Conoce a tu enemigo: phishing

mayo 18th, 2005

Los chicos de Honeynet han publicado un informe sobre el phishing, donde nos explican en profundidad que es, como funciona, su historia y los diferentes métodos que se han ido utilizando para conseguir datos de los usuarios.

Intentaré hacer un pequeño resumen, ya que es un documento largo, pero es recomendable la lectura del original (aunque está en inglés): Know your Enemy: Phishing


El phishing es un proceso para conseguir información confidencial (como pcontraseñas o datos bancarios) de otros usuarios, normalmente a través de ingeniería social, engañanado al usuario para que nos de esos datos. Los primeros casos se dieron en las redes de America OnLine, donde se enviaban correos diciendo que había habido un error en el sistema y que era necesario que se contestara ese correo indicando la contraseña del usuario para que la cuenta no fuera cancelada.

Hoy en día, los ataques suelen ser más sofisticados. Normalmente, los phishers crean páginas web que imitan las de un sitio conocido y envian correos muy convincentes intentando que el usuario entre en esa página creyendo que es la del sitio real.

Trucos utilizados por los phishers:

  • Utilizar servidores web comprometidos. Estos se utilizan para almacenar el contenido de las páginas modificadas por el phisher y a las que accederá el usuario que caiga en la trampa.
  • Utilizar redirección de puertos. En lugar de utilizar directamente el servidor comprometido para albergar las páginas falsas, a veces se utiliza para redireccionar el tráfico hacia otro servidor, como una especie de proxy, que sirve para enmascarar más el sitio hacia donde se dirige el usuario.
  • Utilizar botnets. Los bots son programas instalados en ordenadores comprometidos que pueden ser controlados por un atacante externo. Una botnet es una red de bots controlada por un atacante. Muchas veces estas botnets se utilizan para enviar spam, pero también para enviar los correos que utilizan los phishers para engañar a los usuarios y dirigirlos a la página falsa.

Otras técnicas utilizadas:

  • Escaneadores masivos. Los phishers utilizan escaneadores masivos para comprobar redes enteras en busca de vulnerabilidades en algún ordenador. Muchas veces estos escaneadores llevan incorporado lo que se conoce como autorooter, de forma que automaticamente atacan el sistema y intentan conseguir acceso a él.
  • Ataques combinados. Combinación de diversas de estas técnicas para hacer más efectivos los intentos de conseguir contraseñas, por ejemplo, instalando diversos servidores para que en caso de que uno deje de funcionar poder seguir usando el otro.

Como conclusión, podemos ver que el proceso más habitual que se usa para este tipo de ataques es:

  • Puesta en marcha de páginas web imitando a las reales
  • Envio de spam publicitando estas páginas
  • Instalación de redirecciones hacia la página falsa
  • Propagación del spam a través de botnets

Si queremos más información sobre phishing podemos consultar la página Anti-Phishing Working Group

Guardado en Artículo, Seguridad avanzada | 1 comentario »

1 comentario

  1. Malaga dijo:

    Te olvidas del eslabón más débil: la persona que hace click donde no debe.

    Llevo tiempo con ganas de hacer un experimento: una web que te pide permiso para descargar algo de tu ordenador, tipo “calc.exe” o “*.doc” y unas condiciones donde me autorizas a hacer lo que quiera con esa información. Borrarla, porque no me interesa, salvo por la estadística: seguro que son bastantes los incautos.

    Un saludo,

    Antonio.