7 abr 2011

44 formas de protegerse del Phishing

Es una estafa que genera miles de millones de dolares aún cuando el 5 por ciento de los dardos den en el blanco, amenaza la integridad de las transacciones en Internet entre clientes y las empresas con negocios en linea. Es un constante juego del gato y el ratón entre los perpetradores y los muchachos de seguridad pisándoles los talones - phishing, carding, falsificación de marca, falsificación de web - llámelo como quiera, no se escapa del hecho que la amenaza de esta estafa se está poniendo cada día más peligrosa.

Los delincuentes tienen a su disposición un arsenal de armamento - enlaces aparentemente inocuos incluidos en los correos que redirigen a sitios falsos, ventanas emergentes que lo alientan a ingresar información sensible, direcciones URL que ocultan la dirección real de la web que aparecerá, registradores de teclado que acechan esperando capturar sus usuarios y contraseñas apenas los tipee. No necesita ser necesariamente un conocedor técnico para protegerse de los ataque de phishing, es suficiente con mantenerse atento, estar más o menos al tanto que no todos los sitios en Internet son algo genuino, y seguir uno o una combinación de los siguientes 44 consejos.

Simple, pero efectivo ...


1. Nunca confíe en extraños: Las mismas reglas que nos enseñaron cuando eramos niños entran en juego aquí, NO abra correos de gente que no conoce. Fije su filtro de correo basura y spam para que le entregue solo contenido de aquellos que figuran en su libreta de direcciones.

2. Eluda los enlaces: ¿Qué sucede si su filtro de spam es engañado para que le entregue correo basura en su bandeja de entrada y usted lo abre? Simple - NUNCA haga clic en los enlaces de su correo.

3. Proteja su privacidad: Sucedió que su ratón se movió sobre el enlace y quien lo iba a decir, es llevado a otro sitio web que le pide que ingrese información sensible como nombres de usuario, números de cuenta, contraseñas y números de tarjeta de crédito y de seguro social. Solo esto: NO LO HAGA.

4. No tema: Generalmente estos sitios web falsos vienen con amenazas o advertencias que su cuenta está en peligro de ser desactivada si no confirma su información de usuario, o que la agencia de impuestos le va a hacer una visita si no cumple con lo que se dice en esa página. Sencillamente IGNÓRELOS.

5. Levante el teléfono y llame: Si tiene dudas que se podría tratar de algo legítimo, y que su banco realmente le está pidiendo que revele información sensible por Internet, LLAME a su representante de cuenta antes de hace algo imprudente.

6. Use el teclado, no el ratón: ESCRIBA las direcciones URL en lugar de hacer clic en enlaces para sitios de compras online y sitios de bancos que típicamente le pide el número de tarjeta y el número de cuenta.

7. Busque el candado: Los sitios válidos que usan cifrado para transferencia segura de información se caracterizan por el candado en la parte inferior derecha del navegador, NO en la página web. También tienen la dirección que comienza con https:// en lugar del usual http://

8. Descubra la diferencia: A veces la sola presencia del candado es suficiente prueba de que el sitio es auténtico. Para verificar su autenticidad, haga doble clic en el candado y le mostrará el certificado de seguridad del sitio, y VERIFIQUE que el nombre del certificado y la barra de dirección coincidan. Si no es así está en un sitio problemático, así que salga de allí.

9. La segunda vez bien: Si le preocupa haber llegado a un sitio de phishing que se hace pasar por la página de su banco, a veces la mejor forma de verificarlo es ingresar una contraseña INCORRECTA. El sitio falso la aceptará, y usualmente será redirigido a una página que dice que están teniendo dificultades técnicas, si podría intentar más tarde. Su sitio bancario real sencillamente no le permitirá ingresar.

10. Una contraseña diferente aquí: Use contraseñas DIFERENTES en sitios diferentes; se que es algo duro de pedir en estos días donde la mayoría de las tareas mentales se las pasamos a la tecnología, pero es una buena forma de impedir que los phishers consigan sus transacciones sensibles, incluso si ya consiguieron comprometer una.

11. Mantenga abierto sus ojos:  Un correo spam está lleno de errores gramaticales, generalmente no está personalizado, y contiene o bien un enlace o un archivo adjunto sospechoso. RECONÓZCALO e infórmelo como spam.

12. Lo que se tiene no se aprecia: ¿No está seguro de poder identificar el correo de un phisher cuando lo recibe? Bueno, MIRE, estos, estos y estos) y sabrá como son en general. Tarde o temprano aprenderá a identificar los falsos.

13. La codicia no paga: NUNCA se deje atrapar por ofrecimientos de dinero para participar en encuestas que le piden información sensible. Puede que obtenga los $20 prometidos, pero también es altamente probable que encuentre que le vaciaron la cuenta.

14. No se vaya: No deje SOLA su computadora cuando está operando con su cuenta bancaria o cuando ha ingresado su información de tarjeta de crédito en un sitio de compras.

