Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Seguridad en Sistemas de información Master en Informática Universidad de La Coruña.

Slides:



Advertisements
Presentaciones similares
Andrés Gustavo Márquez Zuleta
Advertisements

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Seguridad en Sistemas de información Master en Informática Universidad de La Coruña.
Phishing Integrantes: Virginia Brandt Cecilia Miliano
PHISING Es una modalidad de estafa con el objetivo de intentar obtener de un usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito,
QUE ES SPAM Y SPYWARE.
Noelia Rodrigo Mengual Fernando Costa Castro Estefanía Humanes Aguilera Mario Rodríguez Prieto Semestre Febrero 2015 – Junio 2015.
En seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. El atacante.
¿QUÉ ES? Phishing o suplantación de identidad es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de.
Modalidad de estafa caracterizada por suplantar la identidad con el fin de apropiarse de datos confidenciales de los usuarios Phishing se trata de un.
Programa de Jornadas Escolares Promoción del uso seguro y responsable de Internet entre los menores Protección ante virus y fraudes Charla de sensibilización.
Malware. ¿Qué es un Malware y cómo se puede prevenir? Los Malware son programas informáticos diseñados por ciberdelincuentes para causarle algún daño.
OUTLOOK 2007.
Departamento de Asistencia al Ciudadano
Protección ante virus y fraudes
Registro de Software REALIZADO POR: ANDRÈS BARRETO.
BANCA VIRTUAL.
Seguridad Informatica
Ejemplos de transacciones electrónicas
SEGURIDAD, PRIVACIDAD Y MEDIDAS DE PREVENCIÓN.
Seguridad Informática
Fase 4 – Maintaining Access (Mantener Acceso)
PHISING.
Amenazas Hacker: Hacker es una persona que manipula o que posee conocimientos prácticos que modifican los usos de las cosas de modo que éstas puedan emplearse.
Seguridad informática
Seguridad Informática. Tema 3
Día de la Internet Segura, 07/02/2017
PRIVACIDAD EN LA RED.
Ana Fernanda Rodríguez Hoyos
informática y convergencia
Seguridad en la Red.
Qué tanto sabe de seguridad informática
Primera iniciativa en Iberoamérica en atención en línea policial.
INTERNET Fuente de amenazas
QUE ES UN SERVIDOR DE CORREO
Pasos para Desencriptar la Información Confidencial Enviada al Cliente
Juan Daniel Valderrama Castro
Internet. Uso seguro de Internet
Claves para usar internet con seguridad
INTERNET Actividad 3 Herramientas Tareas Ruben Dario Acosta V.
Que es el correo electronico ( )
Tipos de amenazas Subtítulo.
Páginas web con wordpress
Clientes DNS (Resolutores –“resolvers” de nombres)
TRANSFERENCIAS ELECTRÓNICAS Y PAGOS
INGENIERIA SOCIAL La Ingeniería Social es un conjunto de acciones que se realizan con el fin de obtener información a través de la manipulación de usuarios.
LO QUE SE DEBE SABER SOBRE EL PHISHING
PHISHING. ¿QUÉ ES EL PHISHING?  Un tipo de engaño difundido a través de la Red.  Consiste en imitar Correos, Sitios Web de empresas conocidas.  El.
Servidores web. ¿Cómo funciona la web? Internet Cliente Web ( Netscape, Internet Explorer, Firefox, etc.) Servidor Web Servidor de nombres (DNS) 2.
Modalidades Robo de Identidad Electrónicas
Claves para usar internet con seguridad
Curso de Iniciación a Internet
Guía para la preinscripción
MANUAL APLICACIÓN FICHAS FLOTAS
VIRUS PHISHING NOMBRE : JUAN PAREDES MODULO : TALLER INFORMÁTICO.
División DELITOS TECNOLOGICOS
CONSEJOS PARA NAVEGAR EN INTERNET DE MANERA SEGURA.
Guía para Ingreso de EIA
_Principales virus informáticos. 2. 5
01 Registro & Mi Perfil “My Profile”
Planificación Curso UNIDAD 1. INTRODUCCIÓN A LOS SERVICIOS EN RED
Cambio de contraseña de correo
Docente: Valerio Herrera, Luis E. Experiencia Formativa III Semana 4: Servidores Web.
ING. JULIO GARCÍA SÁNCHEZ. Internet le ha cambiado la forma de comunicarse al mundo entero, toda la información que anteriormente resultaba tal vez difícil.
Protección y seguridad en los dispositivos
Intr. a la creación y gestión de páginas web
Seguridad en los Dispositivos
Seguridad en internet.
Dirección Adjunta de Rentas Aduaneras
PROXY MARISOL LUNA MARTÍNEZ EUNICE CASTILLO ORFILIA ANGULO MARLOVY.
MAPA RIESGOS PROBABILIDAD CASI SEGURO PROBABLE   PROBABLE 6. Protocolo SSL inseguro 1. Registro SPF 2. Cargue de Archivos Maliciosos POSIBLE 9.
Transcripción de la presentación:

