Las profundidades del Phishing

Gonzalo lvarez Maran

Qu
De pesca en Internet
Qu es el Phishing

Leccin de biologa
Ciclo de vida del Phishing

Gua para naturalistas

Taxonoma de tipos de Phishing

Vedado de pesca
Soluciones contra el Phishing

Las profundidades del Phishing

-2-

Gonzalo lvarez (CSIC)

Qu es el Phishing
Nueva forma de fraude Se basa en la picaresca (ingeniera social) Objetivo: Robo de identidad digital Impacto:
Prdidas directas: dinero robado, emisin de nuevas tarjetas, soporte telefnico, gastos judiciales Prdidas indirectas motivadas por la erosin de la confianza: vuelta a canales tradicionales de comunicacin, dao a la imagen, prdida de clientes Amenaza a las relaciones a travs del canal electrnico
Si hoy mismo recibiera un mensaje legtimo de correo de su banco, confiara en l? Las profundidades del Phishing -3Gonzalo lvarez (CSIC)

Qu es el Phishing
Un atacante (el phisher) se hace pasar por una compaa o institucin financiera de reconocido prestigio Enva mensajes de forma masiva (el primer cebo), habitualmente a travs del correo electrnico, aunque podran utilizarse otros canales Los mensajes estn dirigidos a potenciales clientes (phish, el pescado) de la organizacin suplantada Si muerden el anzuelo son redirigidos a un sito web idntico al original (el segundo cebo) Problema de autenticacin Recolecta la informacin personal Una vez robada la identidad de la vctima, el atacante podr suplantarla ante el servicio legtimo
5% de los clientes alcanzados pican Las profundidades del Phishing 2,5 millones de mensajes en un da -4Gonzalo lvarez (CSIC)

1 suplantacin: el mensaje
Necesidad de conviccin
Aspecto oficial: imagen, lenguaje, tono Cebo apetitoso para incitar al clic
Problema gravsimo de resolucin urgente Nuevos servicios u ofertas con grandes ventajas Necesidad de renovar un servicio o cuenta Inclusin de datos personales (spear phishing) Regalo, premio o promocin Ayuda humanitaria para vctimas del desastre X

Kits de phishing
Incluyen plantillas para mensajes de correo y para web Listas de destinatarios Tcnicas de blanqueo de dinero
Las profundidades del Phishing -5Gonzalo lvarez (CSIC)

2 suplantacin: el sitio web

Necesidad de conviccin
Copia idntica del sitio suplantado Detalles ms complicados
Falsificacin del URL Falsificacin de otros elementos del navegador
Candadito Barra de estado Informacin de certificados

Las profundidades del Phishing

-6-

Gonzalo lvarez (CSIC)

3 suplantacin: el cliente
Presentar la informacin personal robada
Nombre de usuario y contrasea: la ms fcil Falsificacin de tarjetas para cajeros Por desgracia, los bancos hacen poco o nada por mejorar sus dbiles mecanismos de autenticacin

Las profundidades del Phishing

-7-

Gonzalo lvarez (CSIC)

Ciclo de vida del Phishing

Las profundidades del Phishing

-8-

Gonzalo lvarez (CSIC)

Planificacin
Determinacin del objetivo
La entidad a atacar: banco, comercio Las vctimas potenciales: los clientes La informacin personal a robar: credenciales, nmeros de tarjeta, de seguridad social

Determinacin de la finalidad del ataque

Venta, explotacin, chantaje

Determinacin del canal de comunicaciones

Correo electrnico, mensajera instantnea, chat, anuncios en pginas web, troyanos
Las profundidades del Phishing -9Gonzalo lvarez (CSIC)

Preparacin
Creacin de los materiales necesarios
Plantilla para el mensaje Base de datos de destinatarios Botnet para enviar los mensajes Sitio web para recolectar los datos

Las profundidades del Phishing

-10-

Gonzalo lvarez (CSIC)

Ataque
Puesta en marcha de la infraestructura de ataque
Control de la botnet a travs del IRC Los zombies envan los mensajes a la lista

Las profundidades del Phishing

-11-

Gonzalo lvarez (CSIC)

Recoleccin
Recoleccin de la informacin personal
Correo electrnico en cuentas annimas Envo al canal de chat del bot Volcado en la BD del sitio web y consulta a travs del navegador

Las profundidades del Phishing

-12-

Gonzalo lvarez (CSIC)

Fraude
Normalmente, el phisher no explota la informacin, la vende a cashers Mercado de phishing
0,50 nmero de tarjeta vlido 100,00 cuenta bancaria completa
Nmero Saldo Tarjetas: nmero, caducidad, cvv2, PIN

Las profundidades del Phishing

-13-

Gonzalo lvarez (CSIC)

Blanqueo de dinero
Reclutamiento de muleros
Scam: Ofertas de trabajo desde casa en bolsas online de trabajo, spam, spim Crean cuenta bancaria donde reciben transferencias desde las cuentas atacadas Envan el dinero al extranjero a cambio de una comisin La polica detiene al mulero, no al casher

