abril 20, 2020

Phishing y formas básicas de detectarlo y evitarlo
Compartir en FacebookComparte este enlace en Facebook Compartir en TwitterComparte este enlace en Twitter


por Walter Velásquez
Coordinador de Cultura Digital
Programa Telecentros Comunitarios
Municipalidad de Puerto Montt


Una de las técnicas ampliamente usadas para realizar engaños informáticos es la Técnica del Phishing. El Phishing consiste en engañar al usuario para que voluntariamente entregue datos personales como por ejemplo sus contraseñas haciéndole creer que se está comunicando con un representante de una empresa o direccionándolo a una página que es idéntica a las páginas oficiales del sitio web de una determinada empresa u organización.

El nombre se dice que viene del término Fishing, que en inglés significa pescar, al cual se le modifica la F por una PH (que en inglés suena igual), costumbre que se dicen usan los Hackers. Es lo que podríamos llamar «El Cuento del Tío Informático».

En el caso de que una persona nos llame y se haga pasar por representante de una empresa (o un familiar), si no somos tan ingenuos, no resulta tan difícil darse cuenta del engaño. En todo caso aún hay personas que lamentablemente caen en este engaño. Les recordamos que las mismas empresas recalcan que nunca le van a pedir contraseñas por teléfono, WhatsApp o por e-mail.

El caso que vamos a analizar es el caso cuando a uno le llega un mensaje por e-mail, mensaje de texto o WhatsApp, donde le indican que visite un enlace e ingrese sus datos de usuario.

Antes de entrar de lleno en como detectar el engaño y mostrar algunos ejemplos, es bueno aclarar algunos términos.

Navegador de Internet: Programa (aplicación, app, software) que sirve para recorrer páginas web. El término en inglés es «Web Browser». Los más populares son Chrome, Firefox, Edge (versión actual de Microsoft Internet Explorer), Safari, Opera, etc.

Hypertexto: Lenguaje que permite combinar texto con imágenes, video, audio y otro elementos multimedia, además de integrar interactividad como por ejemplo que la hacer click sobre un elemento se despliegue nueva información o nos conecte a otra página web.
* Este tutorial está hecho con hypertexto.

Página Web: Es cada una de la hojas (pantallas) que vemos utilizando un Navegador de Internet y que están hechas con hypertexto. En Inglés el término es «Web Page».

Sitio Web: Es un conjunto de páginas web interconectadas con información relacionada a una empresa u organización. Se podría decir que un Sitio Web es como un libro, y cada pantallazo del sitio es una Página Web. En inglés el término es «Web Site».
* Popularmente, sobre todo en castellano, se usa indistintamente página web y sitio web como si fueran lo mismo. En realidad no son lo mismo y cuando una empresa dice «Visite nuestra Página Web» lo correcto debería ser «Visite Nuestro Sitio Web».

Hypervínculo: Conexión a otro página o elemento multimedial. Sinónimos: hipervínculo, hiperenlace, enlace, link (eslabón).

URL: Significa «Uniform Resource Locator» (Localizador de Recursos Uniforme) y se refiere a las Direcciones de Internet (Internet Address). Todo lo que está en Internet tiene un URL o dirección. Hay diferentes tipo de URLs dependiendo del recurso.
* Entre las URL más utilizadas se encuentran las URL de las páginas y sitios web, que son las que vamos a explicar un poco más para poder evitar el Phishing.

Formato de la URL

En general el formato de as URLs es:

http://www.nombre_de_la_empresa.dominio

Donde:

http:// : Indica al programa que utilice el protocolo HTTP (Hyper Text Tranfer Protocol, Protocolo de Transferencia de Hypertexto)

www : World Wide Web (Amplia Red Mundial), indica que la dirección (URL) a la cual se va entrar contiene Hypertexto.
* Puede ser optativa

Nombre_de_la_empresa : nombre de la empresa titular del Sitio Web.

Dominio : en general indica el país al cual pertenece el sitio o el tipo de empresa.

Ejemplos de tipo:

.COM = Company (Compañía o empresa, sitios relacionados con empresas)
.NET = Network (red, sitios relacionados con empresas y comunicaciones)
.EDU = Education (Educación, sitios relacionados con educación)
.ORG = Organization (Organización, sitios relacionados con instituciones sin fines de lucro)
etc...

Ejemplo de Países
CL = Chile
FR = Francia
UK = Reino Unido (United Kingdom), Inglaterra
JP = Japón
CH = Suiza
.COM.AR = Argentina
.MX = México
.DE = Alemania (Deutchland)
etc...

Dónde se visualizan las URLs

Las URL o Direcciones de Internet se visualizan principalmente en la barra de Direcciones (o de búsqueda) del Navegador de Internet, pero también en la barra de estado del mismo tal como muestra la siguiente imagen y no sirven para saber dónde estamos dentro de la Word Wide Web (WWW, Amplia Red o Telaraña Mundial).


La barra de estado sirve para visualizar lo que está realizando el navegador, por ejemplo cuando nos conectamos a un URL alcanzaremos a leer cosas como «esperando...», «conectando...», etc. Además cuando pasamos el puntero del mouse sobre algún hypervículo nos indica a dónde nos vamos a conectar.

La URL en el fondo nos muestra dónde estamos y por lo tanto es una buena herramienta para saber si estamos en el lugar correcto y no en una dirección fraudulenta como veremos más adelante.

