Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Seguridad en Sistemas de información Master en Informática Universidad de La Coruña.

Slides:



Advertisements
Presentaciones similares
Internet y tecnologías web
Advertisements

Sistemas de Información
Delitos Informáticos.
SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.
Andrés Gustavo Márquez Zuleta
Daniel Julián Tébar y Javier Perea Martínez. Compra y venta de productos o de servicios a través de medios electrónicos, tales como Internet y otras redes.
Jessica Lizeth Flores Guerrero Coral Jazmín Ramírez Ortiz
Sabes lo que es el PHISING? Son correos electrónicos de dudosa procedencia que pretenden pescar información confidencial (claves de acceso, números de.
Protección del ordenador
Un hacker es quien se filtra o irrumpe en el sistema de una computadora, ya sea rompiendo un código o encontrando una manera de evadirlo.
Índice Introducción: - Fraud Modus Operandi Detección:
Phishing o estafas por Internet
SEGURIDAD INFORMÁTICA
HINARI – Acceso a los artículos: Problemas y Soluciones.
Tema 1 – Adopción de pautas de seguridad informática
` Seguridad en el Comercio Electrónico. Contenido Comercio Electrónico Riesgos principales Cuidados a tener en cuenta Fuentes.
PROTECCIÓN DEL ORDENADOR
Programa Espía spyware.
Inedim tema:virus de la computadora integrantes brayan cogollo andrea herrera angie villalba dayana argumedo edgar gordillo.
Elementos vulnerables en el sistema informático: hardware, software y datos. Gabriel Montañés León.
MALWARE Software malicioso Leticia-S_C. Indice Virus y malware Clasificación de malware o virus, gusanos, troyanos y backdoors o adware y Pop-ups o intrusos,
Phishing Integrantes: Virginia Brandt Cecilia Miliano
Diego Pastor Ralde. Client-side Vulnerabilities  Web Browsers  Office Software  Clients  Media Players.
Tema 13: privacidad en la red Andrea Sánchez Ferriol Arancha Valero García.
Andrea temina forment. PRIVACIDAD DE LA RED  Escucha o rastreo de puertos (scanning) : Por medio de una serie de programas, es posible analizar el estado.
1. El usuario y la institucion: A traves de internet necesita : Un ordenador, o bien un telefono movil o una PDA. 1.Un navegador de internet. 2.Una conexión.
INTEGRANTES: JEANNETH CALVA MARIA PAUCAR SUSANA QUISHPI.
AMENAZAS DE SEGURIDAD EN EL ENTORNO DE CE
Software malicioso.
SEGURIDAD Seguridad en la máquina. Un ordenador es una herramienta aparentemente inofensiva que se puede convertir en un gran peligro si no se usa conociendo.
MANTENIMIENTO1 Unidad 3 AMENAZAS Y VULNERABILIDADES INFORMÁTICAS.
Norman SecureTide Potente solución de nube para detener el spam y las amenazas antes de que lleguen a su red.
ESTAFAS POR INTERNET. Estafas de pago por anticipado; la víctima es persuadida de adelantar dinero con la promesa de obtener una mayor ganancia posteriormente.
Benemérita Escuela Normal Urbana Federal Fronteriza
Introducción: En nuestra vida cotidiana muchísimas personas utilizamos el correo electrónico para comunicarlos con nuestros amigos, familia, y para un.
COMPUTACIÒN BÀSICA TEMA: AMENAZAS TÌPICAS PARA UN PC INTEGRANTES: ESTEFANIA BRICEÑO MAYRA PINTO TANIA QUINTEROS JENNY VALENCIA.
 La seguridad es la característica de un sistema que está libre de todo peligro. Al se difícil de conseguir hablamos de sistemas fiables en vez de sistemas.
 Los virus informáticos son programas que se introducen sin conocimiento del usuario en un ordenador para ejecutar en él acciones no deseadas.  Las.
AMENAZAS INFORMÁTICAS PRISCILA ROMO VALENZUELA NAYLA YARETH DÁVALOS TAFOYA MANUEL OCTAVIO COTA ELIZARRARAZ CESAR DANIEL PEREYRA CONTRERAS DELGADO VALENZUELA.
