Phishing es un término utilizado en informática con el cual se denomina el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta, como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria. El estafador, mejor conocido como phisher se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.
Dado el creciente número de denuncias de incidentes relacionados con el phishing se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica, campañas para prevenir a los usuarios y con la aplicación de medidas técnicas a los programas.
El término phishing viene de la palabra en inglés "fishing" (pesca) haciendo alusión al acto de pescar usuarios mediante señuelos cada vez más sofisticados y de este modo obtener información financiera y contraseñas. Quien lo practica es conocido con el nombre de phisher.
La primera mención del término phishing data de enero de 1996
Los intentos más recientes de phishing se han comenzado a dirigir a clientes de bancos y servicios de pago en línea. Aunque el ejemplo que se muestra en la primera imagen es enviado por phishers de forma indiscriminada con la esperanza de encontrar a un cliente de dicho banco o servicio, estudios recientes muestran que los phishers en un principio son capaces de establecer con qué banco una posible víctima tiene relación, y de ese modo enviar un e-mail, falseado apropiadamente, a la posible víctima. Algunos experimentos han otorgado una tasa de éxito de un 70% en ataques phishing en redes sociales.
Técnicas de phishing
1. Se difunde de forma masiva un mensaje (spam) en el que se informa de que los usuarios de ‘caja-bancoX’ deben confirmar sus datos de acceso a su cuenta bancaria.
2. El mensaje incluye un enlace a una página desde la que debe realizar la confirmación de los datos.
3. El usuario accede al enlace que lleva a una página ‘similar’ a la auténtica de ‘caja-bancoX’ y con toda confianza introduce en ella sus datos.
4. Como la página es falsa y está controlada por los estafadores, son ellos los que realmente reciben los datos del usuario, y con ellos tienen libre acceso a la cuenta real del usuario estafado.
Lavado de dinero producto del phishing
Se está tendiendo actualmente a la captación de personas por medio de e-mails, chats, irc, y otros medios, donde empresas ficticias ofrecen trabajo a las mismas, instándolas a ejercer desde su propia casa y ofreciendo amplios beneficios. Todas aquellas personas que aceptan se convierten automáticamente en víctimas que incurren en un grave delito bajo su ignorancia: el blanqueo de dinero obtenido a través del acto fraudulento de phishing.
Para que una persona pueda darse de alta con esta clase de empresas debe rellenar un formulario en el cual se indicarán entre otros datos, la cuenta bancaria. Esto tiene la finalidad de ingresar en la cuenta del trabajador-víctima el dinero procedente de las estafas bancarias realizadas por el método de phishing. Una vez contratado la víctima se convierte automáticamente en lo que se conoce vulgarmente como mulero.
Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su cuenta bancaria y es avisado por parte de la empresa del mismo. Una vez hecho este ingreso la víctima se quedará un porcentaje del dinero total, pudiendo rondar el 10%-20%, como comisión de trabajo y el resto lo reenviará a través de sistemas de envío de dinero a cuentas indicadas por la seudo-empresa.
Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad económica) esta se ve involucrada en un acto de estafa importante, pudiéndose ver requerido por la justicia, previa denuncia de los bancos. Estas denuncias se suelen resolver con la imposición de devolver todo el dinero sustraído a la víctima, obviando que esta únicamente recibió una comisión.
Daños causados por el phishing
Los daños causados por el phishing oscilan entre la pérdida del acceso al correo electrónico a pérdidas económicas sustanciales.
Se estima que entre mayo del 2004 y mayo del 2005, aproximadamente 1.2 millones de usuarios de computadoras en los Estados Unidos tuvieron pérdidas a causa del phishing, lo que suma a aproximadamente $929 millones de dólares. Los negocios en los Estados Unidos perdieron cerca de 2000 millones de dólares al año mientras sus clientes eran víctimas.[20] El Reino Unido también sufrió el alto incremento en la práctica del phishing. En marzo del 2005, la cantidad de dinero que perdió el Reino Unido era de aproximadamente £12 millones de libras esterlinas.
Anti-Phishing
Existen varias técnicas diferentes para combatir el phishing, incluyendo la legislación y la creación de tecnologías específicas que tienen como blanco evitar el phishing.
Respuesta social
Una estrategia para combatir el phishing consiste en entrenar a los usuarios como enfrentarse a posibles ataques de phishing.
Un usuario que es contactado sobre la necesidad de "verificar" un cuenta puede o bien contactar con la compañía la cual es tema del correo, o puede teclear la dirección web de un sitio web seguro en la barra de direcciones de su navegador, para evitar el enlace en el mensaje sospechoso de phishing. Muchas compañías, incluyendo eBay y PayPal, siempre se dirigen a sus clientes por su nombre de usuario en los correos electrónicos, de manera que si un correo electrónico se dirige al usuario de una manera genérica como ("Querido miembro de eBay") es probable de que sea un intento de phishing.
Respuestas técnicas
Varios programas de software anti-phishing están disponibles. La mayoría de estos programas trabajan identificando contenidos phishing en sitios web y correos electrónicos; El software anti-phishing puede integrarse con los navegadores web y clientes de correo electrónico como una barra de herramientas que muestra el dominio real del sitio visitado. Los filtros de spam también ayudan a proteger a los usuarios de los phishers, ya que reducen el número de correos electrónicos relacionados con el phishing que un usuario puede recibir.
Muchas organizaciones han introducido la característica denominada preguntas de desafío, en la que se pregunta información que sólo debe ser conocida por el usuario y la organización. Las páginas de internet también han añadido herramientas de verificación que permite a los usuarios ver imágenes secretas que los usuarios seleccionan por adelantado; sí estas imágenes no aparecen, entonces el sitio no es legítimo. Estas (y otras formas de autentificación mutua continúan siendo susceptibles a ataques, como el sufrido al banco Escandinavo Nordea a finales del 2005.
Muchas compañías ofrecen a bancos y otras entidades que sufren de ataques de phishing, monitorización continua, analizando y utilizando medios legales para cerrar páginas con contenido phishing.
El Anti-Phishing Working Group, industria y asociación que aplica la ley contra las prácticas de phishing, ha sugerido que las técnicas convencionales de phishing podrían ser obsoletas en un futuro a medida que la gente se oriente sobre los métodos de ingeniería social utilizadas por los phishers. Ellos suponen que el pharming y otros usos de malware se van a convertir en herramientas más comunes para el robo de información.
Fuente | Wikipedia
