Phishing: ¿Cuáles son los puntos débiles de nuestras defensas?
El último informe de S21sec sobre el Fraude Online, muestra que el phishing sigue siendo la actividad fraudulenta predominante. Aunque técnicas más sofisticadas siguen incrementándose, llama poderosamente la atención el caso de phishing.
Las primeras investigaciones de esta amenaza datan de 1998 cuando se realizaba una investigación de malware en AOL pero se toparon con intentos de phishing en lugar de los esperados ataques de caballo de troya. [Where There's Smoke, There's Mirrors: The Truth about Trojan Horse on the Internet.]
¿Cómo es posible que una amenaza con más de 10 años siga ocupando con gran ventaja los primeros puestos?. Sabemos que funciona, pero no sabemos exactamente el por qué. (los usuarios son tontos no es una razón)
Se realizan numerosos esfuerzos desde diferentes ámbitos para la lucha contra el phishing. Interfaces de usuario con candados, https, colores en las barras de direcciones, avisos de certificados. Nuevas vías de detección de spam. Y nuevos diseños de esquemas de autenticación web con refuerzo contra el phishing. Pero da la sensación de que todo esto no sirve para nada mientras el comportamiento del usuario siga siendo el mismo: Click OK/Continue en cualquier tipo de mensaje que no se entienda; poca o nula educacion en seguridad; o el pensamiento "me da igual".
Podemos partir de que el usuario tiene una motivación limitada para combatir el phishing. No podemos esperar que lean código HTML, ni sepan como funciona el DNS, o entiendan la codificación de URIs. Tampoco entienden de certificados digitales, por lo que no pueden tomar decisiones en base a oscuros mensajes que estos presenten. Por todo ello, y porque somos víctimas de nuestra propia avaricia, los usuarios seguirán siendo engañados a través de las diferentes técnicas de phishing.
Soy de los que opinan que el phishing es un problema humano, algo que no se puede parchear, y siempre existirá, ya sea tal y como lo conocemos hoy o disfrazado dentro de nuevas amenazas que todavía ni imaginamos. Pero se lucha contra él y lo intentamos controlar, algo que si podemos. Y ahora os pregunto;
En vuestra opinión, ¿qué vías creeis que podrían ser las más útiles en la lucha contra el phishing?:
Fuente: http://blog.s21sec.com/2008/09/phishing-cuales-son-los-puntos-dbiles.html
Las primeras investigaciones de esta amenaza datan de 1998 cuando se realizaba una investigación de malware en AOL pero se toparon con intentos de phishing en lugar de los esperados ataques de caballo de troya. [Where There's Smoke, There's Mirrors: The Truth about Trojan Horse on the Internet.]
¿Cómo es posible que una amenaza con más de 10 años siga ocupando con gran ventaja los primeros puestos?. Sabemos que funciona, pero no sabemos exactamente el por qué. (los usuarios son tontos no es una razón)
Se realizan numerosos esfuerzos desde diferentes ámbitos para la lucha contra el phishing. Interfaces de usuario con candados, https, colores en las barras de direcciones, avisos de certificados. Nuevas vías de detección de spam. Y nuevos diseños de esquemas de autenticación web con refuerzo contra el phishing. Pero da la sensación de que todo esto no sirve para nada mientras el comportamiento del usuario siga siendo el mismo: Click OK/Continue en cualquier tipo de mensaje que no se entienda; poca o nula educacion en seguridad; o el pensamiento "me da igual".
Podemos partir de que el usuario tiene una motivación limitada para combatir el phishing. No podemos esperar que lean código HTML, ni sepan como funciona el DNS, o entiendan la codificación de URIs. Tampoco entienden de certificados digitales, por lo que no pueden tomar decisiones en base a oscuros mensajes que estos presenten. Por todo ello, y porque somos víctimas de nuestra propia avaricia, los usuarios seguirán siendo engañados a través de las diferentes técnicas de phishing.
Soy de los que opinan que el phishing es un problema humano, algo que no se puede parchear, y siempre existirá, ya sea tal y como lo conocemos hoy o disfrazado dentro de nuevas amenazas que todavía ni imaginamos. Pero se lucha contra él y lo intentamos controlar, algo que si podemos. Y ahora os pregunto;
En vuestra opinión, ¿qué vías creeis que podrían ser las más útiles en la lucha contra el phishing?:
- Mejores interfaces de usuario. (más esfuerzo por parte de fabricantes de navegadores web)
- Nuevos modelos de autenticación web. ( o el uso de modelos de autenticación de red seguros, tipo kerberos, en entornos web)
- Uso de nuevas tecnologías como DKIM.
- Concienciación, programas de formación y sensibilización a los usuarios. Porque si algo sabemos, es cual es el eslabón más débil.
- Otros. ¿Cuales?
Fuente: http://blog.s21sec.com/2008/09/phishing-cuales-son-los-puntos-dbiles.html
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!