El Phishing vol arribar a Hisenda

Informació extreta del diari Metro Directe de Barcelona.

Molts contribuents van rebre ahir un correu en nom d'Hisenda que sol·licitava les dades de la seva targeta de crèdit per a poder accedir a una devolució d'impostos. Es tractava d'un atac de phishing o pesca de contrasenyes, com va assenyalar la pròpia Agència Tributària.

El missatge assegurava que per a rebre els diners de l'IVA, calia accedir a una pàgina web que en realitat no era la d'Hisenda, sinó una imitació amb un disseny similar.

Per si no sabem què és el Phishing, a continuació tenim una explicació extreta de la Wikipèdia:

Phishing és un terme utilitzat en informàtica amb el qual es denomina l'ús d'un tipus d'enginyeria social, caracteritzat per intentar adquirir informació confidencial de forma fraudulenta, com pot ser una contrasenya o informació detallada sobre targetes de crèdit o altra informació bancària. L’estafador, millor conegut com phisher es fa passar per una persona o empresa de confiança en una aparent comunicació oficial electrònica, comunament un correu electrònic, algun sistema de missatgeria instantània o fins i tot utilitzant també cridades telefòniques.

Donat el creixent nombre de denúncies d'incidents relacionats amb el phishing es requereixen mètodes addicionals de protecció. S'han realitzat intents amb lleis que castiguen la pràctica, campanyes per a prevenir als usuaris i amb l'aplicació de mesures tècniques als programes.

Aquest és un exemple d'un intent de phishing, fent-se passar per un email oficial, tracta d'enganyar als membres del banc perquè donin informació sobre el seu compte amb un enllaç a la pàgina del phisher.

Intents recents de phishing

Els intents més recents de phishing s'han començat a dirigir a clients de bancs i serveis de pagament en línia. Encara que l'exemple que es mostra en la primera imatge és enviat per phishers de forma indiscriminada amb l'esperança de trobar a un client d'aquest banc o servei, estudis recents mostren que els phishers al principi són capaços d'establir amb quin banc una possible víctima té relació, i d'aquesta manera enviar un e-mail, falsejat apropiadament, a la possible víctima.

En termes generals, aquesta variant cap a objectius específics en el phishing s'ha denominat spear phishing (literalment phishing amb llança). Els llocs d'Internet amb fins socials també s'han convertit en objectius per als phishers, atès que molta de la informació proveïda en aquests llocs pot ser utilitzada en el robatori d'identitat. Alguns experiments han atorgat una taxa d'èxit d'un 70% en atacs phishing en xarxes socials. A la fi del 2006 un cuc informàtic es va apropiar d'algunes pàgines del lloc web MySpace assolint redireccionar els enllaços de manera que apuntessin a una pàgina web dissenyada per a robar informació d'ingrés dels usuaris.

Tècniques de phishing

La majoria dels mètodes de phishing utilitzen alguna forma tècnica d'engany en el disseny per a mostrar que un enllaç en un correu electrònic sembli una còpia de l'organització per la qual es fa passar. URLs malament escrites o l'ús de subdominis són trucs comunament usats per phishers, com l'exemple en aquesta URL, http://www.nomdelteubanc.com.exemple.com/.

Altre exemple per a disfressar enllaços és el d'utilitzar adreces que continguin el caràcter arrova: @, per a posteriorment preguntar el nom d'usuari i contrasenya (contrari als estàndards). Per exemple, l'enllaç http://www.google.com@members/.tripod.com/ pot enganyar a un observador casual a creure que l'enllaç va a obrir en la pàgina de www.google.com, quan realment l'enllaç envia al navegador a la pàgina de members.tripod.com (i a l'intentar entrar amb el nom d'usuari de www.google.com, si no existeix tal usuari, la pàgina obrirà normalment). Aquest mètode ha estat eradicat des de llavors en els navegadors de Mozilla i Internet Explorer. Altres intents de phishing utilitzen comandos en JavaScripts per alterar la barra d'adreces. Això es fa posant una imatge de la URL de l'entitat legítima sobre la barra d'adreces, o tancant la barra d'adreces original i obrint una nova que conté la URL legítima.

En altre mètode popular de phishing, l'atacant utilitza els propis codis del banc o servei del com es fan passar contra la víctima. Aquest tipus d'atac resulta particularment problemàtic, ja que dirigeixen a l'usuari a iniciar sessió en la pròpia pàgina del banc o servei, on la URL i els certificats de seguretat semblen correctes. En aquest mètode d'atac (conegut com Cross Site Scripting) els usuaris reben un missatge dient que han de "verificar" els seus comptes, seguit per un enllaç que sembla la pàgina web autèntica; en realitat, l'enllaç està modificat per a realitzar aquest atac, a més és molt difícil de detectar si no es tenen els coneixements necessaris.

Altre problema amb les URL ha estat trobat en el maneig de Nom de domini internacionalitzat (IDN) en els navegadors, això pot permetre que adreces que resultin idèntiques a la vista puguin conduir a diferents llocs, possiblement pàgines web amb dolentes intencions. A pesar de la publicitat que s'ha donat sobre aquest defecte, conegut com IDN spoofing o atacs homògrafs, cap atac conegut de phishing ho ha utilitzat.

Rentat de diners producte del phishing

S'està tendint actualment a la captació de persones per mitjà d'e-mails, xats, irc, i altres mitjans, on empreses fictícies oferixen treball a les mateixes, instant-les a exercir des de la seva pròpia casa i oferint amplis beneficis. Totes aquelles persones que accepten es converteixen automàticament en víctimes que incorren en un greu delicte sota la seva ignorància: el blanqueig de diners obtinguts a través de l'acte fraudulent de phishing.

