Introducción a la seguridad Informática 1 - (4-7)

Ingeniería Social


El término "ingeniería social" hace referencia al arte de manipular personas para eludir los sistemas de seguridad.
Esta técnica consiste en obtener información de los usuarios por teléfono, correo electrónico, correo tradicional o por contacto directo.
Los atacantes de la ingeniería social usan la fuerza persuasiva y se aprovechan de la inocencia del usuario haciéndose pasar por un compañero de trabajo, un técnico o un administrador, etc.

Phishing

El término phishing, en informática, denota un uso de la ingeniería social para intentar adquirir información comprometedora sobre un usuario (contraseñas, cuentas bancarias, datos de tarjetas de crédito, etc.) de forma fraudulenta.

En la práctica, el atacante (phisher) se hace pasar por una persona o entidad de confianza para el usuario y lo contacta por un medio electrónico, como puede ser el correo o la mensajería instantánea. 

El objetivo es hacerle llegar un comunicado que simula ser oficial; ya que imita el formato, el lenguaje y el logo de la entidad que se está falsificando. En dicho comunicado se suelen pedir datos de acceso o información sensible, alegando diversos motivos, como ser problemas técnicos, actualizaciones, beneficios, cambio de políticas, posible fraude, etcétera.

Acompañado al motivo de la comunicación, figura un link a la página aparentemente oficial de la entidad emisora, pero que en realidad conduce a un sitio web falso que es una copia exacta de la página original. Confiado, el usuario puede caer en esta trampa y escribir sus datos confidenciales en esa copia ilegítima creada por el atacante.

Pero, ¿cómo es posible que un atacante cree una copia exacta de un sitio y logre robar nuestros datos? En la jerga, a esta copia exacta la denominamos Scam. El mismo se ve idéntico al sitio que se está falsificando pero con la diferencia de que, al estar alojado en otro lugar, la dirección URL será diferente a la original. Por otra parte, el formulario que le pide los datos a la víctima de este ataque, está completamente alterado para lograr almacenar todos los datos escritos allí, y luego de eso, redireccionar al usuario hacia el sitio real de la entidad.

Creación de Ataques de Phishing

La mejor forma de evitar caer en la trampa de un scam es saber cómo están hechos. Si aprendemos a crear uno, y vemos cómo funciona, seremos capaces de detectar aquellos que nos encontremos por la web. ¡Manos a la obra! Elegimos un objetivo, por ejemplo la red social Facebook. Ingresamos a la página que vamos a falsificar, la cual puede ser el inicio o el panel de acceso de la misma. En este caso realizaremos el scam de lo que vemos en

www.facebook.com.

Una vez en el sitio, guardamos la página completa. La forma de hacerlo varía según el navegador web. Por ejemplo en Firefox basta con ir al menú y seleccionar Guardar página cómo…
Guardamos el sitio web del que crearemos un scam.


Procedemos a analizar la página que hemos guardado en nuestro disco duro, en busca del formulario de acceso – que es lo que nos interesa – para editarlo a nuestra conveniencia.
Lo único que tenemos que modificar de este formulario es el atributo action que, como bien indica su nombre en inglés, es la acción que se realizará cuando el usuario presione el botón “Iniciar sesión”


Acción original del formulario de acceso de Facebook.
Borramos la acción original y escribimos el nombre de un archivo PHP que crearemos a continuación, el cual contendrá las nuevas acciones del formulario.




Modificamos el atributo action del formulario.
Antes de cerrar este documento HTML, anotemos los nombres (atributo name) de los campos donde escribimos el nombre de usuario y la contraseña. En este caso se denominan: email y pass respectivamente.

Ahora si procedemos a crear el script PHP que indicamos de acción en el formulario. Este pequeño código se encargará de almacenar lo que se haya escrito en el campo email y pass dentro de un archivo en nuestro poder y luego redireccionar a la víctima del ataque al sitio original de Facebook.
A continuación el código de loading.php:

$user = $_POST['email'];
$pass = $_POST['pass'];
$archivo = fopen('doc.html', 'a+');
fwrite($archivo,
"
Usuario: ".$user.
"
Pass: ".$pass."
");
fclose($archivo);
echo ""
?>


Almacenamos los datos que nos interesan, abrimos el archivo doc.html (el cual debemos crear en la misma ubicación que este script) mediante la función fopen, escribimos los datos con fwrite y cerramos el archivo para redireccionar al usuario hacia el sitio de Facebook.

Eso es todo lo que necesitamos, ya podemos subir el scam a un hosting y verificar su funcionamiento o, mejor aún, instalar un servidor web local utilizando XAMPP (www.apachefriends.org/es/index.html) o algún otro y ver cómo funciona desde nuestra propia máquina



En la primera ventana, una vez que presionamos el botón Iniciar Sesión, nuestros datos quedarán guardados en poder del atacante tal como se ve en la ventana inferior.

Deteccion de Phishing

La mayoría de los navegadores web más populares cuentan con filtros automáticos para detectar posibles fraudes.

Básicamente, lo que hacen es verificar cada URL visitada por el usuario contra una base de datos que contiene URLs que han sido catalogadas como maliciosas.



Pantalla que muestra el navegador Firefox cuando intentamos acceder a un sitio web catalogado como malicioso.

El sitio web phishtank provee una lista gratuita que se actualiza constantemente de forma colaborativa, para luchar contra el phishing. Dicha lista puede ser consultada tanto a través del sitio web como a través de una API y también se la puede descargar en diferentes formatos.

Publicar un comentario

0 Comentarios