Professional Documents
Culture Documents
ESET Latinoamrica: Av. Del Libertador 6250, 6to. Piso Buenos Aires, C1428ARS, Argentina. Tel. +54 (11) 4788 9213 Fax. +54 (11) 4788 9629 - info@eset-la.com, www.eset-la.com
ndice
Introduccin ................................................... 3 Formas de ataque ............................................ 5
Robo de Identidad ...................................................... 6 Prevencin ...................................................................... 6 Compromiso de cuentas e impersonalizacin de usuarios7 Phishing .................................................................... 8 Precauciones para evitar el phishing..................................12 Uso de teclados virtuales .................................................. 13 Ataques a teclados virtuales ............................................ 14
Introduccin
En el mdulo anterior se definieron los conceptos bsicos en cualquier transaccin electrnica. Cada una de estas acciones es llevada a cabo por una de las partes involucrada (usuario, cliente, proveedor de servicio, etc). En este contexto, cuando se habla de seguridad, se debe involucrar a las amenazas y los riesgos que corren cualquiera de estas partes. Estos riesgos generalmente tendrn que ver con desastres naturales y acciones hostiles, disturbios o ataques internos/externos ocasionados por el hombre. Para los fines del presente, se considerar que estas amenazas son llevadas adelante por un atacante.
Como puede verse, el atacante puede intentar vulnerar al cliente (atacando al usuario o a su sistema) o al proveedor del servicio (atacando el servidor), pero tambin puede aprovechar las debilidades de la tecnologa subyacente y que sostienen el servicio (canal de comunicacin, protocolos, fortaleza de criptografa usada, etc).
Cualquiera sea el medio elegido, el atacante podra ocasionar alguno de los siguientes tipos de dao:
La interrupcin hace que un objeto del sistema se pierda, quede inutilizable o deje de estar disponible (por ejemplo, un ataque de denegacin de servicio DDoS 1) y generalmente no estn destinados a engaar al usuario sino a la disponibilidad de un servicio determinado. Los tipos de ataques que se describirn en este documento corresponden a distintas variantes de las otras formas de ataque: una intercepcin ocurre cuando un elemento no autorizado consigue un acceso a un determinado objeto del sistema (por ejemplo, interceptar trfico de red para robar datos sensibles);
se habla de modificacin si se consigue modificar/alterar el objeto y (por ejemplo interceptar trfico y modificar el mismo para obtener datos que de otra forma no estaran disponibles); una fabricacin ocurre cuando se crea un objeto similar al atacado de forma que es difcil distinguir entre el objeto original y el creado (por ejemplo un ataque de phishing que utiliza una pgina similar a la de un banco).
Formas de ataque
Para el presente se considera que un usuario puede realizar las siguientes transacciones en los siguientes sitios: Compra/venta/alquiler de productos/servicios en sitios de venta online Compra/venta/ alquiler/remate de productos/servicios en sitios de subastas online Pago de productos/servicios en sitios de pago online Intercambio de informacin contable/financiera en bancos online. Cualquier otra accin que involucre transacciones entre dos partes comunicadas por un canal virtual como Internet.
Como ya se describi, se considera ataque a cualquier evento que tenga como objetivo malograr, intervenir o engaar a las partes involucradas en la transaccin. Tal y como sucede en el mundo real, en Internet se observa todo tipo de acciones atpicas, muchas de las cuales difcilmente pueden ser encausadas dentro del mbito legal, motivo por el cual los delincuentes se suelen sentir ms seguros para realizar sus acciones y por el cual este tipo de amenazas virtuales suelen ser numerosas. Si a esto se suma el desconocimiento general existente sobre las tecnologas y las acciones a realizar ante las entidades y la ley para denunciar este tipo de ataques, todo parece indicar que justamente Internet es tierra de nadie y un caldo de cultivo ideal para realizar engaos, fraudes, estafas, etc.
Robo de Identidad
Segn la Comisin Federal de Comercio de EE.UU. (Federal Trade Comission) 2 un robo de identidad ocurre cuando alguien utiliza informacin de identificacin personal de terceros como su nombre, nmero de razn social (DNI) o nmero de tarjeta de crdito sin su permiso para cometer un fraude u otros crmenes. Este robo de informacin puede suceder en el mundo fsico, cuando ocurre un robo de computadoras personales, billeteras, maletines y documentacin, recoleccin de basura (Dumpster Diving), llamadas telefnicas, el uso de dispositivos electrnicos para la lectura y copia de tarjeta (skimming), etc. Obviamente, este robo tambin puede ocurrir en el mundo virtual cuando por diversas acciones llevadas a cabo a travs de Ingeniera Social 3 o instalacin de malware, el usuario ve comprometida su informacin privada y que luego es obtenida por delincuentes que actan en Internet, como por ejemplo la recoleccin de datos a travs de phishing. Una vez que el delincuente se apropia de la informacin necesaria, podr cometer fraudes y estafas en distintos lugares (bancos, comercios, entidades gubernamentales, sitios financieros, etc.) debido a que tiene la posibilidad de simular ser la persona estafada.
