4 de julio de 2007

Phishing: Una amenaza más real de lo que se piensa.

Hace rato que anda dando vuelta un tipo de ataque informático basado en Ingeniería Social1 llamado Phishing. Yo creía que era (como generalmente ocurre) generado por gente inescrupulosa en Europa, Estados Unidos o Asia. Pero existen ataques de Phishing "Made in Chile", y eso me preocupa a sobremanera.

El Phishing es un ataque que funciona de la siguiente manera: A tí te llega un correo electrónico que dice "Haz clic aquí para ir a la página de tu banco". ¿La razón? Alguna promoción, chequear tu saldo, o un supuesto cambio de configuración provocado por un (también supuesto) ataque informático al servidor del banco.

Tu haces clic en el link, y aparece la página de tu banco... o al menos eso es lo que crees. Porque en realidad es una página idéntica (de forma) a la página de tu banco alojada en otro servidor el cual está programado, no para ser parte del sistema web de tu banco, sino que para que, cuando ingreses tu RUT y password, las almacene de manera de que el personaje que armó este sitio se te robe esa información sensible. De ahí viene la palabra Phishing (que se pronuncia igual que "Fishing"): El atacante te lanza un anzuelo con su mail engañoso, tu caes y él pesca tus datos importantes.

¿Cómo defenderse de este tipo de ataques? Primero, debes tener en cuenta que los bancos, como medida de seguridad para sus clientes, no mandan correos electrónicos como el que te mencioné a sus clientes, así que si recibes un mail de estas características, ten por seguro que te quieren enganchar para robarte la password. También existen bases de datos de sitios de phishing (como Phishtank) los cuales desarrollan plugins para browsers que, al ingresar un usuario a un sitio, chequean las bases de datos y avisan al usuario si son sitios maliciosos o no. Además, los browsers más modernos (Firefox 2, Internet Explorer 7, Opera 9) traen sistemas de chequeos anti-phishing.

Ese fue mi aporte al respecto. Navega seguro y cuídate.

Detector anti-phishing de Firefox en acción.

Usando el Phishtank SiteChecker en Firefox.

1: Ingeniería Social es un ataque informático que consiste en aprovecharse de la ignorancia tecnológica de la mayoría de la gente para robarles información o hacerles daño.

2 comentarios:

Underkarlos dijo...

Me gustó tu artículo, pero sólo un detalle: la Ing Social no es un ataque, es una manera de aplicar los procesos de la ingeniería en el aspecto social. Lamentablemente, el phishing se aprovecha de ello.

UK

Melissa dijo...

¡Qué bueno el artículo!
Una vez estuve a punto de caer en un phishing, porque me enviaron una tarjeta de Gusanito.com y, al hacer click en el link, apareció que tenía que conectarme de nuevo a Hotmail, cosa que me llamó mucho la atención. Así que revisé la web de Gusanito y claro, era un tongo.

Pero la de los bancos está peligrosa.

Saludos!