Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
08/07/2013
SIGUEM EL NOSTRE PROPI CSI (II): Analitzant un PHISHING
Encara són molts els que confonen el verdader significat d’este terme i l'associen únicament i exclusivament al robatori de dades d’accés a comptes bancaris, usuari i contrasenya (robatori de credencials bancàries).
Este error generalitzat possiblement siga conseqüència de la mania que tenim “de posar anglicismes” (posar paraules en anglés) a tot el que toquem, sobretot pel que fa a les noves tecnologies.
Un altre dels errors, quant al conegut phishing, és el concepte erroni que és una activitat encaminada únicament i exclusivament al robatori d’identitat bancària, al robatori de les nostres claus d’accés a la banca en línia.
Deixarem novament clar el significat de “Phishing” de l’anglés pescar). Este terme és utilitzat per a referir-se al mètode utilitzat pels ciberdelinqüents per a, de forma fraudulenta, obtindre informació confidencial de la seua víctima relativa a les seues dades personals, les claus d’accés, els comptes bancaris, els números de la targeta de crèdit, d'identitats, etc. Resumint, per mitjà d’un atac de phising el ciberdelinqüent obté totes les dades possibles per a després usar-les de forma fraudulenta a fi de suplantar la identitat de la víctima.
El ciberdelinqüent, que en este cas és conegut com a phisher, utilitza tècniques d’enginyeria social, i es fa passar per una persona o empresa de confiança i utilitza un correu electrònic, o qualsevol altre sistema de missatgeria instantània, xarxes socials SMS/MMS, o fins i tot utilitza telefonades.
El fi no és un altre que el robatori de la nostra informació personal.
Estes tècniques pretenen potenciar el factor por, per a induir i quasi obligar la víctima perquè aporte les dades personals sol·licitades. Solen anar acompanyades d’avisos de caducitat els servicis amb eixa companyia (servici d’Internet, accés a qualsevol servici, banca en línia, etc.). La víctima disposarà sempre d'un període de temps molt curt per a evitar una reacció contrària a les expectatives del ciberdelinqüent, per això utilitzaran missatges del tipus “el seu compte caducarà en 24 hores.” o “si no ingressa la informació en les pròximes hores...” són sovint utilitzats en este tipus de campanyes.
Llegiu l'article complet en El blog d’Angelucho.