Prevencin
La mejor forma de prevenir el robo de identidad es controlar cada una de las actividades bancarias y financieras (generalmente a travs de resmenes e informes mensuales) a fin de determinar cualquier tipo de actividad irregular que pueda indicar que otra persona est realizando acciones con sus datos privados. Esta medida debe extremarse en casos de sufrir robos de documentacin fsica en donde la informacin ya se encuentra en manos de terceros y podra ser utilizada. En cuanto al mundo virtual, las precauciones a tomar deben ir orientadas a nunca brindar informacin confidencial a travs de canales inseguros como Internet, correo electrnico,
2 3
Ms informacin: http://www.ftc.gov/bcp/edu/microsites/idtheft/consumers/about-identity-theft.html Para ms informacin consulte la Gua bsica de utilizacin de medios Informticos en forma segura de ESET en http://edu.eset-la.com
mensajera, etc. Adems, y para evitar el robo de informacin a travs de programas dainos, es aconsejable utilizar medidas de seguridad como el uso de: Antivirus con capacidades proactivas Firewall personal Antispyware Antispam El equipo informtico con cuentas no administrativas.
Todas estas medidas de seguridad ya han sido analizadas previamente en la Gua bsica de utilizacin de medios Informticos en forma segura de ESET. Lamentablemente, es comn darse cuenta del robo de identidad luego de que ya se ha realizado alguna accin fraudulenta con ella. En este caso, es fundamental recurrir a los lugares donde se haya realizado el ilcito o a las entidades involucradas, y tambin denunciar el hecho a las autoridades competentes para mitigar de la forma ms rpida posible cualquier dao mayor.
La tendencia del ser humano a recordar pocos datos y sencillos dan pie a que ciertos estudios sostengan que un alto porcentaje de usuarios utilizan los mismos nombres de usuario y contrasea para esos casos. De este modo, si se compromete la cuenta del foro (porque la misma se almacena en texto claro por ejemplo), tambin se estara revelando la cuenta del sitio de subastas. Puede parece utpico tener un nombre de usuario y contrasea distintos por cada servicio que se utilice y de hecho la realidad demuestra que se tiende a ser simplistas. Ante esta situacin, la mejor recomendacin es intentar manejar datos de autenticacin ms o menos complejos de adivinar para lugares en donde la informacin manejada es sensible.
Phishing
El phishing (Password Harvesting) es la recoleccin de datos privados a travs de diferentes mtodos que generalmente involucra la Ingeniera Social para engaar al usuario. La forma ms comn de distribucin es a travs mensajes de correo electrnico que simulan provenir de entidades o sitios de confianza (comnmente por una entidad o institucin financiera). Este correo intenta engaar a los destinatarios hacindoles creer que el mensaje de correo es legal y proviene de la entidad legtima. El mensaje generalmente informa que se han perdido o se van a perder los datos personales del usuario, e invita a los destinatarios a ingresar al enlace que figura en el correo para completar el formulario con la informacin confidencial que se solicita. Si el usuario es engaado por dicho mensaje, har clic en el enlace del correo y de esta manera, ingresar a una pgina web falsa, pero generalmente muy parecida a la original de la institucin correspondiente, y all facilitar todos los datos personales a los creadores de la amenaza. Es decir que se duplica una pgina web para hacer creer al visitante que se encuentra en el sitio web original, en lugar del falso. Normalmente, se utiliza con fines delictivos enviando spam e invitando a acceder a la pgina seuelo. El objetivo del engao es adquirir informacin confidencial del usuario. El problema del phishing es el dao tangible que puede generar, porque una vez que el usuario completa los datos correspondientes dentro de la pgina web falsa, los criminales tendrn acceso a informacin sensible, como claves de acceso bancarias, nmeros de tarjetas de crdito y sus cdigos de seguridad, y toda informacin relacionada, que luego ser utilizada para estafar a la vctima o para ocasionar algn dao a su imagen o moral. La industria del phishing es tal, que incluso actualmente se venden kits prearmados para que cualquiera pueda realizar estafas de este estilo en forma sencilla.
Los medios tecnolgicos utilizados pueden variar cambiando el nombre de la amenaza como por ejemplo, que el envo de mensajes se realice a travs de telfonos mviles (Smishing) o a travs de voz sobre IP (Vishing) 4. Sin embargo, lo importante es remarcar que la metodologa y el objetivo se mantienen: engaar para robar/estafar.