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Seguridad en Sistemas de información Master en Informática Universidad de La Coruña

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Introducción Introducción Historia Historia Definición Definición Proceso de Phishing Proceso de Phishing Tipos de phishing Tipos de phishing Recomendaciones de seguridad Recomendaciones de seguridad Casos Reales Casos Reales Índice Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Introducción Aumento de fraudes y estafas financieras a través de Internet Creciente popularización de servicios de banca electrónica y comercio basado en Web Este tipo de ataques se ha acuñado con el termino “Phishing” Nueva generación de ataques Acceder al sistema con intenciones maliciosas Introducir un virus Destruir datos personales o equipos Recopilar información personal Realizar operaciones fraudulentas Realizar estafas electrónicas Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña “Phishing” se encuentra relacionado con el denominado “Phreaking” “Phishing” se encuentra relacionado con el denominado “Phreaking” Acuñado a mediados de los años noventa por los crackers que Acuñado a mediados de los años noventa por los crackers que intentaban robar las cuentas de los clientes de AOL intentaban robar las cuentas de los clientes de AOL − El timador se presentaba como empleado de la empresa − El timador enviaba un correo a la víctima, solicitando que relevara su contraseña − Una vez que la víctima entregaba las claves, el atacante podría tener acceso a la cuenta de ésta acceso a la cuenta de ésta − 1997, AOL reforzó su política respecto al “phishing” Añadir un sistema de mensajería instantánea Añadir un sistema de mensajería instantánea “no one working at AOL will ask for your password or billing information” “no one working at AOL will ask for your password or billing information” Sistema que desactivaba de forma automática Sistema que desactivaba de forma automática una cuenta involucrada en “phishing” una cuenta involucrada en “phishing” Historia Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña 10 años después los casos de phishing se han extendido, 10 años después los casos de phishing se han extendido, afectando a numerosas entidades afectando a numerosas entidades 90% de las campañas de phishing esta orientadas hacia el sector financiero 90% de las campañas de phishing esta orientadas hacia el sector financiero Los otros tipos de ataques están orientados: Los otros tipos de ataques están orientados: Comercio electrónico Comercio electrónico Servicios de reservaciones Servicios de reservaciones Almacenes comerciales Almacenes comerciales Historia Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Modalidad de estafa caracterizada por suplantar la identidad con el fin de apropiarse de datos confidenciales de los usuarios Phishing se trata de un término similar al de la palabra inglesa “fish” (pescar) − Un pescador lanza un sedal en el agua repetidamente con un cebo − El cebo es una pieza de un aparejo de pesca que parece un sabroso pez más pequeño, pero en realidad es un desagradable anzuelo más pequeño, pero en realidad es un desagradable anzuelo − Al final, el cebo capta la atención de un pez que pica − El pez engañado se engancha al anzuelo y se encuentra con la muerte Definición Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Los ataques de “phishing” causan mayores estragos entre los usuarios principiantes de servicios de comercio y banca electrónica, quienes podrían considerar 'normal' el recibir un correo electrónico solicitándoles ir a una Web para ingresar su información Ataque phishing puede producirse de varias formas: – Mensaje a un teléfono móvil – Llamada telefónica – Aplicación Web que simula una entidad – Ventana emergente – Recepción de un correo electrónico Definición Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Paso 0: − Phisher identifica la identidad financiera a clonar mediante herramientas informáticas − Phisher procede a instalar la página clonada de la entidad en un servidor Web Extensión del dominio original del servidor Web Creado especialmente para este fin El dominio usado Proceso Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Paso 1: − Dar a conocer a la mayor cantidad de personas el link fraudulento − El medio preferido para difundir el portal fraudulento es el SPAM Proceso Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Paso 2: − La víctima hace clic sobre el link direcionandolo a la página Web fraudulenta Proceso Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Paso 3: − La víctima ingresa los datos requeridos comprometiendo información confidencial en el sitio fraudulento en el sitio fraudulento Proceso Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Paso 4: − La información capturada es guardada o enviada a otro servidor para poder ser usado en transacciones ilegales para poder ser usado en transacciones ilegales Proceso Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Paso 5: − El phisher con la información confidencial capturada procede a robar el dinero Proceso Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Phishing