Phishing
| ||||||
Phishing. Término proveniente del inglés con que se ha descrito a los robos de identidad realizados por correo electrónico y teléfono, en el que el estafador se hace pasar por una entidad o empresa prestataria (que presta) de servicios al individuo en cuestión, de manera que pueda este último le confíe al primero información personal sobre cuentas bancarias, contraseñas, y datos similares. También se le conoce como brand spoofing y/o carding.
Origen del término
El término phishing proviene de la palabra inglesa fishing (pesca), haciendo alusión al intento de hacer que los usuarios "piquen en el anzuelo". A quien lo practica se le llama phisher. También se dice que el término "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo, dado que el dígrafo 'ph' es comúnmente utilizado por los hackers para sustituir la 'f', como raíz de la antigua forma de hacking telefónico conocida como phreaking. El término phishing apareció por primera vez en enero de 1996, en el grupo de noticias de hackers alt.2600, aunque es posible que el término ya hubiera aparecido anteriormente en la edición impresa del boletín de noticias hacker "2600 Magazine". El término 'phishing' fue adoptado por quienes intentaban "pescar" cuentas de miembros de America Online (AOL). Por lo general son los individuos clientes de bancos y servicios de pago en línea los blancos de los ataques de phishing. Las redes sociales también se han convertido en blanco de ataques de phishing.
Técnicas
La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar el impostor. Direcciones URL mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, tales como http://www.nombredetubanco.com/ejemplo. Otra forma para disfrazar enlaces es el de utilizar direcciones que contengan el símboo de la arroba [@], para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares), como en el enlace http://www.google.com(arroba -@-)members.tripod.com/ puede engañar a un observador casual y hacerlo creer que el enlace va a abrir en la página de http://www.google.com, cuando realmente el enlace envía al navegador a la página de http://members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente). Este método ha sido erradicado desde entonces en los navegadores de Mozilla e Internet Explorer. Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. ---Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL ilegítima--- Otro método de phishing muy extendido es el Cross Site Scripting, en que el atacante utiliza contra la víctima el propio código de programa del banco o servicio por el cual se hace pasar. Este tipo de ataque resulta particularmente problemático, ya que dirige al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace está modificado para realizar este ataque, siendo muy difícil de detectar si no se tienen los conocimientos necesarios. Otra técnica de ataque de phishing es el llamado IDN spoofing (o también ataques homógrafos), relacionado con el manejo del Nombre de dominio internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dοminiο.com, aunque en el segundo las letras "o" hayan sido reemplazadas por la correspondiente letra griega ómicron ("ο"). Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. El phishing también ha dado lugar al lavado de dinero.