Veamos algunos ejemplo de URLs validas

La mayoría de nosotros usamos cuentas de banco, en particular la del Banco estado. La URL principal del Banco Estado es

www.bancoestado.cl

Por lo tanto si estamos en el verdadero sitio del Banco Estado siempre nuestras URLs van a tener una estructura similar. Por ejemplo a entra la página principal de Banco estado automáticamente se nos direccionará a la URL

https://www.bancoestado.cl/imagenes/_personas/home/default.asp

Lo cual es un URL correcta.


No se preocupen si la URL tiene un slash (/) y luego una sarta de cadenas de caracteres, esa URL también es correcta. Lo importante es que comience con www.bancoestado.cl. Lo importante es que que ante del www no haya nada más aparte del https://

Fíjense además (y se los dejo de ejercicio) que si pasan el puntero por sobre los botones Hazte Cliente o Banca en Línea en la barra de estado nos muestra que nos conectaremos a URLs que comienzan con http://www.bancoestado.cl/ que son direcciones confiables.

Ejemplo de Phishing

En una ocasión me llegó un e-mail pidiéndome que entre al banco estado mediante un enlace que venía en el mensaje. Al hacer click llevaba a una falsa que no recuerdo pero algo así como:

http://234.546.453.45/www.bancoestado.cl/

Se parece a la URL verdadera del Banco Estado, pero tiene antes del www un slash y una dirección IP (números) que no corresponde a la dirección correcta.

Lo importante es que no haya nada antes del www.bancoestado.cl o que la URL no comience con algo parecido a bancoestado.cl

Subdominios

Lo que si es correcto son los subdominios que vendrían a ser como «subconjuntos» del Sitio principal. Siguiendo con el ejemplo son correctas direcciones como

https://personas.bancoestado.cl

o

https://bancapersonas.bancoestado.cl

Lo importante es que la URL contenga en este caso bancoestado.cl y que se reemplace el «www» por otro término.

En las universidades también es común encontrarse con el uso de dominios. Por ejemplo la URL principal de Universidad Austral es

www.uach.cl

Y existe por ejemplo el subdominio

http://empleos.uach.cl/

Lo importante es que no haya nada antes dominio y/o sólo se reemplace el «www» por «empleos» como en este caso.

A continuación les dejo un video con otro ejemplo de «Phising» visualizado en un Smart Phone



Si se fijan en este caso en la barra de direcciones del navegador del celular aparece la URL

192.119.70.58

La cual podría ser correcta pues detrás de un dominio hay una dirección IP, pero no es común que las empresas usen como URL una Dirección IP en lugar de su dominio. Además previamente en el video aparecen otras URLs que no tiene relación con bancoestado.cl

Como pueden ver en la navegador del celular también podemos ver la URL en la que estamos en la respectiva barra de direcciones.


Más ejemplos


Hace un tiempo llegó a mi correo un invitación para agregar a un usuario francés como amigo a mi cuenta de Facebook y al hacer click aparecía esto:


En apariencia esta página es similar a la página de entrada de Facebook, pero vemos en la barra de direcciones aparece la URL

facenook.freewebhostx.com/login.php


La cual no corresponde a la dirección oficial de Facebook que es Facebook.com y obviamente esto es un intento de Phishing.

Para una persona con conocimientos avanzados de programación es fácil hacer una copia de una página de validación con usuario y contraseña, y luego vincular el formulario a un script (programa) que recoja los datos y los envíe por ejemplo a un correo personal, cosa que los reciba y luego sepa mi usuario, mi clave, con esos datos se meta a mi cuenta y se apodere de ella.

Otro ejemplo

Hace poquito me lleǵo un email con el asunto «Multa - ID: 543.334.12»


Al hacer click en «Ver Indicaciones» me llevaba a la URL

http://impuestos-sii.ddns.net/

La cual a su vez me hacía descargar un archivo ejecutable.


Esto puede ser aún mas grave pues podría estar descargando un «Malware», o sea un Software Malicioso que podría dañar mi sistema operativo.

Hay que hacer notar además que la URL no corresponde la URL oficial principal del SII que es www.sii.cl

Otro ejemplo también relacionado con el SII:

Me llegó este e-mail sobre una bleta que tenía que descagar.


Al pasar el puntero sobre el enlace que dice «Ver la Noleta electrónica: (6Kb)» en la barra de estado aparece que me voy a conectar a:

https://www.marvellavocats.com/sites/default/files/languages/NEG/?DOC0100014

Que no tiene absolutamente nada que ver con la URL principal del SII


Ejemplo con los cupones de descuento de los Supermercados:

Hay usuarios a los cuales les ha llegado una invitación para obtener cupones con mercadería en supermercados vía WhatApp (y oro medios) que dice:

Consigue un cupón de $100.000 gratis para Lider y Express de LIDER mientras dure la cuarentena. Consigue tu cupón aqui: http://lider.supercupones.net


Claro la URL se parece, pero no cumple con el formato de subdominios. Lo correcto sería algo como

http://supercupones.lider.net

Que indicaría que supercupones es un subdominio de Lider.net y no que que lider es un subdominio de supercupones.

Además la URL oficial de Líder en Chile es Lider.cl y no con .net

Además en su momento Líder y otro supermercados publicaron en sus sitios oficiales que esto era algún tipo de estafa.

Resumen


La principal herramienta entonces para detectar el Phishing es verificar la URL, por lo tanto cuando mediante algún medio como mensaje de texto, e-mail o WhatsApp le llegue un enlace para ingresar datos miren bien en la barra de direcciones de su navegador en dónde están o a dónde van a ir a parar.

Referencias:

https://es.wikipedia.org/wiki/Phishing

https://es.wikipedia.org/wiki/Malware

No hay comentarios.: