¿Que es el Phishing?

Phishing es la capacidad de duplicar una pagina web para hacer creer al visitante que se encuentra en la pagina original en lugar de la copiada. Normalmente se utiliza con fines delictivos duplicando paginas web de bancos conocidos y enviando indiscriminadamente correos para que se acceda a esta pagina a actualizar los datos de acceso al banco.

El procedimiento consiste en aprovechar el Cross-Site Scripting (XSS), para modificar el contenido de la Web que el usuario visualiza en su navegador.

 El metodo utilizado por el atacante es el siguiente:

• El usuario recibe un email de un banco, entidad financiera o tienda de Internet en el que se le explica que por motivos de seguridad, mantenimiento, mejora en el servicio, confirmacion de identidad o cualquier otro, debe actualizar los datos de su cuenta. El mensaje imita exactamente el diseno (logotipo, firma, etc.) utilizado por la entidad para comunicarse con sus clientes.

• El mensaje puede integrar un formulario para enviar los datos requeridos, aunque lo mas habitual es que incluya un enlace a una pagina donde actualizar la informacion personal.

• Esta pagina es exactamente igual que la legitima de la entidad —algo sencillo copiando el codigo fuente (HTML)— y su direccion (URL) es parecida e incluso puede ser identica gracias a un fallo de algunos navegadores.

• Si se rellenan y se envian los datos de la pagina caeran directamente en manos del estafador, quien puede utilizar la identidad de la victima para operar en Internet.
Se trata de una forma de spam (correos electronicos no deseados) especialmente perniciosa, pues no solo satura los buzones de basura , sino que pone en peligro la integridad de la informacion sensible del usuario con graves consecuencias

En ocasiones, el termino "phishing" se dice que es la contraccion de "password harvesting fishing" (cosecha y pesca de contrasenas), aunque esto probablemente es un acronimo retroactivo.
De forma mas general, el nombre phishing tambien se aplica al acto de adquirir, de forma fraudulenta y a traves de engano, informacion personal como contrasenas o detalles de una tarjeta de credito, numeros de la seguridad social, documentos de identidad haciendose pasar por alguien digno de confianza con una necesidad verdadera de tal informacion en un e-mail parecido al oficial, un mensaje instantaneo o cualquier otra forma de comunicacion. Es una forma de ataque de la ingenieria social. Puede verse un ejemplo en http://purl.org/net/tbc/misc/phish001.htm (en ingles).

El Anti-Phishing Working Group, organizacion creada en EEUU para combatir este fraude, asegura que el numero y sofisticacion del ‘phishing’ enviado a los consumidores se esta incrementando de forma dramatica y que “aunque la banca online y el comercio electronico son muy seguros, como norma general hay que ser muy cuidadoso a la hora de facilitar informacion personal a traves de Internet”.

El termino phishing fue creado a mediados de los anos 90 por los crackers que procuraban robar las cuentas de AOL. Un atacante se presentaria como empleado de AOL y enviaria un mensaje inmediato a una victima potencial. El mensaje pediria que la victima revelara su contrasena, con variadas excusas como la verificacion de la cuenta o confirmacion de la informacion de la facturacion. Una vez que la victima entregara la contrasena, el atacante podria tener acceso a la cuenta de la victima y utilizarla para cualquer otro proposito, tales como Spamming.

Inicio

 

  
DOCTOR PC PERU © 2006 | Telefax: 578-6934 | Celular: 9-301-5610 | Nextel: 826*3080 | Email: info@drpcperu.com