Phising

 

¿Qué es ‘phising’?

Phishing es la capacidad de duplicar una página web para hacer creer al visitante que se encuentra en la página original en lugar de la copiada. Normalmente se utiliza con fines delictivos duplicando páginas web de bancos conocidos y enviando indiscriminadamente correos para que se acceda a esta página a actualizar los datos de acceso al banco.

El procedimiento consiste en aprovechar el Cross-Site Scripting (XSS), para modificar el contenido de la Web que el usuario visualiza en su navegador.

El método utilizado por el atacante es el siguiente:

• El usuario recibe un email de un banco, entidad financiera o tienda de Internet en el que se le explica que por motivos de seguridad, mantenimiento, mejora en el servicio, confirmación de identidad o cualquier otro, debe actualizar los datos de su cuenta. El mensaje imita exactamente el diseño (logotipo, firma, etc.) utilizado por la entidad para comunicarse con sus clientes.

• El mensaje puede integrar un formulario para enviar los datos requeridos, aunque lo más habitual es que incluya un enlace a una página donde actualizar la información personal.

• Esta página es exactamente igual que la legítima de la entidad —algo sencillo copiando el código fuente (HTML)— y su dirección (URL) es parecida e incluso puede ser idéntica gracias a un fallo de algunos navegadores.

• Si se rellenan y se envían los datos de la página caerán directamente en manos del estafador, quien puede utilizar la identidad de la víctima para operar en Internet.
Se trata de una forma de spam (correos electrónicos no deseados) especialmente perniciosa, pues no sólo satura los buzones de basura , sino que pone en peligro la integridad de la información sensible del usuario con graves consecuencias

 

En ocasiones, el término "phishing" se dice que es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo.
De forma más general, el nombre phishing también se aplica al acto de adquirir, de forma fraudulenta y a través de engaño, información personal como contraseñas o detalles de una tarjeta de crédito, números de la seguridad social, documentos de identidad haciéndose pasar por alguien digno de confianza con una necesidad verdadera de tal información en un e-mail parecido al oficial, un mensaje instantáneo o cualquier otra forma de comunicación. Es una forma de ataque de la ingeniería social. Puede verse un ejemplo en http://purl.org/net/tbc/misc/phish001.htm (en inglés).

El Anti-Phishing Working Group, organización creada en EEUU para combatir este fraude, asegura que el número y sofisticación del ‘phishing’ enviado a los consumidores se está incrementando de forma dramática y que “aunque la banca online y el comercio electrónico son muy seguros, como norma general hay que ser muy cuidadoso a la hora de facilitar información personal a través de Internet”.

El término phishing fue creado a mediados de los años 90 por los crackers que procuraban robar las cuentas de AOL. Un atacante se presentaría como empleado de AOL y enviaría un mensaje inmediato a una víctima potencial. El mensaje pediría que la víctima revelara su contraseña, con variadas excusas como la verificación de la cuenta o confirmación de la información de la facturación. Una vez que la víctima entregara la contraseña, el atacante podría tener acceso a la cuenta de la víctima y utilizarla para cualquer otro propósito, tales como Spamming.

 

 

Algunos datos de esta página han sido tomados de la definición de ‘phising’ en Wikipedia