engañoso Tipos de Phishing Forma primitiva de “phishing” Forma primitiva de “phishing” La herramienta de comunicación utilizada es mediante el correo electrónico La herramienta de comunicación utilizada es mediante el correo electrónico Los ejemplos de llamada a la acción son muy diversos Los ejemplos de llamada a la acción son muy diversos Los correo y los sitios falsos son diseñados con mucha atención en el detalle Los correo y los sitios falsos son diseñados con mucha atención en el detalle Dos variantes: Vishing Vishing – Utiliza el teléfono como herramienta – Basado en un software denominado “war dialers” Smashing Smashing – Utiliza mensajes de texto a móviles Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Phishing basado en software malicioso Implica la ejecución de un software malicioso en el ordenador de la víctima Implica la ejecución de un software malicioso en el ordenador de la víctima La propagación de este tipo de “phishing” puede depender: La propagación de este tipo de “phishing” puede depender: Técnicas de ingeniería social − El ataque debe conseguir que el usuario realice alguna actuación que permita la realice alguna actuación que permita la ejecución del malware en su ordenador ejecución del malware en su ordenador Explotar vulnerabilidad del sistema – Aprovechan fallos en la seguridad del sistema de un sitio Web legítimo del sistema de un sitio Web legítimo para introducir software malicioso para introducir software malicioso Tipos de Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Phishing basado en software malicioso Keyloggers y Screenloggers Keyloggers y Screenloggers Secuestradores de sesión Secuestradores de sesión Troyanos Web Troyanos Web Ataques de reconfiguración del sistema Ataques de reconfiguración del sistema Robo de datos Robo de datos Tipos de Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Phishing basado en software malicioso Keyloggers y Screenloggers Keyloggers y Screenloggers − Programas que registran las pulsaciones que se realizan en el teclado − Las Aplicaciones están programadas para ponerse en funcionamiento al acceder a alguna Web registrada al acceder a alguna Web registrada − Los datos son grabados y enviados al delincuente − Versiones más avanzadas capturan movimientos de ratón − Los “Screenloggers” capturan imágenes de la pantalla que son remitidos al atacante Tipos de Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Phishing basado en software malicioso Secuestradores de sesión Secuestradores de sesión − El ataque se produce una vez que el usuario ha accedido a alguna Web − No roba datos, directamente actúa cuando la víctima ha accedido a su cuenta corriente a su cuenta corriente − Los programas suelen ir “disfrazados” como un componente del propio navegador Tipos de Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Phishing basado en software malicioso Troyanos Web Troyanos Web − Programas maliciosos en forma de ventanas emergentes − Hacer creer al usuario que está introduciendo la información en el sitio Web real Tipos de Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Phishing basado en software malicioso Ataques de reconfiguración del sistema Ataques de reconfiguración del sistema − Modificar los parámetros de configuración del sistema del usuario Modificar el sistema de nombres de dominio Instalación de un “proxy” para canalizar la información Dos tipos de modificación Tipos de Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Phishing basado en software malicioso Robo de datos Robo de datos − Códigos maliciosos que recaban información confidencial de la máquina en la que esta instalado en la que esta instalado Tipos de Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Phishing basado en el DNS o “Pharming” Este delito supone un peligro mayor Este delito supone un peligro mayor − Menor colaboración de la víctima − El “disfraz” parece más real Modificar fraudulentamente la resolución del nombre de dominio enviando Modificar fraudulentamente la resolución del nombre de dominio enviando al usuario a una dirección IP distinta al usuario a una dirección IP distinta Táctica consistente en cambiar los contenidos del DNS Táctica consistente en cambiar los contenidos del DNS Tipos de Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Phishing mediante introducción de contenidos Introducir contenido fraudulento dentro de un sitio Web legítimo Introducir contenido fraudulento dentro de un sitio Web legítimo 3 categorías: – Asaltar el servidor aprovechando una vulnerabilidad – Introducir contenido malicioso a través del “cross-site scripting – Aprovechar la falta de mecanismos de filtrado en los campos de entrada Tipos de Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Phishing mediante la técnica del intermediario El delincuente se posiciona entre el ordenador y el servidor El delincuente se posiciona entre el ordenador y el servidor Posibilidad de escuchar toda la comunicación entre ambos Posibilidad de escuchar toda la comunicación entre ambos El usuario no detecta que está siendo víctima de un delito El usuario no detecta que está siendo víctima de un delito Phishing de motor de búsqueda Los