Anti phishing

Existen varias técnicas diferentes para combatir el phishing, incluyendo la legislación y la creación de tecnologías específicas que tienen como objetivo evitarlo.

 Respuestas organizativas

Una estrategia para combatir el phishing adoptada por algunas empresas es la de entrenar a los empleados de modo que puedan reconocer posibles ataques phishing. Una nueva táctica de phishing donde se envían correos electrónicos de tipo phishing a una compañía determinada, conocido como spear phishing, ha motivado al entrenamiento de usuarios en varias localidades, incluyendo la Academia Militar de West Point en los Estados Unidos. En un experimento realizado en junio del 2004 con spear phishing, el 80% de los 500 cadetes de West Point a los que se les envió un e-mail falso fueron engañados y procedieron a dar información personal.

Un usuario al que se le contacta mediante un mensaje electrónico y se le hace mención sobre la necesidad de "verificar" una cuenta electrónica puede o bien contactar con la compañía que supuestamente le envía el mensaje, o puede escribir la dirección web de un sitio web seguro en la barra de direcciones de su navegador para evitar usar el enlace que aparece en el mensaje sospechoso de phishing. Muchas compañías, incluyendo eBay y PayPal, siempre se dirigen a sus clientes por su nombre de usuario en los correos electrónicos, de manera que si un correo electrónico se dirige al usuario de una manera genérica como ("Querido miembro de eBay") es probable que se trate de un intento de phishing.

Respuestas legislativas y judiciales

El 26 de enero de 2004, la FTC (Federal Trade Commission, "Comisión Federal de Comercio") de Estados Unidos llevó a juicio el primer caso contra un phisher sospechoso. El acusado, un adolescente de California, supuestamente creó y utilizó una página web con un diseño que aparentaba ser la página de America Online para poder robar números de tarjetas de crédito. Tanto Europa como Brasil siguieron la práctica de los Estados Unidos, rastreando y arrestando a presuntos phishers. A finales de marzo de 2005, un hombre estonio de 24 años fue arrestado utilizando una backdoor, a partir de que las víctimas visitaron su sitio web falso, en el que incluía un keylogger que le permitía monitorear lo que los usuarios tecleaban. Del mismo modo, las autoridades arrestaron al denominado phisher kingpin, Valdir Paulo de Almeida, líder de una de las más grandes redes de phishing que en dos años había robado entre $18 a $37 millones de dólares estadounidenses.  En junio del 2005 las autoridades del Reino Unido arrestaron a dos hombres por la práctica del phishing, en un caso conectado a la denominada Operation Firewall del Servicio Secreto de los Estados Unidos, que buscaba sitios web notorios que practicaban el phishing.
En los Estados Unidos, el senador Patrick Leahy introdujo el Acta Anti-Phishing de 2005 el 1 de marzo de 2005. Esta ley federal de anti-phishing establecía que aquellos criminales que crearan páginas web falsas o enviaran spam a cuentas de e-mail con la intención de estafar a los usuarios podrían recibir una multa de hasta $250,000 USD y penas de cárcel por un término de hasta cinco años.

La compañía Microsoft también se ha unido al esfuerzo de combatir el phishing. El 31 de marzo del 2005, Microsoft llevó a la Corte del Distrito de Washington 117 pleitos federales. En algunos de ellos se acusó al denominado phisher "John Doe" por utilizar varios métodos para obtener contraseñas e información confidencial. Microsoft espera desenmascarar con estos casos a varios operadores de phishing de gran envergadura. En marzo del 2005 también se consideró la asociación entre Microsoft y el gobierno de Australia para educar sobre mejoras a la ley que permitirían combatir varios crímenes cibernéticos, incluyendo el phishing. 

Phishing

Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea^] o incluso utilizando también llamadas telefónicas.

Dado el creciente número de denuncias de incidentes relacionados con el phishing, se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica y campañas para prevenir a los usuarios con la aplicación de medidas técnicas a los programas.






