Post on 16-Oct-2018
PHISHING, PHARMING, KEYLOGGERS,..
SU REPERCUSIÓN EN LABANCA ONLINE
José Manuel COLODRÁS
Responsable de prevención del fraude ING Direct España
PHISING: EL FRAUDE A LOS BANCOS
-PHISHING:
-El phishing constituye un Tipo de Fraude que afecta a gran número de usuarios.
Objetivo.- Engañar a los clientes para conseguir sus datos confidenciales y ordenar operaciones no autorizadas por el usuario legítimo.
Medios.- Uso de enlaces fraudulentos, Págs. Falsas que suplantan las oficiales - web spoofing.
Presentación: Correo electrónico en el que el remitente aparenta ser una entidad de prestigio.
PHISING: EL FRAUDE A LOS BANCOS
- FASE INICIAL:
Correo electrónico mediante el envío masivo e indiscriminado a múltiples direcciones:
-Obtenidas por emails con cadenas de chistes..., los usuarios no suelen ocultar sus direcciones, que son almacenadas en webs y recuperadas mediante programas robots...
-Obtenidas mediante solicitudes para acceder a un servicio o descarga
-Remitidas aleatoriamente (ensayo-error):método conocido hacer listas de dominios agregando prefijos, labor que se puede automatizar con un programa.
PHISING: EL FRAUDE A LOS BANCOS
-RECOPILACIÓN DE LA INFORMACIÓN.
- Mediante una aplicación PHP se envía la información recogida en los formularios de las web falsas a la cuenta de correo de los estafadores
PHISING: EL FRAUDE A LOS BANCOS
- TRANSFERENCIAS Y “BLANQUEO” DE FONDOS.
- La participación de las mulas o intermediarios:
- Recibe un porcentaje que oscila entre el 5 y el 15% por recibir en sus cuentas una transferencia y remitirla mediante uan“remesadora” o “agencia de envío de efectivo” a un país generalmente del este. Allí es recogida a su vez por otra mula....
- Intentan dar la apariencia de un negocio lícito, incluso con enlaces a páginas falsas que aparentan muy bien un negocio financiero lícito.
- ¿Están comentiendo un delito?. Sí, pueden ser detenidos y encartados en un proceso penal.
- Es difícil, pero no imposible, detectarlo mediante las herramientas automáticas de detección de blanqueo y fraude.
*** Los nigerianos y otros estafadores utilizan este mismo sistema.
¿POR QUÉ COMBATIR EL PHISHING?
- Coste económico: escaso o moderado
- Coste reputacional: muy importante pero cada vez más amortizado
-Coste operacional.-Equipos de seguridad, operaciones y prevención de los bancos.-Contactos con la policía y con la Autoridad Judicial:
- ¿Es una ventaja competitiva?
- Es un delito público...
¿QUÉ ES FRAUDE?
En sentido jurídico o estricto
-Estafa o fraude del art. 248 y ss.
- 1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno.
-2. También se consideran reos de estafa los que, con ánimo de lucro, y valiéndose de alguna manipulación informática o artificio semejante consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero.
-3. La misma pena se aplicará a los que fabricaren, introdujeren, poseyeren o facilitaren programas de ordenador específicamente destinados a la comisión de las estafas previstas en este artículo.
PHISHING:MEDIDAS REACTIVAS
-PROTOCOLO ANTIPHISHING
- Rápido conocimiento de los hechos, por parte de la entidad afectada.
- Investigación interna preliminar.
- Salvaguarda de las evidencias.
- Comunicación a las FF.CC.S.E y/o Autoridad Judicial.
- Medidas cautelares: Bloqueo de IP´s y nombre de dominio.
- Vigilancia ante el cambio de hospedaje.
- Comunicación externa:
- Clientes.
- Medios de comunicación.
PHARMING
- Consiste en suplantar el sistema de resolución de nombres de dominio (DNS) para conducir al usuario a una página web falsa.
- En red: ataque a los servidores DNS en Internet: muy difícil.
- En local: mediante un virus
- Aunque es una amenaza creciente y peligrosa, la solución pasa por la prevención:
- Un antivirus eficaz.
KEYLOGGERS
Son una variedad de virus que se instalan en el equipo de la víctima.
- Bajo ciertas condiciones (v.g.: cuando se accede a la web de un banco) se activan, registrando todas las pulsaciones del teclado: las primeras serán el usuario y el password.
- La información recogida se envía por cualquier medio al atacante: IRC, e-mail...
- La utilización de botnets hace este tipo de ataques muy graves.
- También existen Keyloggers que recopilan imágenes.
- Gran amenaza para el desarrollo del e-commerce.
- Especialmente grave en países en vías de desarrollo por la utilización generalizada de los cyberlocales.
- MEDIDAS PREVENTIVAS:
- Uso de pin pads.
- OTP´s,
FRAUDE EXTERNO
- MEDIDAS PREVENTIVAS CONTRA ESTAS CONDUCTAS:
- Utilización de firma digital (sistema de clave asimétrica), no implementado. Nuevo DNI digital, firmas ya exsitentes, pero de uso no los suficientemente generalizado.
- OTP´s (efectivo pero vulnerable)
- Personalización de la pantalla de acceso
- Lo esencial:
- La formación al cliente: utilización segura de Internet (antivirus, firewalls, sentido común).
- La información al cliente (la banca directa es con mucho un medio más seguro que la banca tradicional)