Phishing

Un ejemplo de un correo electrónico de phishing, disfrazado como un oficial de correo electrónico de un (ficticio) banco. El remitente está tratando de engañar al destinatario para que revele información confidencial "que confirma que" en el sitio web del phisher 's. Tenga en cuenta la falta de ortografía de las palabras recibidas y discrepancia. También tenga en cuenta que si bien el URL del banco de página web que parece ser legítimo, el hipervínculo en realidad se señaló en la página web del phisher.

Phishing es el acto de intentar adquirir información como nombres de usuario, las contraseñas y los datos de la tarjeta de crédito (y en ocasiones, indirectamente, dinero) haciéndose pasar por una entidad de confianza en una comunicación electrónica . Comunicaciones pretenden ser de populares sitios web sociales, sitios de subastas, procesadores de pago en línea o administradores de TI se utilizan comúnmente para atraer al público desprevenido. Correos electrónicos de phishing pueden contener enlaces a sitios web que están infectados con malware. El phishing se lleva a cabo normalmente por e-mail spoofing o mensajería instantánea, y que a menudo dirige a los usuarios a entrar en detalles en una página web falsa cuyo mirada y la sensación es casi idéntica a la legítima. El phishing es un ejemplo de técnicas de ingeniería social para engañar a los usuarios, y explota a los pobres usabilidad de las tecnologías de seguridad web actuales. Los intentos de hacer frente al creciente número de incidentes de phishing reportados incluyen legislación, formación de usuarios, la conciencia pública y medidas técnicas de seguridad.

Una técnica de phishing se describe en detalle en 1987, y (según su creador) el primer uso registrado del término "phishing" fue hecho en 1995. El término es una variante de la pesca, probablemente influenciado por phreaking, y alude a "cebos" que se utiliza en la esperanza de que la víctima potencial se "mordida" haciendo clic en un enlace malicioso o abrir un archivo adjunto malicioso, en cuyo caso su información financiera y contraseñas a continuación pueden ser robados.

Historia y situación actual de phishing

Una técnica de phishing se describe en detalle, en un documento y la presentación entregado a la Internacional HP Grupo de Usuarios, Interex. La primera mención registrada del término "phishing" se encuentra en la herramienta de hacking AOHell (según su creador), que incluye una función para robar las contraseñas de los usuarios de America Online. Un caso reciente y popular de phishing es la campaña de phishing chino sospecha focalización cuentas de Gmail de funcionarios de alto rango de los Estados Unidos y el Gobierno de Corea del Sur, militares y activistas políticos chinos. El gobierno chino sigue negando las acusaciones de haber participado en los ataques cibernéticos desde dentro de sus fronteras, pero la evidencia ha sido revelado que el propio Ejército de Liberación Popular de China ha ayudado a la codificación de software de ciber-ataque.

Phishing Temprano en AOL

Phishing en AOL se asoció estrechamente con la comunidad warez que intercambia software pirata y la escena de hacking que perpetró el fraude de tarjetas de crédito y otros delitos en línea. Después de AOL introdujo medidas a finales de 1995 para evitar el uso de falsa, generada algorítmicamente números de tarjetas de crédito para abrir cuentas, galletas AOL recurrieron al phishing para cuentas legítimas y explotación de AOL.

Un estafador podría hacerse pasar por un miembro del personal de AOL y enviar un mensaje instantáneo a una víctima potencial, pidiéndole que revele su contraseña. Con el fin de engañar a la víctima a renunciar a la información confidencial el mensaje podría incluir imperativos como "verificar su cuenta" o "confirmar la información de facturación". Una vez que la víctima había revelado la contraseña, el atacante podría acceder y usar la cuenta de la víctima con fines fraudulentos o spamming. Tanto el phishing y warezing en AOL programas personalizados-escrito generalmente requeridos, tales como AOHell. El phishing se hizo tan frecuente en AOL que agregaron una línea en todos los mensajes instantáneos que indica: "nadie trabajando en AOL le pedirá su contraseña o información de facturación", aunque incluso esto no impidió que algunas personas de regalar sus contraseñas e información personal si leen y creen que el IM primero. Un usuario utilizando tanto una cuenta de AIM y una cuenta de AOL de un ISP simultáneamente podría phishing miembros de AOL con relativa impunidad como cuentas de AIM a Internet podría ser utilizado por los miembros de Internet no AOL y no podía ser accionada (IE- reportado al departamento de AOL TOS para disciplinaria acción).