 Cada vez existen más amenazas informáticas a las cuales estamos vulnerables de cualquier ataque o infección por la gran demanda de usuarios que hay.
Seguridad Informática Instituto de Educación Superior Tecnológico “Huaycán”
PHISING Es una modalidad de estafa con el objetivo de intentar obtener de un usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito,
TEMA: AMENAZAS TIPICAS PARA UN PC. PHISHING Es un intento a través del teléfono, correo electrónico, mensajería instantánea o fax, de recabar información.
1. Escucha o rastreo de puertos (scanning) : Por medio de una serie de programas, es posible analizar el estado de los puertos de una máquina conectada.
Seguridad en el correo electrónico Jorge L Jaramillo.
Seguridad Informática
GLADYS MACIAS. SPAM  correo basura o mensaje basura a los mensajes no solicitados, no deseados o de remitente no conocido (correo anónimo)  habitualmente.
File Transfer Protocol.
Introducción a la Seguridad de los Sistemas Operativos.
Las redes y su seguridad
Indice -Antes de Comprar -Durante la Compra -Después de la compra
Seguridad Informática
UD 1: “Adopción de pautas de seguridad informática”
QUE ES SPAM Y SPYWARE.
Seguridad en la banca electrónica. Contenido Banca electrónica Principales riesgos Cuidados a tener en cuenta Fuentes.
Secuencia de Comandos en Sitios Cruzados XSS
Seguridad en la red Realizado por: Sandra Aranda y Ana María Gallego Sandra Aranda y Ana María Gallego.
Robo de identidad en internet ¿Qué es ? El robo de identidad es cualquier clase de fraude que origine la pérdida de datos personales, como, por ejemplo,
FIREWALLS, Los cortafuegos
Norman SecureSurf Proteja a los usuarios cuando navegan por Internet.
LA SEGURIDAD INFORMÁTICA
¿Qué es un virus informático? Un virus informático es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso.
TIPOS DE ATAQUES Y VULNERABILIDADES EN UNA RED
Los peligros de la Red. ¿A que nos enfrentamos? Se conoce como malware. Esto es un software que tiene como objetivo dañar un ordenador o conseguir datos.
SISTEMA DE GESTIÓN DE OVITRAMPAS Oficina General de Estadística e Informática Ministerio de Salud ZikApp.
!!!PRESTE ATENCIÓN!!! PHISHING Una peligrosa modalidad de fraude por internet llegó a Colombia.
Oscar Fernando Valdizon Coronado Carne: Universidad Galileo 01/08/2015.
SEGURIDAD EN LA RED. INTERNET Y SUS PRECAUCIONES El uso de Internet ha traído grandes beneficios, entre ellos conocer información al instante de cualquier.
Modalidad de estafa caracterizada por suplantar la identidad con el fin de apropiarse de datos confidenciales de los usuarios Phishing se trata de un.
Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Seguridad en Sistemas de información Master en Informática Universidad de La Coruña.
Transcripción de la presentación:

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Seguridad en Sistemas de información Master en Informática Universidad de La Coruña

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Introducción Introducción Historia Historia Definición Definición Proceso de Phishing Proceso de Phishing Tipos de phishing Tipos de phishing Recomendaciones de seguridad Recomendaciones de seguridad Casos Reales Casos Reales Índice Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Introducción Aumento de fraudes y estafas financieras a través de Internet Creciente popularización de servicios de banca electrónica y comercio basado en Web Este tipo de ataques se ha acuñado con el termino “Phishing” Nueva generación de ataques Acceder al sistema con intenciones maliciosas Introducir un virus Destruir datos personales o equipos Recopilar información personal Realizar operaciones fraudulentas Realizar estafas electrónicas Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña “Phishing” se encuentra relacionado con el denominado “Phreaking” “Phishing” se encuentra relacionado con el denominado “Phreaking” Acuñado a mediados de los años noventa por los crackers que Acuñado a mediados de los años noventa por los crackers que intentaban robar las cuentas de los clientes de AOL intentaban robar las cuentas de los clientes de AOL − El timador se presentaba como empleado de la empresa − El timador enviaba un correo a la víctima, solicitando que relevara su contraseña − Una vez que la víctima entregaba las claves, el atacante podría tener acceso a la cuenta de ésta acceso a la cuenta de ésta − 1997, AOL reforzó su política respecto al “phishing” Añadir un sistema de mensajería instantánea Añadir un sistema de mensajería instantánea “no one working at AOL will ask for your password or billing information” “no one working at AOL will ask for your password or billing information” Sistema que desactivaba de forma automática Sistema que desactivaba de forma automática una cuenta involucrada en “phishing” una cuenta involucrada en “phishing” Historia Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña 10 años después los casos de phishing se han extendido, 10 años después los casos de phishing se han extendido, afectando a numerosas entidades afectando a numerosas entidades 90% de las campañas de phishing esta orientadas hacia el sector financiero 90% de las campañas de phishing esta orientadas hacia el sector financiero Los otros tipos de ataques están orientados: Los otros tipos de ataques están orientados: Comercio electrónico Comercio electrónico Servicios de reservaciones Servicios de reservaciones Almacenes comerciales Almacenes comerciales Historia Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Modalidad de estafa caracterizada por suplantar la identidad con el fin de apropiarse de datos confidenciales de los usuarios Phishing se trata de un término similar al de la palabra inglesa “fish” (pescar) − Un pescador lanza un sedal en el agua repetidamente con un cebo − El cebo es una pieza de un aparejo de pesca que parece un sabroso pez más pequeño, pero en realidad es un desagradable anzuelo más pequeño, pero en realidad es un desagradable anzuelo − Al final, el cebo capta la atención de un pez que pica − El pez engañado se engancha al anzuelo y se encuentra con la muerte Definición Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Los ataques de “phishing” causan mayores estragos entre los usuarios principiantes de servicios de comercio y banca electrónica, quienes podrían considerar 'normal' el recibir un correo electrónico solicitándoles ir a una Web para ingresar su información Ataque phishing puede producirse de varias formas: – Mensaje a un teléfono móvil – Llamada telefónica – Aplicación Web que simula una entidad – Ventana emergente – Recepción de un correo electrónico Definición Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Paso 0: − Phisher identifica la identidad financiera a clonar mediante herramientas informáticas − Phisher procede a instalar la página clonada de la entidad en un servidor Web Extensión del dominio original del servidor Web Creado especialmente para este fin El dominio usado Proceso Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Paso 1: − Dar a conocer a la mayor cantidad de personas el link fraudulento − El medio preferido para difundir el portal fraudulento es el SPAM Proceso Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Paso 2: − La víctima hace clic sobre el link direcionandolo a la página Web fraudulenta Proceso Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Paso 3: − La víctima ingresa los datos requeridos comprometiendo información confidencial en el sitio fraudulento en el sitio fraudulento Proceso Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Paso 4: − La información capturada es guardada o enviada a otro servidor para poder ser usado en transacciones ilegales para poder ser usado en transacciones ilegales Proceso Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Paso 5: − El phisher con la información confidencial capturada procede a robar el dinero Proceso Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Phishing