Capacitacin

Phishing
Ingeniera Social
Mtodos de defensa

Phishing

Qu es el Phishing ?

El phishing no es mas ni menos que la tcnica de engaar al

usuario para robar dinero, en sus orgenes este ataque estaba
apuntado a robar credenciales de Home Banking

Con el correr del tiempo las tcnicas fueron evolucionando y se

perfeccionaron por lo que se volvieron mucho mas peligrosas y
abarcativas (obtencin de credenciales de red, e-mails, pcs)

Ejemplo de ataque:
En esta imagen veremos recortada la parte de un correo recibido
aparentemente del banco Galicia avisando tareas de actualizacin
en base de datos y solicitando nuevamente que el usuario ingrese
sus datos.
Aparentemente nada inseguro

En esta diapositiva vemos lo mismo que en la

anterior, pero sin recortar la parte de la pagina
Web a donde llevaba el link supuesto
www.e-galicia.com.ar que se mostraba en el
correo.

Pagina Web Falsa.

Una vez ingresado al sitio falso sin que el usuario

se diera cuenta de eso, vera una pagina espejo
igual a la de su banco, solo falta que ingrese los
datos como el supuesto mail del banco solicitaba.

Qu viene despus?

Transferencias Bancarias a cuentas de otros

bancos que fueron generadas con documentos
falsos ,o transferencias bancarias a cuentas
mulas(cuentas de terceros que cobran en la
caja efectivo y se lo pasan a los atacantes luego
de quedarse con algn porcentaje)

Pases que alojan sitios de phishing

Top 10 de targets para el uso de Phishing

1 PayPal
2 Internal Revenue Service
3 Tibia
4 eBay, Inc.
5 Facebook
6 Bank of America Corporation
7 JPMorgan Chase and Co.
8 HSBC Group
9 Google
10 HSBC

Mtodos de defensa

Evitar el spam ya que es el principal medio de distribucin de

cualquier mensaje que intente engaarlo.

Nunca hacer clic en un enlace incluido en un mensaje de correo.

Siempre intente ingresar manualmente a cualquier sitio web. Esto
se debe tener muy en cuenta cuando es el caso de entidades
financieras, o en donde se nos pide informacin confidencial
(como usuario, contrasea, tarjeta, PIN, etc.).

 Sepa que su entidad, empresa, organizacin, etc., sea cual sea, nunca le
solicitar datos confidenciales por ningn medio, ni telefnicamente, ni por
fax, ni por correo electrnico, ni a travs de ningn otro medio existente. Es
muy importante remarcar este punto y en caso de recibir un correo de este
tipo, ignrelo y/o elimnelo.

Otra forma de saber si realmente se est ingresando al sitio original, es que

la direccin web de la pgina deber comenzar con https y no http, como es la
costumbre. La S final, nos da un alto nivel de confianza que estamos
navegando por una pgina web segura.

Ingeniera Social

La "ingeniera social" es la tcnica especializada del uso de

acciones estudiadas o habilidosas que permiten manipular a
las personas para que voluntariamente realicen actos que
normalmente no haran.

Para que estas acciones tengan efecto se debe contar el

desconocimiento, curiosidad, descuido o negligencia por
parte de los usuarios que suelen caer en trampas disfrazadas
en mensajes con asuntos o falsos contenidos que despiertan
una serie de afectividades logrando actos involuntarios.

Objetivos de la ingeniera social

Ganar acceso no autorizado a los sistemas, redes o a la
informacin para...

Entrometerse en las Redes

Cometer Fraude

Espionaje Industrial

Robo de Identidad (de moda)

Irrumpir en los Sistemas o Redes

Mtodos de defensa

Mantenga una actitud cautelosa y revise constantemente sus

tendencias de ayudar a personas que no conoce.

Al telfono, obtenga nombres e identidades (Nro. De Empleado,

por ejemplo). Corrobrelos y llmelos a su pretendida extensin.

No se deje intimidar o adular para terminar ofreciendo

informacin.

No le permita a una persona desconocida descrestarlo con su

aparente conocimiento.

Ejemplo: Aquellos que conocen detalles tcnicos o usan acrnimos

o la jerga propia de la empresa o industria

FIN