnologías. Los bancos y las empresas de tarjetas de crédito están utilizando nuevas técnicas de confirmación para hacer más seguras las transacciones por Internet. Por lo tanto, no deje de sacar provecho de ellas. El sector de informática también está trabajando en tecnologías de autenticación tales como ID del Remitente, Nombre de Dominio y S/MIME para reducir drásticamente la eficacia de los ataques de phishing.
10. Proteja su computadora con un buen software de seguridad y no deje de mantenerlo actualizado. Los hackers poseen bases de datos que contienen millones de direcciones de e-mail. Atacan vulnerabilidades de aplicaciones de e-mail y navegadores de Web, además de vulnerabilidades de diseño de ciertos sitios.
Asimismo, usted puede defenderse contra el phishing porque éste combina técnicas existentes de spam y explotación de software. McAfee Security Suite asegura una excelente protección para su PC contra virus, hackers y programas espías. Entre sus recursos de punta está X-Ray for Windows, que detecta y elimina rootkits y otras aplicaciones malintencionados que se esconden de Windows y de otros programas antivirus. Sus tecnologías integradas de antivirus, anti-spyware, firewall, anti-spam, anti-phishing y backup trabajan juntas para combatir los sofisticados ataques de hoy, que llegan a través de distintos vectores.