Los peligros del Phishing y el Spoofing

Ante la última alerta de spoofing en Prestashop que ha aparecido, es necesario recordar algunos conceptos para que se entienda qué es cada cosa y así que nadie caiga en este tipo de trampas. Os recomendamos visitar el post sobre hacking ético  si todavía no lo habéis leído.

¿QUÉ ES EL SPOOFING?

El spoofing es cuando alguien disfraza una dirección de correo electrónico, el nombre del remitente, el número de teléfono o la URL de un sitio web -a menudo sólo cambiando una letra, un símbolo o un número- para convencerle de que está interactuando con una fuente de confianza. El software antivirus falso o las respuestas de los foros web están diseñados para confundir y alarmar a las personas para que se abstengan de leer o responder a los mensajes, y luego hagan clic en los botones Atrás o Cerrar. Los programas antivirus que hacen esto se conocen como virus falsos o programas espía.

El spoofing es un delito en varios países, pero sólo en Estados Unidos es un delito grave. Esto significa que puede ser multado o encarcelado por haber sido engañado haciéndole creer que alguien le estaba enviando mensajes cuando en realidad era alguien que estaba suplantando su identidad.

Una reciente decisión del Tribunal Supremo de EE.UU. sostiene que «hacer que un ordenador sea vulnerable al robo de nombres de usuario y contraseñas es hacer que el ordenador sea un «objetivo» para una expedición de «pesca»», y que «la esencia misma del acto de piratería informática, si ha de ser categóricamente legal, requiere que la víctima tenga un motivo razonable para creer que el atacante está actuando legalmente».

La decisión, Estado de Maryland contra Earls, sostenía que utilizar un ordenador con la intención de robar los nombres de usuario y las contraseñas de ese ordenador es un delito grave y que no sólo puede ser encarcelado por lo que haga con el ordenador, sino que puede ser multado. El dictamen sostiene que la ley tiene por objeto impedir que el acusado utilice el ordenador para enviar mensajes de spam sin el consentimiento de la víctima.

El software de suplantación de identidad está diseñado para ayudar a un estafador a crear un ordenador que parezca formar parte de la red de la víctima, pero que en realidad esté controlado por el estafador. Algunos spoofers crean nuevas redes con la ayuda de la víctima y alojan servicios que reenvían al sitio web de la víctima, pero cuando se observa el tráfico, se ve que el sitio web falsificado está enviando y recibiendo datos del servidor del estafador. No hay autenticación. Es un ataque completo y su objetivo es atrapar tanto a los usuarios que respetan la ley como a los que la infringen.

Algunas víctimas se sorprenden al descubrir que han sido engañadas para hacer clic en el enlace de un mensaje de alguien conocido, como un amigo.

Por ejemplo, un estafador puede enviar un enlace a una víctima en un foro pidiéndole que haga clic en un enlace. El delito, aunque no sea spam, seguirá siendo un delito, al igual que que el estafador y la víctima estén en el mismo foro.

Un usuario recibía su correo redirigido a un sitio web falso. Se sorprendió al encontrar un archivo adjunto de correo electrónico con su nombre.

Una víctima recibió un archivo adjunto de correo electrónico sospechoso con su nombre.

La ley trata de proteger a las víctimas de que se invada su privacidad de forma no autorizada.

Cuando uno navega por la red está expuesto a Internet. La inmensa mayoría de sus visitas a sitios web no tienen ni idea de que provienen del ciberespacio. Lo mismo ocurre con todo el tráfico que llega a su ordenador. Es posible que descubras si algo viene del ciberespacio, pero si navegas por la web pronto descubrirás que no es una certeza.

El spam es un delito. Si eres un internauta que no está bien, las probabilidades de que seas culpable de hacer spam son muy altas. Algunos internautas saben que son spammers, pero muchos no. Por eso hay que cambiar la ley.

No hay necesidad de técnicas de «sombrero negro», pero no hay manera de estar seguro de que una persona no es un spammer, a menos que sea transparente y utilice abiertamente el software de anonimización.

La forma de saberlo es observando el uso que hace de determinados programas y servicios. Algunos spammers utilizan Firefox para protegerse de la detección. Otros utilizan TOR o The Onion Router para ocultar sus direcciones IP. Esto también puede ser derrotado, pero requiere el uso del software adecuado.

Cuando utilices TOR debes descargar la versión que mejor se adapte a tu ordenador y navegador. No hay ninguna versión que oculte su dirección IP. La forma más fácil de derrotarlo es utilizar la versión sin marca, pero correrás el riesgo de perder datos. Tampoco puedes utilizar la versión de otro sitio web. Eso significa que un sitio web debe ofrecer la versión sin marca para su descarga. De este modo, no hay posibilidad de que se invada tu privacidad. La mejor manera de evitar el spam es utilizar Firefox.

¿QUÉ ES EL PHISHING?

Los esquemas de phishing suelen utilizar técnicas de suplantación de identidad para atraerle y hacerle morder el anzuelo. Estas estafas están diseñadas para engañarle y hacerle dar información a los delincuentes a la que no deberían tener acceso. A menudo se configuran para que parezcan anuncios oficiales del gobierno o aplicaciones en línea. Pero suelen engañarle para que haga clic en un enlace o facilite su información.

La estafa de phishing suele utilizar a un estafador que intenta sacarle alguna cantidad de dinero. A veces, el estafador le ofrecerá una determinada cantidad de dinero a cambio de un producto o servicio que supuestamente le ayudará de alguna manera. Pero la mejor manera de saber si te están estafando para que des tu información es si ves una imagen o una animación que dice o se parece a un sitio web o correo electrónico oficial.

Es muy importante aprender a saber si te están estafando para que des tu información. Muchas veces es muy fácil de atrapar a estos estafadores y sus sitios están configurados de tal manera que es muy fácil de detectar un estafador. Usted puede ser capaz de atrapar a un estafador con las manos en la masa, pero por lo general le costará mucho dinero para hacerlo y puede perder mucho tiempo tratando de averiguar por su cuenta.

La mejor manera de saber si te han estafado para que des tu información es si te aparece una ventana emergente extraña. A veces aparece una ventana emergente con una imagen de un sitio web o una página que dice algo así como: «La página que está viendo es una estafa diseñada para robar información de la gente. Por favor, haga clic en el siguiente enlace para saber cómo evitarlo». Este es un ejemplo de ventana emergente.

 

1 comentario en «Los peligros del Phishing y el Spoofing»

Los comentarios están cerrados.