15. Cerrar la sesión apropiadamente cuenta: Cuando termine con sus cosas, CIERRE APROPIADAMENTE la sesión en lugar de  solo cerrar la ventana del navegador, especialmente si está en una terminal pública.

16. Nunca puede ser demasiado prudente: INGRESE a su cuenta bancaria en forma regular y controle su dinero. No querrá levantarse un buen día y encontrar que un phisher ha estado vaciándole algunos cientos de dolares de vez en cuando.

17. Un poco de conocimiento no es peligroso: Manténgase actualizado con las últimas noticias e INFORMACIÓN sobre phishing.

18. Evidencia concluyente: Sea muy cuidadoso cuando deshecha computadoras viejas y disco rígidos. Se suele encontrar en computadoras recicladas que retienen información confidencial correspondiente a cuentas de banca electrónica. Use un software para BORRAR y sobre-escribir la información de su disco para asegurarse que no sea recuperable.

Para negocios como de costumbre ...

19. Lo conozco, ¿o no? Cuídese del SPEAR PHISHING – cuando su cuenta corporativa es comprometida y correos que solicitan información privada viene según dicen de sus colegas o de sus superiores, es mejor llamar a la persona en cuestión y verificar la autenticidad del mensaje de correo.

20. Examine los registros: Como miembro de una organización empresarial, hay mucho que puede hacer para impedir que los phishers pongan en peligro la seguridad de su empresa. Instale firewalls y tenga su sistema anti-virus a punto. MONITOREE regularmente los registros de sus servidores DNS, proxy, firewalls y otros sistemas de detección de intrusos para verificar si ha sido infectado.

21. La política es la mejor política: Establezca POLÍTICAS estrictas para la creación de contraseñas en sus clientes, servidores y routers, y asegúrese que el personal las sigue diligentemente.

22. Sin intrusiones: Establecer la detección de intrusos y sistemas de prevención que protejan el contenido de su red e impidan el envío y recepción de correos phishing. Proteja su GATEWAY con herramientas anti-phishing y anti-virus, y con firewalls.

23. Vigile la compañía que mantiene: Mantenga una lista de los DISPOSITIVOS aprobados que está habilitados para conectarse a la red de su compañía.

Ponga a la tecnología de su lado…

24. Es una cuestión de confianza: Una pregunta importante es, ¿puede confiar en que el certificado de ese sitio es auténtico? VeriSign fue culpable de emitir certificados de seguridad a sitios que afirmaban ser parte de Microsoft, no hace mucho tiempo atrás. Las últimas versiones de los navegadores, IE7 y Opera 9 pronto podrán darle a los usuarios con EV SSL (SSL de Validación Extendida) certificados que les aseguran estar en un sitio genuino. La barra de dirección muestra en verde para los sitios buenos y en rojo para los dudosos.

25. De los phishers con codicia: Los correos electrónicos también pueden ser falsos. La única forma de saber que no, es usar clientes que soporte las firmas digitales S/MIME. Primero verifique que la dirección del remitente es la correcta y después vea la firma digital. Esta es una táctica anti-phishing muy efectiva ya que la firma es generada por el cliente después que el se ha abierto y autenticado el correo, y porque está basada en técnicas criptográficas robustas.

26. Mantengase al día o sino: Asegúrese que su sistema operativo y navegadores se ACTUALICEN regularmente. Verifique que los últimos parches se apliquen de inmediato.

27. Construya esa valla: PROTEJA su computadora con software anti-virus y anti-spam efectivo, y configure el firewall para mantener a raya esos furtivos troyanos. Son capaces de la peor clase de phishing - instalar subrepticiamente software de registro de teclado en su sistema que captura todo lo que escribe y lo envía a los pillos en algún lugar desconocido. Lo que es peor aún es que la infección se propaga de su PC a otros sistemas de su red, hasta que todas las computadoras quedan comprometidas.

28. Dos es mejor que uno: Use doble factor de autenticación para registrarse en sitios confidenciales. La COMBINACIÓN de un token de software tal como una contraseña y un dispositivo de hardware como una tarjeta de cajero automático hacen doblemente difícil de quebrantar el ingreso a una cuenta con solo uno o ninguno de los dos factores de verificación.

29. Paso a paso: Es más difícil para los phishers poder conseguir su contraseña si uno divide su proceso de ingreso en dos fases - ingresando su ID de usuario en la primera y las demás credenciales en la segunda. El proceso es aun más seguro cuando ingresa los detalles de identificación en las segunda fase solo si la ventana de ingreso está personalizada de alguna manera, por ejemplo, si una imagen explícitamente seleccionada por uno es mostrada.

30. No solo un token: Considere usar un ID Vault USB TOKEN que cifra todos sus usuarios y contraseñas y los almacena en un dispositivo de memoria flash, que puede ser usado para ingresar de forma segura en los sitios web. La mayoría de los token vienen con una lista de sitios legítimos y también impiden que el software de grabación de teclado pueda funcionar efectivamente. El dispositivo en si mismo está protegido por contraseña de modo que los ladrones tienen una capa adicional de cifrado por superar.