Finalmente, la aplicación de políticas de AOL con respecto al phishing y warez convirtió estricto y obligado software pirata de los servidores de AOL. AOL desarrolló simultáneamente un sistema para desactivar rápidamente las cuentas que participan en el phishing, a menudo antes de que las víctimas pudieran responder. El cierre de la escena warez en AOL causó la mayoría de los phishers a dejar el servicio.

El término "phishing" se dice que ha sido acuñado por el conocido mediados de 1990 spammer y hackers Khan C Smith, y su uso fue rápidamente adoptado por grupos warez largo de AOL. Cumplimiento AOL detectaría palabras usadas en las salas de chat de AOL a suspender las cuentas individuos involucrados en la piratería de software y las cuentas de explotación robado. El término fue utilizado porque '<> <' es la única etiqueta más común de HTML que se encuentra en todas las transcripciones de conversaciones de forma natural, y como tal no puede ser detectado o se filtra por el personal de AOL. El símbolo <> <fue reemplazado por cualquier texto que hace referencia a las tarjetas de crédito robadas, cuentas o actividad ilegal. Desde el símbolo parecía un pez, y debido a la popularidad de phreaking, fue adaptado como "phishing".

La transición de AOL a las instituciones financieras

La captura de información de la cuenta AOL puede haber llevado phishers hacer mal uso de la información de tarjetas de crédito, y al darse cuenta de que los ataques contra los sistemas de pago en línea eran factibles. El intento directo primero conocido en contra de un sistema de pago afectada E-gold en junio de 2001, que fue seguido por un "post-11/9 Comprobar ID" poco después de los ataques del 11 de septiembre contra el World Trade Center . Ambos fueron vistos en su momento como fracasos, pero ahora se puede ver como los primeros experimentos hacia ataques más fructíferas contra los bancos principales. Para el año 2004, el phishing fue reconocida como una parte totalmente industrializado de la economía de la delincuencia: especializaciones surgieron en una escala global que proporciona componentes por dinero en efectivo, que se había reunido en ataques terminados.

Técnicas de phishing

Los recientes intentos de phishing

Un gráfico que muestra el aumento de las denuncias de phishing desde octubre 2004 a junio 2005

Los phishers se dirigen los clientes de los bancos y los servicios de pago en línea. E-mails, supuestamente de la Servicio de Impuestos Internos, se han utilizado para recabar información confidencial de los contribuyentes estadounidenses. Mientras que los primeros ejemplos de este tipo fueron enviados de manera indiscriminada en la expectativa de que algunos serían recibidos por los clientes de un banco o servicio determinado, investigaciones recientes han demostrado que los phishers pueden ser capaces de determinar que los bancos utilizan las posibles víctimas, y apuntar a los e-mails falsos en principio en consecuencia. Las redes sociales son ahora el blanco principal de phishing, ya que los datos de carácter personal en estos sitios se pueden utilizar en el robo de identidad; a finales de 2006 un gusano informático se hizo cargo de las páginas en MySpace y enlaces alterados a los surfistas a páginas web diseñadas para robar datos de acceso directo. Los experimentos muestran una tasa de éxito de más del 70% de los ataques de phishing en redes sociales.

La RapidShare sitio de intercambio de archivos ha sido blanco de phishing para obtener una cuenta premium, que elimina las tapas de velocidad en las descargas, auto-eliminación de archivos, espera en descargas y cooldown veces entre los archivos subidos.

Los atacantes que irrumpieron en Base de datos de TD Ameritrade (que contiene todos los 6,3 millones de clientes ' números de seguro social, números de cuenta y direcciones de correo electrónico, así como sus nombres, direcciones, fechas de nacimiento, números de teléfono y de la actividad comercial) también quería que los nombres de usuario y contraseñas de cuentas, por lo que lanzó una lanza seguimiento ataque de phishing.

Casi la mitad de los robos de phishing en 2006 fueron cometidos por grupos que operan a través de la Rusia Red de Negocios con sede en St. Petersburgo .

Para ejemplos internacionales más actuales, consulte Phish del Mes.

Hay sitios web anti-phishing que publican mensajes exactos que han sido recientemente circulando el Internet, como FraudWatch Internacional y Millersmiles. Estos sitios suelen proporcionar detalles específicos sobre los mensajes particulares. Hoy en día para reducir el trabajo con el código fuente de las páginas web, los hackers han puesto en marcha una herramienta de phishing llamado Super Phisher que hace el trabajo fácil en comparación con el método manual de crear una web de phishing.

Lista de técnicas de phishing

Phishing

El phishing es una forma de intentar adquirir información como nombres de usuario, las contraseñas y los datos de la tarjeta de crédito haciéndose pasar por una entidad de confianza en una comunicación electrónica .

