viernes, 30 de mayo de 2014

Phishing

Con el uso de las Redes Sociales y el avance tecnológico en internet, también surgen problemas asociados a las nuevas tecnologías de la comunicación. El que cada vez es más frecuente, por el gran número de denuncias que existen y van en aumento, es el llamado" Phishing" o suplantación de identidad. 

Se trata de una modalidad de estafa con el objetivo de intentar obtener de un usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito, identidades, etc. Resumiendo "todos los datos posibles" para luego ser usados de forma fraudulenta o cometer ciberacoso y sextorsión, haciéndose pasar por otras personas.

¿Cómo lo consiguen?
  • A través de un SMS (mensaje corto), mediante la recepción de un mensaje donde nos solicitan datos personales, ofreciéndonos un premio. Es posible que nosotros seamos precavidos y no facilitemos datos personales, pero cada vez son más los jóvenes que tienen teléfonos móviles más pronto y pueden caer en esta trampa.
  • Otra forma, es la recepción de una llamada telefónica. En la que se hacen pasar por una empresa  privada o pública para obtener nuestros datos personales. Se ha dado el caso con llamadas en las que se hacen pasar por  la Agencia Tributaria
  • Internet, a través de una página web o ventana emergente. En ella se suplanta visualmente la imagen de una entidad oficial o empresa, pareciendo ser las páginas oficiales, a través de un registro en la página web. De esta forma el usuario facilita sus datos privados. La más empleada es la "imitación" de páginas webs de bancos, siendo el parecido casi idéntico pero no el oficial. También hay sitios webs falsos con señuelos llamativos, en los cuales se ofrecen ofertas irreales y donde el usuario "inexperto" facilita todos sus datos, un ejemplo fue el descubierto por la Asociación de Internautas y denunciado a las fuerzas del Estado: Web-Trampa de recargas de móviles creada para robar datos bancarios.
  • En el caso de las redes sociales, tan sólo basta con abrir una cuenta en las diferentes redes sociales (facebook, twitter, ...) con el nombre de otra persona y aquí viene lo que puede afectar especialmente a nuestros hijos, que esa suplantación de identidad, de lugar a ciberacoso o sextorsión, de lo que ya hemos hablado en otras entradas.
La Oficina de Seguridad del Internauta (OSI) de INTECO Instituto Nacional de Tecnologías de la Comunicación) es la encargada de proporcionar la información y el soporte necesario para evitar y resolver los problemas de seguridad que pueden existir al navegar por Internet. Y nos facilita unas pautas a tener en cuenta para saber si alguien ha suplantado nuestra identidad en las redes sociales: 

  • Si vemos que desaparecen mensajes privados que teníamos guardados.
  • Hay nuevos post o mensajes en nuestro muro, que nosotros no hemos publicado.
  • Aparecen chats con conversaciones que no recordamos haber tenido.
  • Aparecen nuevos contactos y tal vez hemos dejado de seguir a algunos que ya seguiamos.
Todo ello, son avisos de que algo no va bien, y que lo que puede estar ocurriendo, es que alguien haya suplantado nuestra identidad y pueda arruinar nuestra reputación o incluso cometer algún delito (ciberacoso, sextorsión). 

Cuando se produce mediante la telefonía móvil, se le llama   smishing, es una variante del phishing.  Son mensajes de texto cuya actividad criminal es la de obtener, mediante engaños a los usuarios de telefonía móvil, información privada o suscripciones falsas online ofertas de trabajo en sitios web, para luego introducir spyware o programas con intenciones maliciosas sin el consentimiento del usuario.

 Los 10 phishings más utilizados por los ciberdelincuentes:

 

1. Bancos y cajas: Nos avisan mediante excusas, tales como: cambios en la normativa del banco, cierre incorrecto de la sesión del usuario, mejoras en las medidas de seguridad, detectada intrusión en sus sistemas de seguridad, bloqueo de la cuenta por motivos de seguridad, etc. que introduzcamos nuestros datos de nuevo. El objetivo, robar números de tarjetas de crédito, tarjetas de coordenadas, PIN secreto, etc.

2. Pasarelas de pago online (PayPal, Mastercard, Visa, etc.): Las excusas utilizadas para engañar al usuario son las mismas que en el caso de los bancos, normalmente con la misma finalidad; robar nuestros datos bancarios

3. Redes sociales (Facebook, Twitter, Tuenti, Instagram, Linkedin, etc.): Las estrategias utilizadas para engañar al usuario y aprovechar para introducirnos un Software espía, son: alguien te ha enviado un mensaje privado, se han detectado conexiones extrañas en la cuenta, por motivos de seguridad es necesario que se cambien las claves, etc. Con ello, pueden asumir nuestra cuenta de usuario y hacerse pasar por nosotros, obtener nuestros datos privados.


4. Páginas de compra/venta y subastas (Amazon, eBay, etc.): Excusas utilizadas para engañar al usuario: problemas en la cuenta del usuario, detectados movimientos sospechosos, actualización de las condiciones del uso del servicio, etc. El objetivo: robar cuentas de usuarios y estafar económicamente al usuario.

5. Juegos online: Excusas utilizadas para engañar al usuario: fallos de seguridad en la plataforma del juego, problemas en la cuenta del usuarios. Consiguen con ello: robar cuentas, datos privados, bancarios y suplantar la identidad de los usuarios.

6. Soporte técnico y de ayuda (helpdesk) de empresas y servicios (Outlook, Yahoo!, Apple, Gmail, etc.): Generalmente, utilizan como estrategia para engañar al usuario, que requieren confirmación de la cuenta de usuario, eliminación de cuentas inactivas, detectada actividad sospechosa en la cuenta, se ha superado el límite de capacidad de la cuenta, etc. De nuevo solicitan datos y consiguen robar cuentas y datos privados de los usuarios.
7. Servicios de almacenamiento en la nube (Google Drive, Dropbox, etc.): Excusas utilizadas para engañar al usuario: Facilita tus datos para ver el archivo. Para conseguir cuentas de distintos servicios de usuarios y  obtener información privada.

8. Phishing a servicios o empresas públicas. Excusas utilizadas para engañar al usuario: información sobre una notificación, una multa..., haciéndose pasar por alguna empresa. Con ello, consiguen infectar nuestro ordenador, robar datos privados, bancarios y estafar económicamente al usuario.

9. Phishing a servicios de mensajería: Excusas utilizadas para engañar al usuario: el paquete enviado no ha podido ser entregado, tienes un paquete esperando, información sobre el seguimiento de un pedido, etc. De nuevo, para infectar ordenadores, robar datos privados y bancarios de los usuarios.

10. Falsas ofertas de empleo: Con el gancho de ofrecer o informar sobre puestos de trabajo, nos solicitan nuestros datos y consiguen robar datos privados que pueden ser utilizados posteriormente con distintos fines fraudulentos.

 

 Para protegernos nosotros y nuestros hijos e hijas.

 Qué hacer:

  • No acceder a las peticiones de solicitud de información. En caso de duda, consulta directamente a la empresa o servicio a través de los mecanismos oficiales que facilitan en su página web oficial.
  • No contestar en ningún caso a estos correos.
  • Bajo ningún concepto seguir posibles enlaces que se puedan facilitar en el correo fraudulento ni descargues ficheros que traiga adjuntos.
  • Elimínarlo y, si lo deseas, alerta a tus contactos sobre este fraude.
  • Envía los correos sospechosos a http://www.osi.es/es/te-ayudamos/actua-ante-el-fraude

Información extraída de la Oficina de Seguridad del Internauta (OSI) de INTECO.  Instituto Nacional de Tecnologías de la Comunicación, S.A., (INTECO), sociedad dependiente del Ministerio de Industria, Energía y Turismo (MINETUR) a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI), es la entidad de referencia para el desarrollo de la ciberseguridad y de la confianza digital de ciudadanos, red académica y de investigación española (RedIRIS) y empresas, especialmente para sectores estratégicos

 



Recursos:
  • Video Phishing. Aprenda a evitar los fraudes electrónicos: La Secretaria de Estado de las Telecomunicaciones del Ministerio de Industria, Turismo y Comercio, junto a la Escuelas de Negocios EOI y dentro del Plan Avanza.
      
  • Artículo: Cúando alguien se hace pasar por tí en Internet. Inteco
  • Guía para usuarios: identidad dígital y reputación online. Inteco
  • Aprende con Social Lab las técnicas que utilizan los ciberdelincuentes para obtener información sobre ti en las redes sociales y poder así proteger tu privacidad adecuadamente.
  • Chaval.es es la página web de referencia respecto al buen uso de las TIC, Tecnologías de la Información y la Comunicación para jóvenes. Dependiente del Ministerio de Industria, Energía y Turismo.
  • Proyecto Agrega . Información para adolescentes, padres y madres sobre la seguridad en Internet. Explica cómo detectar la presencia de correos que invitan a entrar en páginas webs suplantadas y solicitan información relativa a datos personales o bancarios que la propia entidad no haría nunca a través de un correo electrónico. Alerta sobre estas prácticas hoy día muy habituales y propone medidas cautelares. 
  • Netcraft. Protege de los ataques de phishing. Vigila donde se hospeda y proporciona un índice de riesgo de los sitios que visitas. Ayuda a defender a la comunidad internauta de fraudes