delincuentes crean páginas Web para productos o servicios falsos Los delincuentes crean páginas Web para productos o servicios falsos Introducen la página en los índices de los motores de búsqueda Introducen la página en los índices de los motores de búsqueda Normalmente las falsas ofertas tienen condiciones sensiblemente mejores Normalmente las falsas ofertas tienen condiciones sensiblemente mejores Tipos de Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Recomendaciones de seguridad 1.Comprobación del Certificado Digital del servidor Web antes de confiar en su contenido de confiar en su contenido Certificado Digital de servidor Certificado de seguridad (mail.ucv.udc) Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña 2.Las direcciones de las páginas Web seguras empiezan por Reforzar la seguridad 4.Cerrar expresamente las conexiones seguras haciendo clic en la correspondiente opción habilitada por la empresa en la página Web correspondiente opción habilitada por la empresa en la página Web 5.Nunca se debe acceder a un formulario de autenticación a través de un enlace desde otra página Web o desde el texto de un correo electrónico enlace desde otra página Web o desde el texto de un correo electrónico 6.Desconfiar de un mensaje de correo recibido en nombre de la entidad financiera con una solicitud para entregar datos personales financiera con una solicitud para entregar datos personales 7.No establecer conexiones a este tipo de Websites desde lugares públicos 8.Comprobar que la dirección URL de acceso no incluye elementos sospechosos elementos sospechosos Recomendaciones de seguridad Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña 9. No instalar nuevos programas y controles en el navegador sin antes comprobar su autenticidad sin antes comprobar su autenticidad 10. Guardar de forma segura los datos y claves de acceso 11. Habilitar la función del navegador que permite advertir del cambio entre el contenido seguro (conexión SSL) y el no seguro el contenido seguro (conexión SSL) y el no seguro Cambio entre conexión segura y no segura Recomendaciones de seguridad Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña 12. Las aplicaciones Web deben estar programadas para utilizar páginas de autenticación independientes de autenticación independientes 13. Revisar periódicamente las cuentas 14. Utilizar nuevas alternativas propuestas por algunos bancos para evitar tener que teclear las contraseñas evitar tener que teclear las contraseñas 15. Comunicar los posibles delitos relacionados con la información personal a las autoridades competentes a las autoridades competentes Teclado virtual Recomendaciones de seguridad Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Caso Real Banco Santander Central Hispano Características de seguridad: − Autoridad Certificación − Conexiones Seguras SSL − Privacidad Como actuar en caso de phishing Banco Santander permite ponerse en contacto: − Teléfono − Buzón Superlinea Santander A mayores proporciona un enlace a la página: − “1º Campaña contra el robo De identidad y el fraude on-line” Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Banco Santander Central Hispano Ejemplo de un caso real de ataque phishing detectado en Internet Pasos del ataque phishing 1.Recepción del correo fraudulento 2.Acceder a la página fraudulenta 3.Completar el formulario Caso Real Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Banco Santander Central Hispano 1.Recepción del correo fraudulento Correo phishing Banco Santander Características del correo: Nombres de compañía ya existente: −Banco Santander Factor miedo: − Instalar nuevo sistema de seguridad Enlace: − Página fraudulenta Caso Real Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Banco Santander Central Hispano 1.Acceder a la página fraudulenta Página fraudulenta creada por los estafadores: Página oficial del banco: – El diseño de la página esta muy bien lograda – La página fraudulenta solicita la información de acceso a la cuenta Caso Real Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Banco Santander Central Hispano 1.Completar el formulario Rellenar los datos personales del usuario: – Nif – Clave de acceso Entrar en la aplicación: − Se muestra un mensaje de error − La información ingresada es enviada a los estafadores Mensaje de error Caso Real Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Banco Caja Madrid Características de seguridad: − Autoridad Certificación − Sistemas informáticos protegidos del exterior por un sistema de firewalls − Monitorización continua de todas las aplicaciones − Seguimiento inmediato de cualquier incidencia del servicio de Internet − Información almacenada aislada con las máximas medidas de seguridad Como actuar en caso de phishing Caja Madrid permite ponerse en contacto: − Teléfono Caso Real Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Caso Real Banco Caja Madrid Correo phishing Caja Madrid

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Seguridad en Sistemas de información Master en Informática Universidad de La Coruña Muchas Gracias por vuestra atención ¿Alguna Pregunta?

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.