lunes, 14 de septiembre de 2015

Pesca de datos

Segun HackStory

"Con el término ingeniería social se define el conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de información de terceros.
No existe una limitación en cuanto al tipo de información y tampoco en la utilización posterior de la información obtenida. Puede ser ingeniería social el obtener de un profesor las preguntas de un examen o la clave de acceso de la caja fuerte del Banco de España. Sin embargo, el origen del término tiene que ver con las actividades de obtención de información de tipo técnico utilizadas por hackers." Fin de cita.



Entones que tiene esto que ver con el phishing, este es un método aplicado de recolección de datos a través de ingeniería social.
Se utiliza en gran medida para recolectar cuentas bancarias, pero no solo sirve para esto, se pueden recolectar diferentes datos sin necesidad de ser estos y seria igual de peligroso.

Como se hace esto?
Si bien no hay un método exacto y definido dejaremos claros los mas comunes
1 SMS envío de mensajes de texto solicitando información.
2 Suplantación de identidades en la red ya sea a través de una web, como de una ventana emergente, publicidad, etc.
3 El correo electrónico fraudulento. La mas difundida y usada.

Ejemplos:


El phishing tiene un poco de todo desde cuentas con dinero hasta simples contraseñas de correos electrónicos. Por lo que debemos cuidarnos de cualquier pagina, correo o mensaje que solicite cualquier tipo de dato.

El factor común en todos es sencillo de reconocer se pide por alguna razón, datos al usuario para mantener su cuenta en una entidad X, para chequeos de seguridad, o hasta para visualizar un contenido en una tarjeta de cumpleaños (este lo use mucho de joven para robar correos de hotmail).

Se reconocen fácilmente las paginas de phishing por un factor y es su url, normalmente esta no es la pagina oficial de ninguna de las entidades de las que dice ser, por ejemplo en la de WOW juego online de Blizzard la parte tapada en naranja es el resto de la url maliciosa, en los demás la url suele ser dinámica y variar pero siempre manteniendo sus características maliciosas.

Que podemos hacer si encontramos una de estas paginas, si estamos ante un sms o correo electrónico sencillamente no contestar y si es posible enviarlo a la bandeja de spam. Si tenemos un buen manejo de nuestro navegador agregaremos esta al filtro de spam y phishing que traen integrados estos.
Jamas rellenar estos formularios ya que estaremos dando vía libre a los cyber criminales a nuestras cuentas, y de ser posible usaremos un segundo factor de acceso a las cuentas, en el caso de el banco, yo uso BROU y pague un token aprox $U600, lo cual me asegura que aunque alguien conozca la clave de mi cuenta bancaria online nadie podrá usarla sin la llave electrónica.

Hector Pereira
14-09-2015

No hay comentarios:

Publicar un comentario