engañoso Tipos de Phishing Forma primitiva de “phishing” Forma primitiva de “phishing” La herramienta de comunicación utilizada es mediante el correo electrónico La herramienta de comunicación utilizada es mediante el correo electrónico Los ejemplos de llamada a la acción son muy diversos Los ejemplos de llamada a la acción son muy diversos Los correo y los sitios falsos son diseñados con mucha atención en el detalle Los correo y los sitios falsos son diseñados con mucha atención en el detalle Dos variantes: Vishing Vishing – Utiliza el teléfono como herramienta – Basado en un software denominado “war dialers” Smashing Smashing – Utiliza mensajes de texto a móviles Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Phishing basado en software malicioso Implica la ejecución de un software malicioso en el ordenador de la víctima Implica la ejecución de un software malicioso en el ordenador de la víctima La propagación de este tipo de “phishing” puede depender: La propagación de este tipo de “phishing” puede depender: Técnicas de ingeniería social − El ataque debe conseguir que el usuario realice alguna actuación que permita la realice alguna actuación que permita la ejecución del malware en su ordenador ejecución del malware en su ordenador Explotar vulnerabilidad del sistema – Aprovechan fallos en la seguridad del sistema de un sitio Web legítimo del sistema de un sitio Web legítimo para introducir software malicioso para introducir software malicioso Tipos de Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Phishing basado en software malicioso Keyloggers y Screenloggers Keyloggers y Screenloggers Secuestradores de sesión Secuestradores de sesión Troyanos Web Troyanos Web Ataques de reconfiguración del sistema Ataques de reconfiguración del sistema Robo de datos Robo de datos Tipos de Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Phishing basado en software malicioso Keyloggers y Screenloggers Keyloggers y Screenloggers − Programas que registran las pulsaciones que se realizan en el teclado − Las Aplicaciones están programadas para ponerse en funcionamiento al acceder a alguna Web registrada al acceder a alguna Web registrada − Los datos son grabados y enviados al delincuente − Versiones más avanzadas capturan movimientos de ratón − Los “Screenloggers” capturan imágenes de la pantalla que son remitidos al atacante Tipos de Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Phishing basado en software malicioso Secuestradores de sesión Secuestradores de sesión − El ataque se produce una vez que el usuario ha accedido a alguna Web − No roba datos, directamente actúa cuando la víctima ha accedido a su cuenta corriente a su cuenta corriente − Los programas suelen ir “disfrazados” como un componente del propio navegador Tipos de Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Phishing basado en software malicioso Troyanos Web Troyanos Web − Programas maliciosos en forma de ventanas emergentes − Hacer creer al usuario que está introduciendo la información en el sitio Web real Tipos de Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Phishing basado en software malicioso Ataques de reconfiguración del sistema Ataques de reconfiguración del sistema − Modificar los parámetros de configuración del sistema del usuario Modificar el sistema de nombres de dominio Instalación de un “proxy” para canalizar la información Dos tipos de modificación Tipos de Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Phishing basado en software malicioso Robo de datos Robo de datos − Códigos maliciosos que recaban información confidencial de la máquina en la que esta instalado en la que esta instalado Tipos de Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Phishing basado en el DNS o “Pharming” Este delito supone un peligro mayor Este delito supone un peligro mayor − Menor colaboración de la víctima − El “disfraz” parece más real Modificar fraudulentamente la resolución del nombre de dominio enviando Modificar fraudulentamente la resolución del nombre de dominio enviando al usuario a una dirección IP distinta al usuario a una dirección IP distinta Táctica consistente en cambiar los contenidos del DNS Táctica consistente en cambiar los contenidos del DNS Tipos de Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Phishing mediante introducción de contenidos Introducir contenido fraudulento dentro de un sitio Web legítimo Introducir contenido fraudulento dentro de un sitio Web legítimo 3 categorías: – Asaltar el servidor aprovechando una vulnerabilidad – Introducir contenido malicioso a través del “cross-site scripting – Aprovechar la falta de mecanismos de filtrado en los campos de entrada Tipos de Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Phishing mediante la técnica del intermediario El delincuente se posiciona entre el ordenador y el servidor El delincuente se posiciona entre el ordenador y el servidor Posibilidad de escuchar toda la comunicación entre ambos Posibilidad de escuchar toda la comunicación entre ambos El usuario no detecta que está siendo víctima de un delito El usuario no detecta que está siendo víctima de un delito Phishing de motor de búsqueda Los delincuentes crean páginas Web