Lanza Phishing

Los intentos de phishing dirigidos a particulares o empresas específicas se han denominado spearphishing. Los atacantes pueden recopilar información personal acerca de su objetivo de aumentar su probabilidad de éxito.

Clone Phishing

Un tipo de ataque de phishing mediante el cual un legítimo y previamente entregado, dirección de correo electrónico que contiene un archivo adjunto o enlace ha tenido su contenido y destinatario dirección (es) tomada y se utiliza para crear una casi idéntica o email clonado. El archivo adjunto o enlace dentro del mensaje se reemplaza con una versión maliciosa y luego se envían desde una dirección de correo electrónico falsa a aparecer venir del remitente original. Se puede afirmar que es un re-envío del original o de una versión actualizada del original.

Esta técnica podría ser usada para pivotar (indirectamente) de una máquina previamente infectada y obtener un punto de apoyo en otra máquina, mediante la explotación de la confianza social asociado con la conexión inferido debido a ambas partes que reciben el correo electrónico original.

Ballenero

Varios ataques de phishing recientes se han dirigido específicamente a los altos ejecutivos y otros objetivos de alto perfil dentro de las empresas, y el término de caza de ballenas ha sido acuñado para este tipo de ataques.

Evasión Filtro

Los phishers han utilizado imágenes en lugar de texto para hacer que sea más difícil para los filtros anti-phishing para detectar texto comúnmente usado en correos electrónicos de phishing.

Falsificación Sitio Web

Una vez que una víctima visita el sitio web de phishing, el engaño no ha terminado. Algunas estafas de phishing utilizan Comandos de JavaScript con el fin de alterar la barra de dirección. Esto se hace mediante la colocación de una imagen de una URL legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abrir una nueva con la URL legítima.

Un atacante puede incluso utilizar las fallas en guiones propios de un sitio web de confianza contra la víctima. Este tipo de ataques (conocido como cross-site scripting) son particularmente problemáticos, ya que dirigen al usuario a firmar en su banco o una página web propia del servicio, donde todo, desde la dirección web a la certificados de seguridad parece correcto. En realidad, el enlace a la web se hace a mano para llevar a cabo el ataque, por lo que es muy difícil de detectar sin un conocimiento especializado. Sólo un defecto tal fue utilizado en 2006 contra PayPal.

Un universal Man-in-the-middle (MITM) Phishing Kit, descubierto en 2007, ofrece una interfaz fácil de usar que permite a un phisher reproducir convincentemente sitios web y capturar datos de acceso introducidos en el sitio falso.

Para evitar las técnicas anti-phishing que escanean sitios web para texto relacionado phishing, los phishers han comenzado a utilizar Sitios web basados en Flash. Estos se parecen mucho a la página web real, pero ocultan el texto en un objeto multimedia.

Phishing Teléfono

No todos los ataques de phishing requieren un sitio web falso. Los mensajes que decían ser de un banco dijeron a los usuarios marcar un número de teléfono en relación con problemas con sus cuentas bancarias. Una vez que el número de teléfono (propiedad del phisher, y proporcionada por un Servicio de voz sobre IP) fue marcado, indicaciones dijo a los usuarios que introduzcan sus números de cuenta y PIN. Vishing (phishing de voz) a veces utiliza los datos de identificación de llamada falsos para dar la apariencia de que las llamadas provienen de una organización de confianza.

Otras técnicas

• Otro ataque utilizado con éxito debe remitir al cliente a la web legal del banco, luego de colocar una ventana emergente solicitando credenciales en la parte superior de la página web de una manera que parece que el banco está solicitando esta información sensible.
• Una de las últimas técnicas de phishing es Tabnabbing. Se aprovecha de las múltiples lengüetas que los usuarios utilizan y silenciosamente redirecciona un usuario al sitio afectado.
• Gemelos del mal es una técnica de phishing que es difícil de detectar. Un estafador crea una red inalámbrica falsa que se parece a una red pública legítima que se puede encontrar en lugares públicos como aeropuertos, hoteles o cafeterías. Cada vez que alguien se conecta a la red falsa, los estafadores tratan de capturar sus contraseñas y / o información de tarjetas de crédito.