10
A continuacin, se observan algunos patrones a tener en cuenta para no caer en este tipo de correos falsos:
11
6. Siempre se observa un enlace sobre el cual el usuario debe hacer clic para ingresar al sitio. Las direcciones web mostradas como enlaces en realidad conducen a otra direccin del sitio falso duplicado y construido para que el usuario ingrese sus datos sensibles. 7. Las direcciones web suelen ser largas, comenzar con nmeros (direcciones IP), nunca incluyen https como comienzo de la misma y muchas veces el sitio al que se ingresa puede tener un nombre parecido al real. Por ejemplo, en este caso, podra decir vanamex o bananex para que al usuario se le complique la identificacin del mismo. Nota importante: el caso analizado puede ocurrir con cualquier entidad o sitio web de cualquier pas del mundo. A continuacin, tambin se observan algunos patrones a tener en cuenta para no ser vctima de este tipo de engaos en sitios falsos:
12
2. Suelen contener imgenes simulando botones. 3. El correo que llega es no solicitado (generalmente spam). 4. El sitio web falso se observa de mala calidad. Esto suele suceder porque se realizan imgenes tomadas del sitio verdadero sin respetar la calidad del mismo. 5. Las URL comienzan con nmeros o con caracteres poco comunes lo que se logra a travs de una ofuscacin para engaar al usuario. Por ejemplo, la direccin 67.43.4.166 es equivalente a: 01000011.00101011.00000100.10100110 convirtiendo cada octeto a binario 01000011001010110000010010100110 eliminando los puntos 1126892710 convirtiendo en nmero anterior a decimal 0x432b04a6 el mismo nmero convertido a hexadecimal.
13
Para ms informacin consulte la Gua bsica de utilizacin de medios Informticos en forma segura de ESET en http://edu.eset-la.com
14
15
Si las posiciones en donde el usuario hace clic son sucesivamente 3-1, 1-2, 1-3 y 2-2, es fcil saber que la clave ingresada es 1895. Por esto surgi la necesidad de comenzar a mezclar el orden de aparicin de cada caracter en los teclados virtuales. Nuevamente; y buscando la solucin a este problema, los atacantes comenzaron a instalar troyanos 6 en los equipos de los usuarios con el fin de tomar capturas de pantallas para conocer el orden en que apareca el teclado virtual al momento de ingresar los datos. Luego de tener el orden, simplemente deban repetir el procedimiento anterior de conocer X e Y del clic del mouse. As, si la imagen capturada corresponda al orden de la imagen 6: x\y 1 2 3 4 1 0 7 1 2 2 8 6 4 3 9 3 5
Las posiciones sucesivas capturadas sern 3-1, 2-2, 1-3 y 3-3, volviendo a obtener la misma 1895. Como extra a esta modalidad, algunos troyanos simplemente graban un video al momento del ingreso de datos. De esta forma, el atacante al recibir el video ver la accin del usuario y el movimiento/clic del Mouse. Ante este panorama, la recomendacin es la prevencin con herramientas proactivas capaces de detectar la gran cantidad de amenazas y sus variantes actuales. De esta forma, evitando la infeccin, se podrn realizar acciones en los sitios deseados sin la preocupacin de un robo de datos sensibles por parte del malware 7.
Para ms informacin consulte la Gua bsica de utilizacin de medios Informticos en forma segura de ESET en http://edu.eset-la.com 7 dem
16
Transacciones bancarias
A la hora de realizar transacciones de Home-Banking es fundamental recordar todos los puntos ya estudiados para no caer en engaos de tipo phishing. Adems, deben considerarse los siguientes aspectos: 1. No est de ms recordar Nunca ingresar a sitios web desde enlaces provistos en correos electrnicos u otros sitios web. 2. Escribir la URL (direccin del sitio) directamente en su explorador. Si bien con esto no se asegura que el sitio al que se ingresa es el real (debido al pharming), con la aplicacin conjunta de otros procedimientos, es una buena medida a seguir. 3. Confirmar que el sitio al que accede o donde se ingresen los datos sensibles comience con https para asegurar que todas las transacciones web viajarn cifradas. 4. Acompaando a un sitio seguro (https), se debera verificar el candado en la parte inferior (barra de estado) o superior (barra de direcciones) del navegador con el cual se accede. Esta ubicacin vara segn el navegador de que se trate, como se ve a continuacin:
17
18
5. Para completar la verificacin se debe hacer doble clic sobre este candado para comprobar el certificado digital del sitio web visitado as como su validez.
