ZeroHost Web Hosting Argentina

Empezando por una descripción básica del phissing, es cuando alguien diseña un sitio de tal manera que se parece a otro (comúnmente bancos) para robar los datos personales.Muchas veces los clientes de hosting se confían en que su password es de alta complejidad, y realmente no es asi, sin quererlo son victimas de phissing.

¿Como evitar un ataque de Phissing?

-Usted debe asegurarse de tener al menos una password de 8 caracteres, con minúsculas, mayúsculas y números, hasta es sugerido simbolos como ¡, &, %, etc
-Si opta por cambiar su contraseña hágalo cada 3 meses y con la complejidad sugerida arriba.
-Loguearse en sitios seguros bajo https al ingresar datos personales (se visualiza un candado en la esquina inferior derecha).

Mas acerca de esta técnica:

Estafa electrónica (inglés phishing. Ver Origen de la palabra) es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea¹ o incluso utilizando también llamadas telefónicas.²
Dado el creciente número de denuncias de incidentes relacionados con el phishing se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica, campañas para prevenir a los usuarios y con la aplicación de medidas técnicas a los programas.

Técnicas de phishing

La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar el impostor. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL, http://www.nombredetubanco.com.ejemplo.com/. Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares^[17] ). Por ejemplo, el enlace http://www.google.com@members.tripod.com/ puede engañar a un observador casual y hacerlo creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente). Este método ha sido erradicado desde entonces en los navegadores de Mozilla^[18] e Internet Explorer.^[19] Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL legítima.

En otro método popular de phishing, el atacante utiliza contra la víctima el propio código de programa del banco o servicio por el cual se hace pasar. Este tipo de ataque resulta particularmente problemático, ya que dirige al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque (conocido como Cross Site Scripting) los usuarios reciben un mensaje diciendo que tienen que “verificar” sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace está modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios.

Otro problema con las URL es el relacionado con el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a d?mini?.com, aunque en el segundo las letras “o” hayan sido reemplazadas por la correspondiente letra griega ómicron, “?“). Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing^[20] o ataques homógrafos,^[21] ningún ataque conocido de phishing lo ha utilizado.

Mas acerca…(Fuente: Wikipedia)

Tags: ataques, como evitar ataques de phishing, phishing

Esta entrada fue publicada el Lunes, Octubre 13th, 2008 a las 19:01 en la categoría Notas. Puedes seguir todas las actualizaciones de esta publicación subscribiendose a nuestro feed RSS: RSS 2.0. Usted puede dejar un comentario, o trackback desde su propio sitio.