Edit this entry.

Robo de Información personal online

Posted: November 22, 2010 by rga17 in Uncategorized

El presente documento tiene como objetivo presentar la evolución de las técnicas para obtener información

confidencial o privada en Internet, ya sea a través de sitios web o a través de programas dañinos. Además, se

presentan los consejos básicos para reconocer y evitar este tipo de ataques tanto en un ambiente hogareño

como en uno corporativo.

Desde el nacimiento del comercio electrónico, los servicios ofrecidos a través de Internet cambiaron

radicalmente la manera de hacer negocios ampliando significativamente su horizonte al establecer

nuevos modelos de mercado.

Uno de los servicios más representativos surgidos de este nuevo modelo de negocio, es el que brindan las

entidades financieras y bancarias al facilitar la realización de operaciones de cualquier tipo, requiriendo

para ello tan sólo una conexión a Internet. Esto posibilita una manera cómoda y eficiente de interactuar

con las organizaciones, desde la tranquilidad del hogar y sin la necesidad de trasladarse hasta el lugar

físico de la misma.

Paralelamente al surgimiento de este modelo de negocio online, fueron apareciendo nuevos y cada vez

más complejos ataques informáticos que buscan obtener información confidencial de los usuarios, dando

lugar a una nueva modalidad delictiva, encuadrada dentro del marco de las estafas.

Las estafas y fraudes (físicos) no son delitos nuevos y están regulados por leyes en la mayoría de los países

del mundo. Sin embargo, el robo de información confidencial a través de medios virtuales, aprovechando

las ventajas y facilidades que ofrece Internet, es un nuevo desafío para las jurisprudencias internacionales.

Dependiendo de la legislación de cada país, estos fraudes muchas veces no son ilegales debido a que las

leyes no las consideran, destacándose una falta importante de acciones en este sentido.

Las técnicas de ataque son utilizadas con fines de lucro, aprovechando las nuevas tecnologías y su

evolución constante. Actualmente, las personas que realizan estas acciones se apoyan fundamentalmente

en el empleo de sitios web falsos y de códigos maliciosos, que poseen la capacidad de registrar la

información ingresada por el usuario.

En los últimos años se ha registrado un mayor incremento de estas modalidades delictivas,

convirtiéndose en la principal y más peligrosa amenaza para los usuarios que hacen uso de servicios

online.

Robo de Información personal online

3

Metodologías

A continuación, se exponen dos de los principales métodos actuales para obtener información personal

de usuarios. El primero de ellos, el phishing, hace referencia a la obtención de información confidencial en

sitios web, y el segundo, los troyanos bancarios (bankers) refieren a la utilización de códigos maliciosos

para el mismo fin.

El Phishing

El phishing es una modalidad de obtención de información llevada a cabo a través de Internet que

intenta obtener, de manera completamente involuntaria y fraudulenta, datos personales o sensibles que

posibiliten realizar una estafa, utilizando metodologías de Ingeniería Social

[1]

Los Códigos Maliciosos

A continuación, se exponen aquellos tipos de ataques de malware más representativos de la actualidad

haciendo referencia a su línea evolutiva a largo del tiempo.

Backdoor

A finales de los ‘90, las aplicaciones backdoor, como Sub7 o BackOriffice

[2]

Robo de Información personal online

4

distintos servicios y/o productos en forma fraudulenta, perjudicando directamente al dueño real de la

tarjeta.

Keylogger

Estas aplicaciones son troyanos y se caracterizan por poseer la capacidad de capturar y monitorear, de

manera oculta, todo aquello que se escribe a través del teclado e incluso con el clic del mouse. Además,

existen dispositivos físicos que se acoplan a modo de adaptadores al equipo y cuyas funcionalidades son

similares a las de un keylogger de software.

Un atacante busca instalar keyloggers en el sistema de la víctima y configurarlo para que le envíe toda la

información que haya capturado y almacenado, incluyendo las contraseñas de acceso a diferentes

servicios, como por ejemplo el Home Banking.

Troyanos bancarios (bankers)

La evolución de los códigos maliciosos fue dando origen a nuevas estrategias de engaño que permiten

obtener información particular de las computadoras comprometidas a través de troyanos.

Debido a sus características singulares, algunos de estos códigos maliciosos, reciben el nombre genérico

de troyanos bancarios, ya que su objetivo general es obtener información bancaria de los usuarios.