Los daños causados por el phishing

Los daños causados por el phishing rangos de denegación de acceso a e-mail a la pérdida económica considerable. Se estima que entre mayo de 2004 y mayo de 2005, aproximadamente 1.2 millones de usuarios de computadoras en el Estados Unidos sufrieron pérdidas causadas por suplantación de identidad, por un total aproximado de US $ 929 millones. Empresas estadounidenses pierden un estimado de US $ 2 millones de dólares al año que sus clientes se convierten en víctimas. En 2007, se intensificaron los ataques de phishing. 3,6 millones de adultos perdieron US $ 3,2 mil millones en los 12 meses que finalizaron en agosto de 2007. Según Microsoft, estas estimaciones son muy exageradas y pone la pérdida anual de phishing en los EE.UU. en US $ 60 millones. En los Estados Unido las pérdidas de la banca web fraude en su mayoría de phishing, casi duplicó a GB £ 23.2m en 2005, a partir de GB £ 12.2m en 2004, mientras que 1 de cada 20 usuarios de computadoras afirmaron haber perdido a phishing en 2005.

La postura adoptada por el organismo bancario del Reino Unido APACS es que "los clientes también deben tomar precauciones sensatas ... de modo que no son vulnerables a los criminales." Del mismo modo, cuando la primera ola de ataques de phishing golpeado sector bancario de la República de Irlanda en septiembre de 2006, el Banco de Irlanda se negó inicialmente a cubrir las pérdidas sufridas por sus clientes (y todavía insiste en que su política es no hacerlo), aunque las pérdidas por valor de € 11.300 se hicieron bien.

Anti-phishing

Hay varias técnicas diferentes para combatir el phishing, incluyendo la legislación y tecnología creada específicamente para proteger contra el phishing. La mayoría de los nuevos navegadores de Internet vienen con software anti-phishing. Teléfono, sitio web, y el phishing de correo electrónico pueden ser reportados a las autoridades, como se describe a continuación .

Las respuestas sociales

Una de las estrategias para combatir el phishing es capacitar a las personas a reconocer los intentos de phishing, y para tratar con ellos. La educación puede ser eficaz, especialmente donde la formación proporciona información directa. Una de las tácticas de phishing más reciente, que utiliza correos electrónicos de phishing dirigidos a una empresa específica, conocida como spear phishing, se ha aprovechado para entrenar a las personas en varios lugares, incluyendo Academia militar de Estados Unidos en West Point, Nueva York. En un experimento de junio de 2004 con spear phishing, el 80% de los 500 cadetes de West Point que se envió un correo electrónico falso de una inexistente coronel Robert Melville en West Point, fueron engañados para que haga clic en un enlace que supuestamente les llevaría a una página en la que entrarían información personal. (La página les informó que habían sido atraídos.)

Las personas pueden tomar medidas para evitar los intentos de phishing modificando ligeramente sus hábitos de navegación. Cuando fue contactado sobre una cuenta que necesitan ser "verificado" (o cualquier otro tema utilizado por phishers), es una precaución sensata para contactar con la empresa de la que la dirección de correo aparentemente se origina para comprobar que el correo electrónico es legítimo. Por otra parte, la dirección de que el individuo sabe es sitio web real de la empresa se puede escribir en la barra de direcciones del navegador, en lugar de confiar en cualquier hipervínculos en el mensaje sospechoso de phishing.

Casi todos los mensajes de correo electrónico legítimos de las empresas a sus clientes contienen una información que no está fácilmente disponible para los phishers. Algunas empresas, por ejemplo, PayPal, siempre frente a sus clientes por su nombre de usuario en los correos electrónicos, por lo que si un correo electrónico se dirige al receptor de manera genérica ("Estimado cliente de PayPal"), es probable que sea un intento de phishing. Los correos electrónicos de los bancos y compañías de tarjetas de crédito a menudo incluyen números de cuentas parciales. Sin embargo, investigaciones recientes han demostrado que el público no suelen distinguir entre los primeros dígitos y los últimos dígitos de un número sin una cuenta de un problema importante desde los primeros dígitos suelen ser los mismos para todos los clientes de una institución financiera. Las personas pueden ser entrenados para tener sus sospechas despertadas si el mensaje no contiene ninguna información personal específica. Los intentos de phishing a principios de 2006, sin embargo, se utiliza información personalizada, lo que hace que sea poco seguro asumir que la presencia de información personal solo garantiza que un mensaje es legítimo. Por otra parte, otro estudio reciente concluyó en parte, que la presencia de la información personal no afecta significativamente la tasa de éxito de los ataques de phishing, lo que sugiere que la mayoría de la gente no presta atención a esos detalles.

La Grupo de Trabajo Anti-Phishing, una industria y asociación aplicación de la ley, se ha sugerido que las técnicas de phishing convencionales podrían llegar a ser obsoleta en el futuro a medida que las personas son cada vez más conscientes de las técnicas de ingeniería social utilizadas por los phishers. Predicen que pharming y otros usos de el malware se convertirá herramientas más comunes para el robo de información.