Historia


Origen de la palabra


El término phishing proviene de la palabra inglesa "fishing" (pesca)  haciendo alusión al intento de hacer que los usuarios "piquen en el anzuelo". A quien lo practica se le llama phisher. También se dice que el término "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo, dado que la escritura 'ph es comúnmente utilizada por hackers para sustituir la f, como raíz de la antigua forma de hacking telefónico conocida como phreaking.
La primera mención del término phishing data de enero de 1996. Se dio en el grupo de noticias de hackers alt.2600, aunque es posible que el término ya hubiera aparecido anteriormente en la edición impresa del boletín de noticias hacker "2600 Magazine". El término phishing fue adoptado por quienes intentaban "pescar" cuentas de miembros de AOL.


Técnicas de phishing


La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar el impostor. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL, http://www.nombredetubanco.com/ejemplo. Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares ). Por ejemplo, el enlace http://www.google.com@members.tripod.com/ puede engañar a un observador casual y hacerlo creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente). Este método ha sido erradicado desde entonces en los navegadores de Mozilla e Internet Explorer.Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL ilegítima.

Protección

En algunas computadoras podemos darnos cuenta si están infectadas por un keylogger (dependiendo de la velocidad y uso de CPU de nuestro procesador) por el hecho de que el programa registrara cada una de nuestras teclas de la siguiente manera: FicheroLog = FicheroLog + UltimaTecla, este evento será ejecutado por el keylogger cada vez que el usuario presione una tecla. Si bien este evento no será una carga relevante para nuestro procesador si se ejecuta a una velocidad normal, pero si mantienes unas 10 teclas presionadas por unos 30 segundos con la palma de tu mano y tu sistema se congela o su funcionamiento es demasiado lento podríamos sospechar que un keylogger se ejecuta sobre nuestro computador. Otro signo de que un keylogger se está ejecutando en nuestro computador es el problema de la tilde doble (´´) al presionar la tecla para acentuar vocales, salen dos tildes seguidas y la vocal sin acentuar. Esto ocurre en keyloggers configurados para otros idiomas. El problema desaparece al eliminarlo.

Anti-spyware
Los programas Anti-spyware pueden detectar diversos keyloggers y limpiarlos. Vendedores responsables de supervisar la detección del software apoyan la detección de keyloggers, así previniendo el abuso del software.

 Firewall

Habilitar un cortafuegos o firewall puede salvar el sistema del usuario no solo del ataque de keyloggers, sino que también puede prevenir la descarga de archivos sospechosos, troyanos, virus, y otros tipos de malware.

 Monitores de red

Los monitores de red (llamados también cortafuegos inversos) se pueden utilizar para alertar al usuario cuando el keylogger use una conexión de red. Esto da al usuario la posibilidad de evitar que el keylogger envie la informacion obtenida a terceros

 Software anti-keylogging

El software para la detección de keyloggers está también disponible. Este tipo de software graba una lista de todos los keyloggers conocidos. Los usuarios legítimos del PC pueden entonces hacer, periódicamente, una exploración de esta lista, y el software busca los artículos de la lista en el disco duro. Una desventaja de este procedimiento es que protege solamente contra los keyloggers listados, siendo vulnerable a los keyloggers desconocidos o relativamente nuevos.

Otro software que detecta keyloggers no utiliza una lista de estos, sino que, por el contrario, analiza los métodos de funcionamiento de muchos módulos en el PC, permitiéndole bloquear el trabajo del supuesto keylogger. Una desventaja de este procedimiento es que puede también bloquear software legítimos, que no son keyloggers. Algunos softwares contra keyloggers basados en heurística tienen la opción para desbloquear un software conocido, aunque esto puede causar dificultades para los usuarios inexpertos.

keylogger

Un keylogger  es un tipo de software o un dispositivo hardware específico que se encarga de registrar las pulsaciones que se realizan en el teclado, para posteriormente memorizarlas en un fichero o enviarlas a través de internet.
Suele usarse como malware del tipo daemon, permitiendo que otros usuarios tengan acceso a contraseñas importantes, como los números de una tarjeta de crédito, u otro tipo de información privada que se quiera obtener.