para productos o servicios falsos Los delincuentes crean páginas Web para productos o servicios falsos Introducen la página en los índices de los motores de búsqueda Introducen la página en los índices de los motores de búsqueda Normalmente las falsas ofertas tienen condiciones sensiblemente mejores Normalmente las falsas ofertas tienen condiciones sensiblemente mejores Tipos de Phishing Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Recomendaciones de seguridad 1.Comprobación del Certificado Digital del servidor Web antes de confiar en su contenido de confiar en su contenido Certificado Digital de servidor Certificado de seguridad (mail.ucv.udc) Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña 2.Las direcciones de las páginas Web seguras empiezan por Reforzar la seguridad 4.Cerrar expresamente las conexiones seguras haciendo clic en la correspondiente opción habilitada por la empresa en la página Web correspondiente opción habilitada por la empresa en la página Web 5.Nunca se debe acceder a un formulario de autenticación a través de un enlace desde otra página Web o desde el texto de un correo electrónico enlace desde otra página Web o desde el texto de un correo electrónico 6.Desconfiar de un mensaje de correo recibido en nombre de la entidad financiera con una solicitud para entregar datos personales financiera con una solicitud para entregar datos personales 7.No establecer conexiones a este tipo de Websites desde lugares públicos 8.Comprobar que la dirección URL de acceso no incluye elementos sospechosos elementos sospechosos Recomendaciones de seguridad Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña 9. No instalar nuevos programas y controles en el navegador sin antes comprobar su autenticidad sin antes comprobar su autenticidad 10. Guardar de forma segura los datos y claves de acceso 11. Habilitar la función del navegador que permite advertir del cambio entre el contenido seguro (conexión SSL) y el no seguro el contenido seguro (conexión SSL) y el no seguro Cambio entre conexión segura y no segura Recomendaciones de seguridad Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña 12. Las aplicaciones Web deben estar programadas para utilizar páginas de autenticación independientes de autenticación independientes 13. Revisar periódicamente las cuentas 14. Utilizar nuevas alternativas propuestas por algunos bancos para evitar tener que teclear las contraseñas evitar tener que teclear las contraseñas 15. Comunicar los posibles delitos relacionados con la información personal a las autoridades competentes a las autoridades competentes Teclado virtual Recomendaciones de seguridad Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Caso Real Banco Santander Central Hispano Características de seguridad: − Autoridad Certificación − Conexiones Seguras SSL − Privacidad Como actuar en caso de phishing Banco Santander permite ponerse en contacto: − Teléfono − Buzón Superlinea Santander A mayores proporciona un enlace a la página: − “1º Campaña contra el robo De identidad y el fraude on-line” Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Banco Santander Central Hispano Ejemplo de un caso real de ataque phishing detectado en Internet Pasos del ataque phishing 1.Recepción del correo fraudulento 2.Acceder a la página fraudulenta 3.Completar el formulario Caso Real Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Banco Santander Central Hispano 1.Recepción del correo fraudulento Correo phishing Banco Santander Características del correo: Nombres de compañía ya existente: −Banco Santander Factor miedo: − Instalar nuevo sistema de seguridad Enlace: − Página fraudulenta Caso Real Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Banco Santander Central Hispano 1.Acceder a la página fraudulenta Página fraudulenta creada por los estafadores: Página oficial del banco: – El diseño de la página esta muy bien lograda – La página fraudulenta solicita la información de acceso a la cuenta Caso Real Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Banco Santander Central Hispano 1.Completar el formulario Rellenar los datos personales del usuario: – Nif – Clave de acceso Entrar en la aplicación: − Se muestra un mensaje de error − La información ingresada es enviada a los estafadores Mensaje de error Caso Real Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Banco Caja Madrid Características de seguridad: − Autoridad Certificación − Sistemas informáticos protegidos del exterior por un sistema de firewalls − Monitorización continua de todas las aplicaciones − Seguimiento inmediato de cualquier incidencia del servicio de Internet − Información almacenada aislada con las máximas medidas de seguridad Como actuar en caso de phishing Caja Madrid permite ponerse en contacto: − Teléfono Caso Real Seguridad en Sistemas de información Master en Informática

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Caso Real Banco Caja Madrid Correo phishing Caja Madrid

Pedro Lorenzo Riveiros 22 mayo 2008, La Coruña Seguridad en Sistemas de información Master en Informática Universidad de La Coruña Muchas Gracias por vuestra atención ¿Alguna Pregunta?

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.