Todo el mundo puede ayudar a educar al público mediante el fomento de prácticas seguras, y evitando los peligrosos. Por desgracia, los jugadores incluso conocidos son conocidos para incitar a los usuarios a un comportamiento peligroso, por ejemplo, solicitando a sus usuarios para que revelen sus contraseñas para servicios de terceros, como el correo electrónico.

Respuestas técnicas

Las medidas anti-phishing se han implementado como características incrustado en los navegadores, como extensiones o barras de herramientas para navegadores, y como parte de los procedimientos de inicio de sesión del sitio web. Los siguientes son algunos de los principales enfoques del problema.

Ayudar a identificar los sitios web legítimos

La mayoría de los sitios web dirigidos por phishing son sitios web seguros que significa que SSL con criptografía fuerte PKI se utiliza para la autenticación de servidor, donde se utiliza la dirección URL de la página web como identificador. En teoría, debería ser posible para la autenticación de SSL que se utiliza para confirmar el sitio para el usuario, y esto fue requisito de diseño de SSL v2 y la meta de la navegación segura. Pero en la práctica, esto es fácil de engañar.

La falla superficial es que la interfaz de usuario de seguridad del navegador (UI) es insuficiente para hacer frente a fuertes amenazas de hoy en día. Hay tres partes para asegurar la autenticación mediante TLS y certificados: lo que indica que la conexión está en modo autenticado, lo que indica que el sitio que el usuario está conectado a, y que indican que la autoridad dice que es este sitio. Los tres son necesarios para la autenticación, y deben ser confirmadas por / para el usuario.

Conexión segura

La pantalla estándar para la navegación segura de mediados de 1990 a mediados de la década de 2000 fue el candado. En 2005, Mozilla envió una amarilla barra de direcciones como una mejor indicación de la conexión segura. Esta innovación fue posteriormente revocada debido a la Certificados EV, que sustituyeron algunos certificados que proporcionan un alto nivel de verificación de identidad de la organización con una pantalla verde, y otros certificados con un azul extendida cuadro favicon a la izquierda de la barra de URL (además del interruptor de "http" a "https" en la url en sí).

¿Qué sitio

Se espera que el usuario confirme que el nombre de dominio en la barra de URL del navegador, de hecho, donde tenían la intención de ir. URLs pueden ser demasiado complejos para ser analizados fácilmente. Los usuarios a menudo no saben o reconocen la URL de los sitios legítimos que tengan la intención de conectarse, de manera que la autenticación se vuelve sin sentido. Una condición para la autenticación del servidor significativo es tener un identificador de servidor que sea significativo para el usuario; muchos sitios de comercio electrónico va a cambiar los nombres de dominio dentro de su gama global de los sitios web, añadiendo a la oportunidad para la confusión. Simplemente muestra el nombre de dominio para el sitio web visitado, ya que algunas barras de herramientas anti-phishing hacen, no es suficiente.

Algunos navegadores más recientes, como Internet Explorer 8, muestra la dirección URL completa en color gris, con sólo el nombre de dominio propio en negro, como un medio para ayudar a los usuarios a identificar las direcciones URL fraudulentas.

Un enfoque alternativo es la extensión petname para Firefox que permite a los usuarios escriban en sus propias etiquetas para los sitios web, por lo que más tarde puede reconocer cuando han regresado al sitio. Si el sitio no se reconoce, entonces puede que el software sea advertir al usuario o bloquear el sitio de plano. Esto representa la administración de identidad centrada en el usuario de la identidad del servidor. Algunos sugieren que una imagen gráfica seleccionada por el usuario es mejor que un petname.

Con el advenimiento de Certificados EV, navegadores ahora suelen mostrar el nombre de la organización en verde, que es mucho más visible y es de esperar más en consonancia con las expectativas del usuario. Proveedores de navegadores han optado por limitar esta exhibición prominente sólo para Certificados EV, dejando al usuario que se valgan por sí mismo con todos los demás certificados.

¿Quién es la autoridad

El navegador tiene que indicar que la autoridad es lo que hace la afirmación de que el usuario está conectado. Al nivel más simple, ninguna autoridad se indica, y por lo tanto, el navegador es la autoridad, según lo que se refiere al usuario. Los proveedores de navegadores asumen esta responsabilidad mediante el control de una lista raíz de CA aceptable. Esta es la práctica estándar actual.