Keylogger con hardware

Un keylogger tipo hardware.

Son dispositivos disponibles en el mercado que vienen en tres tipos:

1. Adaptadores en línea que se intercalan en la conexión del teclado, tienen la ventaja de poder ser instalados inmediatamente. Sin embargo, mientras que pueden ser eventualmente inadvertidos se detectan fácilmente con una revisión visual detallada.
2. Dispositivos que se pueden instalar dentro de los teclados estándares, requiere de habilidad para soldar y de tener acceso al teclado que se modificará. No son detectables a menos que se abra el cuerpo del teclado.
3. Teclados reales del reemplazo que contienen el Keylogger ya integrado. Son virtualmente imperceptibles, a menos que se les busque específicamente.

Keylogger con software

Un screenshot de un keylogger tipo software.

Contrariamente a las creencias populares, un keylogger por software es simple de escribir, con un conocimiento básico de la API  proporcionada por el sistema operativo objetivo. Los keyloggers de software se dividen en:

1 Basado en núcleo: Este método es el más difícil de escribir, y también de combatir. Tales keyloggers residen en el nivel del núcleo y son así prácticamente invisibles. Derriban el núcleo del sistema operativo y tienen casi siempre el acceso autorizado al hardware que los hace de gran alcance. Un keylogger que usa este método puede actuar como driver del teclado por ejemplo, y accede así a cualquier información registrada en el teclado mientras que va al sistema operativo.

2 Enganchados: Estos keyloggers registran las pulsaciónes de las teclas del teclado con las funciones proporcionadas por el sistema operativo. El sistema operativo activa el keylogger en cualquier momento en que se presione una tecla, y realiza el registro.

3. Métodos creativos: Aquí el programador utiliza funciones como GetAsyncKeyState, GetForegroundWindow, etc. Éstos son los más fáciles de escribir, pero como requieren la revisión el estado de cada tecla varias veces por segundo, pueden causar un aumento sensible en uso de la CPU y pueden ocasionalmente dejar escapar algunas pulsaciones del teclado.

Ingeniería social

La ingeniería social es el intento de convencer hablando a un usuario legal del sistema para que revele todo lo que es necesario para superar las barreras de seguridad.

El pedido directo

La forma más directa que puede ensayar un intruso para acceder a un sistema es justamente pedir acceso a el en forma clara y directa, con la justificación de que (si se le otorga acceso) reportara cuales son las debilidades del sistema.

Hacer de Servicio técnico

El servicio técnico proveído por terceros es uno de los puntos débiles de la seguridad informática más aprovechables. En este caso el servicio técnico puede hacerse nuestra fuente de información.

Si logramos entrar en una empresa físicamente, dejar, sin que nadie se de cuenta, tarjetas impresas diciendo algo como:

SOPORTE TÉCNICO GRATUITO
TEL: 123-4567 [LE DAMOS UN NÚMERO QUE TENGAMOS TODO EL DÍA DISPONIBLE]

Cuando alguien nos llame por algún problema le preguntamos cual es el problema, y cuando nos termina de decir lo que pasa le decimos:

-"Vaya... necesitaría un poco de información sobre el sistema para solucionar eso." O algo así, y ahí le pedimos información técnica y la password, también sirve dar una explicación usando muchos términos difíciles de comprender antes de pedir un password ya que mostramos que sabemos del tema y que vamos a ayudarlos realmente.

También podemos conseguir el numero de teléfono de una secretaria (persona ideal para la Ingeniería Social) y cuando las llamamos le decimos que tenemos que realizar una base de datos con todos los usuarios y password de la empresa.

