Phishing


Hace algunos años atrás estaba de moda enviar postales virtuales (gusanito.com entre otras), las cuales se transformaron en una de las primeras formas de hacer phishing. Se enviaba una supuesta postal a la víctima por mail, pero para abrirla debía ingresar los datos de su correo en una página para “confirmar” que fuera la persona que debía recibir esa postal.

¿Qué es el phishing?

Básicamente es la suplantación de identidad de sitios de credenciales u otros donde el objetivo es robar información de login (inicio de sesión), información personal, claves, información de tarjetas de crédito, entre otros.

Existen distintas formas de engañar a las víctimas para que ingresen a un link que no corresponde.

Por ejemplo, el atacante envía un correo asegurando que la cuenta tiene algún tipo de problema y debe ingresar su usuario y contraseña para bloquear accesos u otro similar. Los links son del tipo http://www.f4cebook.com/ donde es fácil confundirse si no se lee bien el url.

Ejemplo de phishing

Aquí vemos un ejemplo de ataque desde un IP interno.

El usuario al ingresar los datos, el atacante los verá en una ventana como esta.

Algunas recomendaciones

Acá la recomendación es a fijarse bien en la barra de direcciones del navegador. Específicamente 2 puntos.

El primero es evidentemente que el url o link sea el correcto. En este caso debería ser https://www.facebook.com.

El segundo es que deberia tener un certificado que acredite que es quien dice ser. Para saber esto debemos ver primero que el link comience con HTTPS y además ver un candado verde a su lado como en la imagen.

Ejemplo 2

Existen métodos en los que se puede engañar a la victima aún poniendo el url correcto en el navegador como en el siguiente ejemplo:

En este caso, el atacante debe estar en la misma red que la víctima.

Otras recomendaciones

Existen algunas formas de determinar si es realmente o no la página que dice ser. En este caso por ejemplo vemos que el url www.aiep.cl muestra la página de login de estudiantes y docentes, cosa que no ocurre en la original.

También podemos ver si es la página correcta es dar clic a algún enlace y ver si realmente redirecciona a otra página. Por lo general en el phishing sólo se clona una página de login por lo que no debería mostrar otra cosa.

Otra forma es revisar cualquier detalle que genere dudas, por ejemplo la imagen que no es visible.

Si aún desconfías de la página a la cual intentas ingresar, puedes abrir la aplicación CMD de Windows y dar un ping a la url.

En este caso el ping me devuelve un IP privada lo que me dice inmediatamente que existe un ataque y la web no es la correcta.

Hay páginas que han tratado de evitar la suplantación de identidad forzando a los visitantes a abrir sus páginas en HTTPS (lo que según mi punto de vista debería ser estándar en estos tiempos), por lo que al atacante sólo le queda tener suerte de que su victima no revise el URL del navegador antes de ingresar sus datos.

Mucho cuidado con los links que abran y los archivos que descarguen. A veces el mejor antivirus es la persona misma y su sentido común.