Ir a Tecsisa.com
3nov/08
0Comentarios

Reducción del phishing y pharming en entidades bancarias mediante tracking avanzado

Javier Ruiz Jiménez

En este artículo se presentan técnicas informáticas que dificultan la realización de estafas por Internet y al mismo tiempo facilitan la identificación del sujeto autor del fraude.

Phishing y pharming en entidades bancarias

Realizando un análisis de algunas entidades bancarias se observa que su infraestructura tecnológica facilita el phishing y el pharming. Las técnicas que presento a continuación son de fácil aplicación y aunque no solucionan el problema del todo, si ayudan a mitigarlo.

El phishing es el término con el que se conoce la práctica fraudulenta de ingeniería social para conseguir información confidencial engañando al propietario de la misma. El phishing es utilizado habitualmente para conseguir la información de acceso a las oficinas virtuales de las entidades bancarias y los números de las tarjetas de crédito.

El pharming es un término relacionado con el anterior, y consiste en la explotación de una vulnerabilidad del sistema de nombres de dominio (DNS) que permite redirigir un nombre de dominio específico a otra máquina distinta de la auténtica. Así, los piratas informáticos consiguen que los usuarios accedan a una página distinta de la verdadera, suplantando la página original por otra similar en aspecto pero que utilizarán para capturar los datos de la víctima (contraseñas de acceso, números de tarjetas de crédito, etc.)

Duplicación del entorno de la oficina virtual

La duplicación del entorno de la oficina virtual (logotipos, colores, scripts, ...) es cada vez más habitual y los piratas están consiguiendo grandes niveles de realismo con los que consiguen engañar a sus víctimas. Sin embargo suelen carecer de infraestructuras tecnológicas potentes y utilizan servidores alojados en países lejanos.

Hoy en día, la técnica del phising se ha sofisticado mucho.  Hace tiempo, los mensajes de correo electrónico que enviaban los piratas a sus víctimas contenían texto plano y errores de ortografía. Pero cada día estos mensajes están mejor diseñados, incorporan elementos que reproducen con gran similitud la imagen de marca de la entidad bancaria y están escritos en un lenguaje correcto, sin faltas de ortografía que hagan sospechar a las víctimas sobre su procedencia.

Pero aunque hayan avanzado para evitar ser detectados, las limitaciones técnicas y presupuestarias de los piratas les llevan a no utilizar copias de estos recursos (imágenes y colores), sino que referencian, mediante enlaces, los propios recursos de la entidad que intentan suplantar. Es decir, envían mensajes de correo electrónico en formato HTML con referencias a recursos publicados en los servidores de la entidad. De esta forma, los piratas consiguen que el mensaje de correo se cargue con mayor velocidad, transmiten mayor realismo y algunas configuraciones de servidores de correo electrónico permiten el paso de estos mensajes sin que salten los filtros antispam.

A continuación propongo cómo utilizar estas limitaciones técnicas a favor de la seguridad de la entidad bancaria y no en su contra como muchas veces sucede en la actualidad. Estas tres técnicas son complementarias y sencillas:

  1. Utilización de URL's identificadas
  2. Utilización de información de seguimiento en recursos
  3. Cookie tracking

1. Utilización de URLs identificadas

Esta técnica genera URLs únicas para cada sesión y recurso, impidiendo que los recursos sean referenciados posteriormente desde mensajes de correo electrónico u otros sitios web fraudulentos.

Las ventajas de aplicar esta técnica son:

  • Los recursos no son utilizables fuera de su entorno.
  • Se genera una alerta de seguridad cuando se intenta utilizar un recurso ubicado en la entidad.
  • El recurso solicitado se sustituye por una aviso o imagen que alertan a quien lo visualiza de un intento de fraude.
  • El pirata es identificado.

2. Incorporación de información de seguimiento en recursos

Consiste en manipular todos los recursos generados por los servidores de la entidad (sitios públicos y oficinas virtuales) para incluir una marca digital de tal forma que a partir de un recurso sea posible extraer suficiente información para identificar al pirata por parte de la entidad bancaria o de los organismos anti fraude competentes.

El resultado de aplicar esta técnica es la identificación del usuario que consiguió las imágenes u otros recursos utilizados en el fraude.

Javier Ruiz Jiménez

Acerca de Javier Ruiz Jiménez

Javier Ruiz Jiménez es Ingeniero en Informática y está especializado en infraestructuras de sistemas empresariales. Es socio fundador de Tecsisa.
Etiquetado con: , , Deja un comentario
Comentarios (0) Trackbacks (0)

Sin comentarios por ahora.


Deja un comentario


Sin trackbacks por el momento.

« Claves para implantar con éxito una metodología de desarrollo de software Depurar Aplicaciones y Páginas Web con Google Chrome »

Nube de Tags

Categorías

Enlaces

Más votados

RSS

Suscribete a nuestro feed RSS