El problema con esto es que no todas las autoridades de certificación (CA) emplean igualmente bueno ni aplicable comprobación, independientemente de los intentos de los fabricantes de navegadores para controlar la calidad. Tampoco todas las AC suscribirse al mismo modelo y el concepto de que los certificados son sólo acerca de la autenticación de las organizaciones de comercio electrónico Certificado Manufacturing es el nombre dado a los certificados de bajo valor que se entregan en una tarjeta de crédito y un email de confirmación.; Ambos son fácilmente pervertido por los defraudadores. Por lo tanto, un sitio de alto valor puede ser fácilmente falsificado por un certificado válido proporcionada por otro CA. Esto podría deberse a que el CA se encuentra en otra parte del mundo, y está familiarizado con los sitios de comercio electrónico de alto valor, o podría ser que no se tiene cuidado en absoluto. A medida que la CA sólo está encargada de proteger a sus propios clientes, y no los clientes de otras CA, este defecto es inherente al modelo.

La solución a esto es que el navegador debe mostrar, y el usuario debe estar familiarizado con el nombre de la autoridad. Esto presenta la CA como una marca, y permite al usuario aprender el puñado de entidades emisoras de certificados que ella es probable que entren en contacto dentro de su país y su sector. El uso de la marca también es fundamental para ofrecer la CA con un incentivo para mejorar su control, ya que el usuario aprenderá la marca y exigir un buen control para sitios de alto valor.

Esta solución se puso en práctica en las primeras versiones de IE7, al mostrar Certificados EV. En esa pantalla, se muestra la CA emisora. Este fue un caso aislado, sin embargo. Hay resistencia a las CA se marca en el cromo, lo que resulta en una caída al nivel más simple de arriba: el navegador es la autorización del usuario.

Fallas fundamentales en el modelo de seguridad de la navegación segura

Los experimentos para mejorar la interfaz de usuario de seguridad se han traducido en beneficios, pero también han puesto de manifiesto defectos fundamentales en el modelo de seguridad. Las causas subyacentes del fracaso de la autenticación SSL para emplear adecuadamente en la navegación segura son múltiples y entrelazadas.

Los usuarios tienden a no comprobar la información de seguridad, incluso cuando se muestra explícitamente a ellos. Por ejemplo, la gran mayoría de las advertencias de los sitios son para configuraciones erróneas, no un MITM (hombre en medio del ataque). Los usuarios han aprendido a pasar por alto las advertencias y tratar a todas las advertencias con el mismo desdén, lo que resulta en Haga clic-through síndrome. Por ejemplo, Firefox 3 tiene un proceso de 4 Haz clic para añadir una excepción, pero se ha demostrado para ser ignorado por un usuario experimentado en un caso real de MITM.

Otro factor subyacente es la falta de apoyo para el alojamiento virtual. Las causas específicas son una falta de apoyo a Nombre del servidor Indicación en servidores web TLS, y los gastos y molestias de adquirir certificados. El resultado es que el uso de la autenticación es demasiado raro para ser otra cosa que un caso especial. Esto ha provocado una falta general de conocimiento y recursos en la autenticación dentro de TLS, que a su vez ha hecho que los intentos de los fabricantes de navegadores para mejorar sus interfaces de usuario de seguridad han sido lentos y sin brillo.

El modelo de seguridad para el navegador seguro incluye muchos de los participantes: facilidad, vendedor del navegador, desarrolladores, CA, auditor, proveedor servidor web, sitio de comercio electrónico, reguladores (por ejemplo, la FDIC), y comités de normas de seguridad. Hay una falta de comunicación entre los diferentes grupos que están comprometidos con el modelo de seguridad. Por ejemplo, aunque la comprensión de la autenticación es fuerte en el nivel de protocolo de los comités de IETF, este mensaje no alcanza el grupo de interfaz de usuario. Vendedores Webserver no priorizan la Nombre Indicación Server (TLS / SNI) fijar, no verlo como una revisión de seguridad, pero en su lugar una nueva función. En la práctica, todos los participantes se ven a los demás como la fuente de las fallas que conducen a phishing, por lo tanto, las soluciones locales no son una prioridad.

Cuestiones mejoraron ligeramente con el Foro CAB, como ese grupo incluye proveedores de navegadores, los auditores y las entidades emisoras. Pero el grupo no comenzó de una manera abierta, y el resultado sufrió de los intereses comerciales de los primeros jugadores, así como la falta de paridad entre los participantes. Incluso en la actualidad, foro CAB no está abierto, y no incluye la representación de pequeñas entidades emisoras de certificados, los usuarios finales, los dueños de comercio electrónico, etc.

Los vendedores se comprometen a las normas, lo que resulta en un efecto externalización cuando se trata de la seguridad. Aunque ha habido muchas y buenas experiencias en la mejora de la interfaz de usuario de seguridad, éstas no se han adoptado debido a que no son estándar, o entrar en conflicto con las normas. Modelos de amenaza pueden reinventarse en torno a un mes; Las normas de seguridad toman alrededor de 10 años para adaptarse.