Tipos de ataques

Una vez descriptas algunas de las herramientas utilizadas por los delincuentes, es necesario estudiar las

diversas metodologías y tipos de ataques posibles que buscan robar información confidencial del usuario

para utilizarla fraudulentamente para adquirir productos o servicios:

Ataques de phishing basados en suplantación

En estos casos, la metodología consiste en suplantar la dirección verdadera de un sitio web por una

dirección falsa. Entre las técnicas que se utilizan para llevar a cabo ataques de phishing por suplantación,

los más utilizados son los siguientes:

·

Nombres de dominios erróneos:

http://www.bancoenlinea.com

 http://www.bancoenlineas

Robo de Información personal online

5

Es decir, para la primera dirección verdadera,

http://www.bancoenlinea.com

http://www.bancoenlineas.com

typosquatting1,

http://www.banc

0

Donde la letra “

o” se ha remplazado por el número “0

·

Ofuscación de URL:

2

 

http://201.60.31.236/

 

http://0xc9.0x3c.0x1f.0xec/

 

http://0311.0074.0037.354/

Para más información al respecto, se sugiere la lectura del curso “Seguridad en las transacciones

comerciales en línea” disponible en la Plataforma Educativa de ESET Latinoaméricanb

Visualización de la dirección en sistema octal:

Visualización de la dirección en sistema hexadecimal:

Visualización de la dirección en sistema decimal:

de URL.

En este caso, el phisher busca dificultar la lectura de la URL a través de diferentes trucos que

básicamente consisten en ocultar la dirección web codificando la dirección IP de distintas

maneras. Como resultado, lo que el usuario visualiza en la barra de navegación podría ser algo

similar a lo siguiente:

se crea un sitio web falso ocultando, o evitando la fácil lectura, de ladirección o URL a la que el usuario ingresa. Esta técnica es denominada ofuscación

 

”.

enlinea.com

el atacante puede “jugar” con los

caracteres y registrar una dirección web que a simple vista parece la original, como por ejemplo:

.

El truco radica en registrar un nombre similar al original, por lo general agregando o cambiando

alguna de los caracteres del dominio original. Con esto, se logra que el usuario ingrese al sitio

falso cuando comete el error de tipear la URL o cuando ingresa desde un enlace sin notar la

diferencia en el nombre del dominio.

En esta metodología, conocida como

, el phisher registra unadirección similar

 

.com.

consiste en registrar dominios similares a los utilizados por las

entidades bancarias. Fue una de las primeras formas explotadas y si bien los sitios pueden ser

fácilmente rastreados e inhabilitados, sigue siendo utilizado en la actualidad. Ejemplo:

, dieron origen al robo de

información de forma remota. Dichas aplicaciones poseían componentes que permitían interceptar

cualquier tipo de información y enviarla al atacante a través de la red.

En ese momento, la información relacionada a tarjetas de crédito podía ser parte de los objetivos de las

personas malintencionadas que utilizaban estas aplicaciones, para luego usar esos datos para adquirir

.

Los primeros casos de phishing a entidades bancarias fueron reportados en Estados Unidos durante el

2003 y desde entonces, esta modalidad delictiva se ha ido diseminando a lo largo del planeta,

constituyendo en la actualidad una de las principales amenazas para cualquier sitio que maneje

información confidencial.

La mayoría de los casos de ataques de phishing se presentan ante los usuarios en forma de correo

electrónico masivo (spam) invitándolo a ingresar a un sitio web similar al de la entidad financiera para

solicitarle información confidencial (usuario, contraseña, PIN, número de tarjeta de crédito, etc).

Edit this entry.

fraudes electronicos

Posted: November 22, 2010 by rga17 in Uncategorized

 

Estas conductas consisten en la manipulación ilícita, a través de la creación de datos falsos o la alteración de datos o procesos contenidos en sistemas informáticos, realizada con el objeto de obtener ganancias indebidas.

Los distintos métodos para realizar estas conductas se deducen, fácilmente, de la forma de trabajo de un sistema informático: en primer lugar, es posible alterar datos, omitir ingresar datos verdaderos o introducir datos falsos, en un ordenador. Esta forma de realización se conoce como manipulación del input.

Ulrich Sieber, cita como ejemplo de esta modalidad el siguiente caso tomado de la jurisprudencia alemana:

Una empleada de un banco del sur de Alemania transfirió, en febrero de 1983, un millón trescientos mil marcos alemanes a la cuenta de una amiga -cómplice en la maniobra- mediante el simple mecanismo de imputar el crédito en una terminal de computadora del banco. La operación fue realizada a primera hora de la mañana y su falsedad podría haber sido detectada por el sistema de seguridad del banco al mediodía. Sin embargo, la rápida transmisión del crédito a través de sistemas informáticos conectados en línea (on line), hizo posible que la amiga de la empleada retirara, en otra sucursal del banco, un millón doscientos ochenta mil marcos unos minutos después de realizada la operación informática.

En segundo lugar, es posible interferir en el correcto procesamiento de la información, alterando el programa o secuencia lógica con el que trabaja el ordenador. Esta modalidad puede ser cometida tanto al modificar los programas originales, como al adicionar al sistema programas especiales que introduce el autor.

A diferencia de las manipulaciones del input que, incluso, pueden ser realizadas por personas sin conocimientos especiales de informática, esta modalidad es más específicamente informática y requiere conocimientos técnicos especiales.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: