lunes, mayo 30, 2005

 

A vueltas con el Phishing

De un tiempo a esta parte, en el servidor de correo del curro, venimos recibiendo una cantidad bastante alarmante de ataques de phishing y, dándole vueltas a la cabeza, cada día estoy más convencido de que, o sabes lo que te haces al "conectarte" o corres serio peligro de quedarte sin un céntimo en tu cuenta bancaria, sin tu privacidad, etc.

Dado que se le está prestando atención desde medios generalistas sobre los peligros de este tipo de ataque, en los cuales recomiendan que denuncies, quise comprobar como de efectivas son estas denuncias. En mi caso, mi denuncia no se dirigió al Grupo de Delitos Telemáticos de la Benemérita sino que quise comprobar como de rápido actúan los que realmente tienen la sartén por el mango: Los proveedores de servicios de Internet. Así que, después de coger un phishing al azar, saqué la información relevante tanto de las cabeceras del mensaje como del servidor donde se alojaba la página de palo y mandé correos a las direcciones "abuse" de los proveedores que estaban dando servicio al atacante. El resultado fue muy satisfactorio: al día siguiente recibí las respuestas comunicando que ya habían tomado las acciones pertinentes. Efectivamente, la página de palo (intentando emular la del BBVA) ya no era operativa.

Este tipo de ataques aprovechan la inocencia de los usuarios para obtener sus credenciales de acceso, con lo que en principio, las páginas de los bancos no tienen porqué tener problema de seguridad alguno. Pero leyendo Barrapunto me topé con una entrada en una bitácora en la que describían una nueva técnica de phishing más avanzada. La bitácora enlazaba al artículo original de la gente de Hispasec que analizaba la "nueva técnica" y, como usuario de servicios de banca electrónica, me tenía que enterar del asunto.

Al final esa nueva técnica no era más que una fallo garrafal de diseño en la página del banco en cuestión, que permitía una ataque XSS excesivamente obvio. Por supuesto, antes de que Hispasec publicara su artículo, avisaron al banco en cuestión para solucionar el tema y, en cinco minutos, estaba todo resuelto. Vamos, que no creo que exista esa "nueva técnica" ya que dudo que exista otro banco con semejante agujero. Si yo tuviera dinero en ese banco, no tardaría ni cinco minutos en cancelar la cuenta.

Así que, amigos, informaos bien de en qué consiste el phishing y como detectarlo para poder evitarlo. En cuanto a denunciar estos casos: no seré yo el que os diga que no vale para nada, pero, o se agiliza más el proceso de denuncia y amplían la plantilla de agentes especializados en nuevas tecnologías o es tiempo perdido. Otra cosa son las denuncias a los ISPs, que sí funcionan, pero es demasiado lío para la gente que no se dedica a esto.

Y para la gente que quiera profundizar a nivel técnico como se organizan los atacantes para llevar a cabo ataques masivos utilizando esta técnica, Honeynet.org es un punto de partida imprescindible. Una lectura realmente entretenida digna de los amantes de novela negra. Se habla de como miles y miles de ordenadores de usuarios incautos son infectados y utilizados sin su conocimiento, creándose redes que están al servicio de una o más personas para realizar ataques de phising, envío de spam, DDoS, etc. Estas redes de ordenadores "zombies" incluso se alquilan a empresas o particulares, vamos, todo un negocio.

Como decía el sargento en los "Briefing" de "Canción triste de Hill Street": "ehhh! Recuerden: tengan cuidado ahí fuera"

IamJ
Comments:
Chaval lo del phissing es como lo de las cuentas de correo mientras halla gente inocente por el mundo seguira existiendo alguien que te mange la contraseña y puede que algo mas.

Lo bueno de los bancos por lo menos el mio es que se necesitan tres contraseñas para hacer operaciones y una de ella varia cada vez que la introduces. Por lo menos es complicar un poco la vida a los cabr.....es que intentan joderte los ahorros de tu vida. Sergy
 
Publicar un comentario

<< Home

This page is powered by Blogger. Isn't yours?