Las profundidades del Phishing

-14-

Gonzalo lvarez (CSIC)

Blanqueo de dinero
Fraude en cajeros
Grabacin de tarjetas de banda magntica
Algoritmo de volcado de la informacin dbiles (los bancos ms demandados) y fuertes

Retirada del mximo permitido diario

Las profundidades del Phishing

-15-

Gonzalo lvarez (CSIC)

Curiosidad
Fraude en cajeros

Las profundidades del Phishing

-16-

Gonzalo lvarez (CSIC)

Curiosidad
Fraude en cajeros

Las profundidades del Phishing

-17-

Gonzalo lvarez (CSIC)

Blanqueo de dinero
Cuentas bancarias sin fondos
Utilizadas como puentes para cadenas de transferencias

Otras entidades
Comercios electrnicos, especialmente de venta de bienes digitales: msica, software PayPal eBay Cuentas en proveedores de acceso a Internet Llamadas telefnicas desde Internet (Skype)

Las profundidades del Phishing

-18-

Gonzalo lvarez (CSIC)

Post-ataque
Desactivacin de la infraestructura de ataque Borrado de rastros Evaluacin del xito del ataque Calibracin de la respuesta de la entidad atacada y de las fuerzas del orden Aplicacin de las lecciones aprendidas a la planificacin del prximo ataque

Las profundidades del Phishing

-19-

Gonzalo lvarez (CSIC)

Taxonoma de Phishing
Atendiendo a
El canal de contacto La falsa fachada

Demo de algunos de ellos

Las profundidades del Phishing

-20-

Gonzalo lvarez (CSIC)

Canal de contacto
Insercin del hiperenlace en
Mensaje de correo Mensaje instantneo IRC Contenido web Cualquier soporte de hiperenlaces: documento Word, PDF

Modo de envo de los mensajes: ordenadores comprometidos con troyanos

Reclamo para instalar el troyano: SEX, SEX, SEX

Las profundidades del Phishing

-21-

Gonzalo lvarez (CSIC)

Falsa fachada
Tipos de ataques
Hombre en el medio (MITM) Ofuscacin de URL XSS Fijacin de sesin Maquillaje Espionaje del usuario

Las profundidades del Phishing

-22-

Gonzalo lvarez (CSIC)

Hombre en el medio (MITM)

Proxies transparentes Envenenamiento de cach DNS Ofuscacin de URL Configuracin del proxy del navegador Manipulacin del archivo HOSTS
Hackers Site

Web Cache Poisoning

user

Poisoned Cache Server

Web Server

Las profundidades del Phishing

-23-

Gonzalo lvarez (CSIC)

Ofuscacin de URL
Nombres de dominio similares Utilizacin del login para simular nombre de dominio: desactivado en las ltimas versiones de los navegadores
http://www.gruposantander.es:login.jsp? CodigoActivacionSeguridad=@3368601800

URL abreviados
http://tinyurl.com/3erp1

Las profundidades del Phishing

-24-

Gonzalo lvarez (CSIC)

Cross-Site Scripting (XSS)

El hiperenlace conduce al sitio verdadero
Todo es autntico Los certificados digitales tambin Se inserta cdigo para que el formulario se enve al sitio web del phisher

Las profundidades del Phishing

-25-

Gonzalo lvarez (CSIC)

Fijacin de sesin
El hiperenlace conduce al sitio verdadero
Todo es autntico Los certificados digitales tambin Se crea una sesin para que al autenticarse la vctima utilice el mismo testigo Conocido el testigo, se puede acceder a sus datos

Las profundidades del Phishing

-26-

Gonzalo lvarez (CSIC)

Maquillaje
Manipulacin del aspecto del navegador que ve el usuario:
Marcos ocultos Sobrescritura del contenido Substitucin grfica

Las profundidades del Phishing

-27-

Gonzalo lvarez (CSIC)

Espionaje del usuario

Registro de la actividad del usuario
Keyloggers: hardware y software Screengrabbers

Las profundidades del Phishing

-28-

Gonzalo lvarez (CSIC)

Soluciones contra el Phishing

Raz del problema: identidad digital dbil Solucin ideal: mecanismos de autenticacin robustos Soluciones actuales: parches, marketing, medidas insuficientes

Las profundidades del Phishing

-29-

Gonzalo lvarez (CSIC)

Preguntas?
gonzaloalvarez.com

Creative Commons Attribution-ShareAlike 2.0

You are free: to copy, distribute, display, and perform this work to make commercial use of this work Under the following conditions: Attribution. You must give the original author credit.

Share Alike. If you alter, transform, or build upon this work, you may distribute the resulting work only under a license identical to this one. For any reuse or distribution, you must make clear to others the license terms of this work. Any of these conditions can be waived if you get permission from the author. Your fair use and other rights are in no way affected by the above. This work is licensed under the Creative Commons Attribution-ShareAlike License. To view a copy of this license, visit http://creativecommons.org/licenses/by-sa/2.0/ or send a letter to Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.

Las profundidades del Phishing

-31-

Gonzalo lvarez (CSIC)