Mecanismos de control utilizados por los proveedores de navegadores más de las CA no se han actualizado considerablemente; el modelo de amenazas tiene. El proceso de control de calidad y sobre las CA no está suficientemente sintonizado a la protección de los usuarios y el direccionamiento de las amenazas reales y actuales. Los procesos de auditoría están en gran necesidad de una reforma. Las directrices recientes EV documentado el modelo actual con mayor detalle, y establecieron un buen punto de referencia, pero no presionó para cualquier cambio que se hagan grandes.

Los navegadores de alerta a los usuarios a sitios Web fraudulentos

Otro método popular para la lucha contra el phishing es mantener una lista de sitios de phishing conocidos y comprobar los sitios web con la lista. navegador IE7 de Microsoft , Mozilla Firefox 2.0, Safari 3.2 y Opera todos contienen este tipo de medidas anti-phishing. Firefox 2 utiliza Google software anti-phishing. Opera 9.1 utiliza en directo listas negras de PhishTank y GeoTrust, así como en directo listas blancas de GeoTrust. Algunas implementaciones de este enfoque envían las URL visitadas a un servicio central que deben controlar, que ha expresado su preocupación acerca de la privacidad. De acuerdo con un informe de Mozilla a finales de 2006, Firefox 2 se encontró que era más eficaz que Internet Explorer 7 en la detección de sitios fraudulentos en un estudio realizado por una compañía de pruebas de software independiente.

Un enfoque introducido a mediados de 2006 implica el cambio a un servicio de DNS especial que filtra los dominios de phishing conocidos: esto funciona con cualquier navegador, y es similar en principio a la utilización de un hosts para bloquear anuncios web.

Para mitigar el problema de los sitios de phishing hacerse pasar por un sitio de la víctima mediante la incorporación de sus imágenes (como logotipos), varios propietarios de sitios han alterado las imágenes para enviar un mensaje a los visitantes que un sitio puede ser fraudulento. La imagen puede ser movido a un nuevo nombre de archivo y el original reemplazado permanentemente, o un servidor puede detectar que la imagen no se ha solicitado como parte de la navegación normal, y en lugar de enviar una imagen de advertencia.

Aumento de los inicios de sesión con contraseña

La Banco de la página web de Estados Unidos es uno de varios que piden a los usuarios seleccionar una imagen personal, y mostrar esta imagen seleccionada por el usuario con cualquier forma que lo soliciten una contraseña. Los usuarios de los servicios en línea del banco se les instruye para introducir una contraseña sólo cuando ven la imagen que seleccionaron. Sin embargo, un estudio reciente sugiere pocos usuarios se abstienen de entrar su contraseña cuando las imágenes están ausentes. Además, esta característica (como otras formas de autenticación de dos factores) es susceptible a otros ataques, como las sufridas por el banco escandinavo Nordea a finales de 2005, y Citibank en 2006.

Un sistema similar, en el que un generado automáticamente "Identidad Cue" que consiste en una palabra de color dentro de un cuadro de color se muestra a cada usuario del sitio web, está en uso en otras instituciones financieras.

Pieles de seguridad son una técnica relacionada que implica superponer una imagen seleccionada por el usuario en el formulario de acceso como una indicación visual de que la forma es legítimo. A diferencia de los esquemas de imagen basado en el sitio web, sin embargo, la imagen en sí sólo se comparte entre el usuario y el navegador, y no entre el usuario y el sitio web. El esquema también se basa en una protocolo de autenticación mutua, lo que hace que sea menos vulnerable a los ataques que afectan los esquemas de autenticación de sólo usuario.

Todavía otra técnica se basa en una cuadrícula dinámica de imágenes que es diferente para cada intento de inicio de sesión. El usuario debe identificar las imágenes que se ajustan a sus categorías de pre-elegido (como perros, coches y flores). Sólo después de que se han identificado correctamente las imágenes que se ajustan a sus categorías se les permite entrar en su contraseña alfanumérica para completar el inicio de sesión. A diferencia de las imágenes estáticas utilizadas en el sitio web del Banco de América, un método de autenticación basada en la imagen dinámica crea un código de acceso de una sola vez para el inicio de sesión, requiere la participación activa del usuario, y es muy difícil para un sitio web de phishing se replique correctamente porque lo haría necesitará mostrar una cuadrícula diferente de las imágenes generadas al azar que incluye categorías secretas del usuario.