Perquè una persona pugui donar-se d'alta amb aquesta classe d'empreses ha d'emplenar un formulari en el qual s'indicaran entre altres dades, el compte bancari. Això té la finalitat d'ingressar en el compte del treballador-víctima els diners procedents de les estafes bancàries realitzades pel mètode de phishing. Una vegada contractat la víctima es converteix automàticament en el que es coneix vulgarment com mulero.

Amb cada acte fraudulent de phishing la víctima rep el quantiós ingrés en el seu compte bancari i és avisat per part de l'empresa del mateix. Una vegada fet aquest ingrés la víctima es quedarà un percentatge dels diners totals, podent rondar el 10%-20%, com comissió de treball i la resta ho reexpedirà a través de sistemes d'enviament de diners a comptes indicats per la pseudo-empresa.

Donat el desconeixement de la víctima (moltes vegades motivat per la necessitat econòmica) aquesta es veu involucrada en un acte d'estafa important, podent-se veure requerit per la justícia, prèvia denúncia dels bancs. Aquestes denúncies se solen resoldre amb la imposició de retornar tots els diners sostrets a la víctima, obviant que aquest únicament va rebre una comissió.

Fases

* En la primera fase, la xarxa d’estafadors es nodreix d'usuaris de xat, fòrums o correus electrònics, mitjançant de missatges d'ofertes d'ocupació amb una gran rendibilitat o disposició de diners (SCAM). En el cas que caiguin en el parany, els presumptes intermediaris de l'estafa, han d'emplenar determinats camps, tals com: Dades personals i nombre de compte bancari.

* Es comet el phishing, ja sigui l’enviament global de milions de correus electrònics, sota l'aparença d'entitats bancàries, sol·licitant les claus del compte bancari (PHISHING) o amb atacs específics.

* El tercer pas consisteix que els estafadors comencen a retirar sumes importants de diners, les quals són transmeses als comptes dels intermediaris (muleros).

* Els intermediaris realitzen el traspàs als comptes dels estafadors, duent-se aquests les quantitats de diners i aquells -intermediaris- el percentatge de la comissió.

Danys causats pel Phishing

Els danys causats pel phishing oscil·len entre la pèrdua de l'accés al correu electrònic a pèrdues econòmiques substancials. Aquest estil de robatori d'identitat s'està fent més popular per la facilitat amb que persones confiades normalment revelen informació personal als phishers, incloent nombres de targetes de crèdit i nombres de la seguretat social. Una vegada aquesta informació és adquirida, els phishers poden usar dades personals per a crear comptes falsos en el nom de la víctima, gastar el crèdit de la víctima, o fins i tot impedir a les víctimes accedir als seus propis comptes.

S'estima que entre maig del 2004 i maig del 2005, aproximadament 1.2 milions d'usuaris de computadores als Estats Units van tenir pèrdues a causa del phishing, el que suma a aproximadament $929 milions de dòlars nord-americans. Els negocis als Estats Units van perdre prop de 2000 milions de dòlars a l'any mentre els seus clients eren víctimes. El Regne Unit també va sofrir l'alt increment en la pràctica del phishing. Al març del 2005, la quantitat de diners que va perdre el Regne Unit era d'aproximadament £12 milions de lliures esterlines.

Anti-Phishing

Existeixen diverses tècniques diferents per a combatre el phishing, incloent la legislació i la creació de tecnologies específiques que tenen com blanc evitar el phishing.

• Resposta social

Un usuari que és contactat sobre la necessitat de "verificar" un compte pot o bé contactar amb la companyia la qual és tema del correu, o pot teclejar l'adreça web d'un lloc web segur en la barra d'adreces del seu navegador, per a evitar l'enllaç en el missatge sospitós de phishing. Moltes companyies, incloent eBay i PayPal, sempre es dirigeixen als seus clients pel seu nom d'usuari en els correus electrònics, de manera que si un correu electrònic es dirigeix a l'usuari d'una manera genèrica com ("Benvolgut membre de eBay") és probable que sigui un intent de phishing.

Alerta del navegador Firefox previ a accedir pàgines sospitoses de phising.

• Respostes tècniques

Diversos programaris anti-phishing estan disponibles. La majoria d'aquests programes treballen identificant continguts phishing en llocs web i correus electrònics; El programari anti-phishing pot integrar-se amb els navegadors web i clients de correu electrònic com una barra d'eines que mostra el domini real del lloc visitat. Els filtres de spam també ajuden a protegir als usuaris dels phishers, ja que reduïxen el nombre de correus electrònics relacionats amb el phishing que un usuari pot rebre.

Moltes organitzacions han introduït la característica denominada preguntes de desafiament, en la qual es pregunta informació que només ha de ser coneguda per l'usuari i l'organització. Les pàgines d'internet també han afegit eines de verificació que permet als usuaris veure imatges secretes que els usuaris seleccionen a la bestreta; sí aquestes imatges no apareixen, llavors el lloc no és legítim. Aquestes (i altres formes d'autenticació mútua) continuen sent susceptibles a atacs, com el sofert al banc Escandinau Nordea a la fi del 2005.

Moltes companyies oferixen a bancs i altres entitats que sofrixen d'atacs de phishing, monitoratge continu, analitzant i utilitzant mitjans legals per a tancar pàgines amb contingut phishing.

El Anti-Phishing Working Group, indústria i associació que aplica la llei contra les pràctiques de phishing, ha suggerit que les tècniques convencionals de phishing podrien ser obsoletes en un futur a mesura que la gent s'orienti sobre els mètodes d'enginyeria social utilitzades pels phishers. Ells suposen que el pharming i altres usos de malware es van a convertir en eines més comunes per al robatori d'informació.