Ingeniería Social Inversa

Esta es una técnica que funciona en un porcentaje aproximado al 90%.

El pedido directo

Lo que hacemos es lo mismo que en la Ingeniería social pero en lugar de hacernos pasar por un soporte técnico nos hacemos pasar por un usuario de alto cargo, ya que generalmente son arrogantes y no conocen ni el procesador de su computadora.

Trashing

El trashing es una actividad que algunos (la mayoría) puede llegar a darle asco.

Lo que esta actividad se refiere es a la revisión de las bolsas de basura de la empresa que deseamos hackear.

Esta actividad tiene como fin encontrar papeles con anotaciones, memos, passwords y como siempre, información.

Tecnicas

son las técnicasPara hackear hace falta poner en práctica técnicas. Las técnicas de un hacker son:
Establecer el método de fijación de un blanco, reunir información sobre el blanco, investigación de los xploits del sistema operativo, selección de xploit a utilizar, información que se va a buscar dentro del sistema, programas a utilizar.

Yo recomiendo que unja vez dentro del sistema instalemos un keylogger en un directorio al que podamos ingresar en modo guest o a través del FTP. Esto es por si el root cambia las contraseñas no podríamos volver a entrar al sistema y habría que hacer todo el trabajo otra vez.

Además podremos llevar un registro de cuales son las actividades en el sistema y la regularidad de uso.
 BrutaLa fuerza bruta (a pesar de su nombre) no requiere ninguna fuerza corporal, requiere una gran fuerza mental, paciencia y una pizca de suerte, inteligencia y sagacidad.
Esta técnica se basa en reunir información sobre el sistema, información personal del root y cuando tenemos mucha información hacer una lista de passwords. Una lista de password es una lista donde anotamos todas las posibles claves que el sistema que estamos tratando de hackear podría utilizar como password.
También debemos combinar las claves con números, mayúsculas, minúsculas, etc.
Una lista de passwords podría ser (si el usuario es Juan):juan
juan1
juan123

Un poco de historia sobre como nacieron los Hacker

la definición típica del hacker es: "un aficionado a los ordenadores o computadoras, un usuario totalmente cautivado por la programación y la tecnología informática. En la década de 1980, con la llegada de las computadoras personales, y posteriormente con la posibilidad de conexión a los grandes sistemas de ordenadores a través de Internet, este término adquirió una connotación peyorativa y comenzó a usarse para denominar a quien se conecta a una red para invadir en secreto computadoras, y consultar o alterar los programas o los datos almacenados en las mismas. También se utiliza para referirse a alguien que, además de programar, disfruta desensamblando sistemas operativos y programas para entender su lógica de funcionamiento". Una buena definición acerca de lo que es un hacker, y además dice algo esencial, a un hacker se le denomina delicuente


Normas de un Hacker

1.- Nunca dañes algo intencionadamente. Lo único que conseguirás será buscarte problemas. La función del hacker es conocer.

2.- Modifica solo lo estrictamente necesario para entrar y para evitar ser localizado, o para poder acceder otras veces.

3.- No hackees nunca por venganza ni por intereses personales o económicos.

4.- No hackees sistemas pobres que no puedan reponerse de un ataque fuerte. Ni tampoco sistemas muy ricos o grandes que puedan permitirse gastar dinero y tiempo en buscarte.

5.- Odia a Telefónica, pero no te metas con ella.

6.- Se paranoico. Una da las características principales de los mejores hackers es la paranoia.

7- En los ordenadores que hackees, no dejes ningún dato que pueda relacionarse contigo. Y si es posible, ni siquiera "firmes".

8 .- Estudia mucho antes de lanzarte a la práctica. Piensa que eres un novato total, si te encuentras con problemas probablemente, tu aventura acabe antes de empezar.

9.- Nunca dejes de estudiar y de aprender nuevas cosas, el mundo de la informática avanza rápidamente, y es necesario mantener un buen ritmo si no quieres quedarte atrás.