La eliminación de correo phishing

Especializado filtros de spam pueden reducir el número de correos electrónicos de phishing que llegan a las bandejas de entrada de sus destinatarios. Estos enfoques se basan en aprendizaje automático y procesamiento del lenguaje natural se acerca para clasificar los correos electrónicos de phishing. Autenticación de dirección de correo electrónico es otro nuevo enfoque.

Seguimiento y derribo

Varias compañías ofrecen los bancos y otras organizaciones que puedan sufrir de estafas de phishing servicios las veinticuatro horas del día para controlar, analizar y ayudar en el cierre de sitios web de phishing. Los individuos pueden contribuir al reportar phishing a ambos grupos de voluntarios y de la industria, tales como PhishTank. Las personas también pueden contribuir al informar teléfono intentos de phishing a Teléfono Phishing, Comisión Federal de Comercio. Phishing páginas web y correos electrónicos pueden ser reportados a Google. La Internet Crime Complaint Centro tablón de anuncios lleva phishing y ransomware alerta.

Medidas legales

El 26 de enero de 2004, los EE.UU. Comisión Federal de Comercio presentó la primera demanda en contra de un presunto estafador. El acusado, un californiano adolescente, supuestamente creado una página web diseñada para parecerse a la Sitio web en línea de América, y lo utilizó para robar información de tarjetas de crédito. Otros países han seguido esta iniciativa por la localización y detención de los phishers. Un capo de phishing, Valdir Paulo de Almeida, fue detenido en Brasil por liderar uno de los más grandes de phishing círculos del crimen, que en dos años se robaron entre US $ 18 millones y US $ 37 millones. Autoridades británicas encarcelados dos hombres en junio de 2005 por su participación en una estafa de phishing, en un caso conectado a la Servicio Secreto de EE.UU. Operación Firewall, que dirige sitios web notorios "Carder". En 2006 ocho personas fueron detenidas por la policía japonesa bajo la sospecha de fraude de phishing mediante la creación de sitios Web falsos Yahoo Japón, redes mismos ¥ 100 millones (US $ 870.000). Las detenciones continuaron en 2006 con el FBI Operación Cardkeeper detener a una banda de dieciséis años en los EE.UU. y Europa.

En Estados Unidos , el senador Patrick Leahy introdujo la Ley Anti-Phishing de 2005 en el Congreso el 1 de marzo de 2005. Este proyecto de ley, si se hubiera convertido en ley, tendría delincuentes sometidos quienes crearon los sitios web falsos y envían correos electrónicos falsos con el fin de defraudar a los consumidores a multas de hasta 250.000 dólares y penas de prisión de hasta cinco años. El Reino Unido ha reforzado su arsenal jurídico contra el phishing con el Acta de Fraude para 2006, que introduce un delito general de fraude que puede llevar hasta una pena de prisión decena de ano, y prohíbe el desarrollo o la posesión de los kits de phishing con la intención de cometer fraude.

Las empresas también se han unido al esfuerzo para acabar con el phishing. El 31 de marzo de 2005, Microsoft presentó 117 demandas federales en el Tribunal Federal de Distrito para el Distrito Oeste de Washington. Las demandas acusan a " acusados ​​de contraseñas e información confidencial que obtengan John Doe ". 03 2005 también vio una asociación entre Microsoft y los funcionarios encargados de hacer cumplir la ley de enseñanza del gobierno australiano cómo combatir diversos delitos cibernéticos, incluyendo phishing. Microsoft anunció una planificadas otras 100 demandas fuera de los EE.UU. en marzo de 2006, seguido por el inicio, a partir de noviembre de 2006, de 129 demandas de mezclar las acciones penales y civiles. AOL reforzó sus esfuerzos contra el phishing a principios de 2006 con tres demandas en busca de un total de EE.UU. $ 18 millones en virtud de las 2.005 enmiendas a la Ley de Delitos informáticos Virginia, y Earthlink se ha unido en ayudando a identificar seis hombres posteriormente acusados ​​de phishing fraude en Connecticut.

En enero de 2007, Jeffrey Brett Goodin de California se convirtió en el primer acusado declarado culpable por un jurado en virtud de las disposiciones de la ley CAN-SPAM de 2003. Fue declarado culpable de enviar miles de correos electrónicos a usuarios de America Online, haciéndose pasar por el departamento de facturación de AOL, lo que provocó los clientes que presenten la información personal y de tarjetas de crédito. Frente a un posible 101 años de prisión por la violación de la CAN-SPAM y otras diez cargos que incluyen fraude electrónico, el uso no autorizado de tarjetas de crédito, y el mal uso de la marca registrada de AOL, fue sentenciado a 70 meses. Goodin había estado bajo custodia desde no presentarse a una audiencia en la corte anterior y comenzó a cumplir su pena de prisión de inmediato.