Pharming
El Pharming es un tipo de ataque que permite redireccionar un nombre de dominio a una IP distinta de la original. Esto se puede realizar a travs de un servidor DNS o a travs de un archivo en el equipo del usuario (hosts), lo que se conoce como Pharming local 8. Si un usuario malintencionado logra modificar los DNS (algo un poco complejo para principiantes) o el archivo hosts local del usuario (algo sencillo con los permisos adecuados), el atacante lograr redireccionar cualquier sitio web a una pgina falsa para robar informacin del usuario. La cantidad de malware actual que se aprovecha de esta tcnica de pharming local (modificando el archivo x:\windows\system32\drivers\etc\hosts) es alta y crece continuamente debido al poco esfuerzo que requiere y a las grandes ventajas que ofrece.
Para ms informacin consulte el la Gua bsica de utilizacin de medios Informticos en forma segura de ESET en http://edu.eset-la.com
19
Un archivo hosts vlido debera contener slo la siguiente lnea: 127.0.0.1 localhost
En cambio un archivo modificado puede lucir de la siguiente manera: 67.43.4.166 67.43.4.166 67.43.4.166 127.0.0.1 www.banamex.com www.bancorio.com www.bancogalicia.com localhost
Esto significa que cualquiera de los bancos mencionados a travs de sus URL, se dirigirn a la IP 67.43.4.166, que en este caso aloja el sitio fraudulento. Para prevenir este tipo de modificaciones utilice un antivirus con capacidad de deteccin proactiva para detectar las nuevas amenazas, mantenga su antivirus actualizado y utilice su sistema operativo con los permisos adecuados evitando el uso del usuario administrador.
20
21
Conclusin
Las sumas millonarias "facturadas" por los delincuentes son el principal motivo para que las tcnicas descriptas se perfeccionen da a da, haciendo que los usuarios que realizan comercio electrnico o las empresas que realizan transacciones comerciales a travs de Internet puedan verse afectadas. El robo de informacin confidencial para la realizacin de estafas, fraudes, daos de imagen u otro ataque se ha convertido en moneda corriente tanto en la vida fsica como en la virtual y, el objetivo del presente curso ha sido capacitar sobre estas amenazas y la forma de evitarlas. Ser consciente que este tipo de amenazas existen y pueden afectar las transacciones comerciales e incluso la vida cotidiana es fundamental, y por eso la necesidad y la importancia de que todos los usuarios utilicen estas herramientas de forma segura y conociendo los riesgos existentes. En ESET creemos firmemente que este tipo de informacin ayuda a los usuarios a crecer como tales y que la responsabilidad colectiva del buen uso de Internet se ve beneficiada. La mejor forma de no ser vctima de cualquier tipo de amenaza a la hora de realizar transacciones comerciales en lnea, es conociendo los posibles riesgos y al mismo tiempo, realizando las buenas prcticas recomendadas durante el presente curso. Siguiendo dichos consejos, las transacciones comerciales en lnea son una herramienta muy til y segura para utilizar cualquier tipo de servicio financiero online.
22
Copyright 2012 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados. Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados en este curso, son marcas registradas de sus respectivos propietarios y no guardan relacin con ESET, LLC y ESET, spol. s.r.o. ESET, 2012 Acerca de ESET Fundada en 1992, ESET es una compaa global de soluciones de software de seguridad que provee proteccin de ltima generacin contra amenazas informticas. La empresa cuenta con oficinas centrales en Bratislava, Eslovaquia y oficinas de coordinacin regional en San Diego, Estados Unidos; Buenos Aires, Argentina y Singapur. Tambin posee sedes en Londres (Reino Unido), Praga (Repblica Checa), Cracovia (Polonia), San Pablo (Brasil) y Distrito Federal (Mxico). Adems de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compaa ofrece ESET Smart Security, la solucin unificada que integra la multipremiada proteccin proactiva del primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos el mayor retorno de la inversin (ROI) de la industria como resultado de una alta tasa de productividad, velocidad de exploracin y un uso mnimo de los recursos. Desde el 2004, ESET opera para la regin de Amrica Latina en Buenos Aires, Argentina, donde dispone de un equipo de profesionales capacitados para responder a las demandas del mercado en forma concisa e inmediata y un laboratorio de investigacin focalizado en el descubrimiento proactivo de variadas amenazas informticas. La importancia de complementar la proteccin brindada por tecnologa lder en deteccin proactiva de amenazas con una navegacin y uso responsable del equipo, junto con el inters de fomentar la concientizacin de los usuarios en materia de seguridad informtica, convierten a las campaas educativas en el pilar de la identidad corporativa de ESET, cuya Gira Antivirus ya ha adquirido renombre propio. Para ms informacin, visite www.eset-la.com