31. Hash para confundir: Los agregados de software se están uniendo en la lucha contra el phishing, un ejemplo es el PwdHash, o la herramienta password HASH desarrollada por dos profesores de Stanford que cifra cualquier contraseña que uno escriba, y crea un ingreso único para cada sitio que uno visite. Incluso si los phishers consiguen la contraseña, es la equivocada.

32. Espío, no hay espías: Otra aplicación desarrollada siguiendo la linea de PwdHash, y creada también por los mismos dos profesores de Stanford, la herramienta SPYBLOCK que impide que los programas Troyano de registración de teclado puedan robar sus contraseñas.

33. Extendiendo la protección: Las extensiones de navegadores como Antiphish usado como plug-in por Firefox ofrece protección contra los ataques de phishing manteniendo LISTAS de contraseñas y otra información sensible, y emitiendo advertencias cuando los usuarios escriben esa información en sitios de phishing.

34. Políticas marco: Los bancos y casas con negocios en linea hacen bien en usar el estándar abierto SPF (Sender Policy Framework) que impide que las direcciones de correo sean falsificadas y sólo enviadas a servidores a los cuales les son permitidos enviar correo.

35. Consiguiendo confianza: Como alternativa, podrían usar un SERVICIO DE CONFIANZA como GeoTrust’s True Site que le permite a los clientes verificar la autenticidad de un sitio web.

Posible protección contra el phishing…

36. Enviar señales positivas: Las nuevas tecnologías como el Sender ID Framework (SIDF) se están uniendo en la lucha contra los sitios falsos mediante la verificación del origen de cada correo. En proyecto de Microsoft y CipherTrust.

37. Sin restringir la confianza: TrustBars, el cual es componente de navegadores seguro y a prueba de manipulación, permite la VISUALIZCION de la información relacionada a los sitios. Los usuarios son alertados mediante advertencias visibles cuando hay una discrepancia en la barra de visualización.

38. Disminuya la velocidad de esos ataques: Otra técnica, la Divulgación Retrasada de Contraseña Delayed Password Disclosure (DPD), las protestas contra las ventanas emergentes que piden detalles sensibles (acertadamente denominados ataques doppelganger window o de ventana doble) funcionan contra los ataque de phishing cuando los usuarios ingresan contraseñas letra por letra, una después de otra solo después que es reconocida la imagen.

39. Prueba positiva: Los sitios web que quieren probar que son auténticos puede usar extensiones HTML denominadas PROOFLETS para mejorar el contenidos del servidor. Estos son verificados por el navegador mediante el uso de servicios web especiales.

Enfoques alternativos…

40. Movilidad en estafas: A medida que los consumidores van entendiendo sobre las estafas que reciben, los phishers se están moviendo a nuevos medios para lanzar sus estafas. Los teléfonos móviles, una necesidad en el mundo de hoy, son el último blanco. Los mensajes de texto supuestamente originados desde su banco advirtiéndole que a menos que uno confirme su información de cuenta, esta será deactivada. IGNORE esos mensajes, siempre son spam.

41. Dudas cantadas: Otra área caliente de actividad, la tecnología VoIP, está siendo aprovechada como una herramienta de phishing con alarmante regularidad. Los estafadores la encuentran RENTABLE para hacer numerosas llamadas y ganar sumas bien superiores a los gastos que tuvieron. Esto es doblemente peligroso porque la gente, que vería con sospechas un correo electrónico, en general tiende a creer las llamadas telefónicas.

Hacer la diferencia…

42. Únase a la lucha: Si se encuentra con una estafa de phishing, DENÚNCIELO de inmediato al  Anti-Phishing Working Group, al U.S. Federal Trade Commission (FTC) y al FBI mediante el Internet Fraud Complaint Center, ambos de los cuales trabajan para cerrar sitios de phishing y atrapar a los responsables.

43. Diga adiós:  Si alguna de sus cuentas ha sido comprometida, CIÉRRELAS de inmediato.

44. Cambiar es bueno: Si siquiera sospecha que alguna de sus contraseñas cayó en manos equivocadas, CAMBIE todas las contraseñas y números de PIN en las cuentas en linea inmediatamente.

El phishing es un área de actividad donde la ignorancia nunca es gozo. En tanto haya gente crédula, habrán delincuentes para aprovecharse de las vulnerabilidades humanas tales como el descuido, la pereza, la codicia y la ignorancia. Con la ayuda de la tecnología, estos ataques se incrementan día a día. Estar un poco alerta  ayuda en la lucha contra estos cibercriminales.

Traducción: Raúl Batista - Segu-Info
Fuente: Focus

Suscríbete a nuestro Boletín

3 comentarios:

  1. Voy a copiar este tutorial y enviarseo a todos mis amigos para ampliar la red "Anti-Phishing".
    Muchas gracias por compartir estos conocimientos.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!