La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Formación CiberSeguridad

Publicada porYolanda Ayala Salazar Modificado hace 7 años

Presentaciones similares

Presentación del tema: "Formación CiberSeguridad"— Transcripción de la presentación:

1 Formación CiberSeguridad
Módulo I. ANTI-PHISHING Madrid, 2 de octubre de 2017

2 Tus cuentas y tu información valen una enorme cantidad
Quizás no seas consciente de ello, pero eres un objetivo del phishing tanto en el trabajo como en casa. Tus cuentas y tu información valen una enorme cantidad de dinero para los ciber criminales y ellos harán lo que puedan para hackearlos

3 1. INTRODUCCIÓN CONTENIDO 2. CASOS REALES DE PHISHING
3. IDENTIFICAR LOS ATAQUES DE PHISHING 4. EVITAR UN POSIBLE ATAQUE 5. CÓMO ACTUAR FRENTE A UN POSIBLE ATAQUE

4 INTRODUCCIÓN 1

5 Ingeniería Social y Phishing (I).
1. INTRODUCCIÓN – ¿Qué es el Phishing? Ingeniería Social y Phishing (I). ¿En qué consiste la ingeniería social? La ingeniería social consiste en utilizar la interacción humana (habilidades sociales) para obtener y poner en peligro la información de una organización y/o de sus sistemas informáticos. El atacante parecerá modesto y respetable, posiblemente asumirá una identidad falsa afirmando ser un nuevo empleado, personal de mantenimiento, un administrador del sistema… e incluso, podrá llegar a ofrecer credenciales también falsas para apoyar dicha identidad. A través de preguntas, él o ella, pueden ser capaces de reunir suficiente información para infiltrarse en el sistema de la víctima o de su organización. Si el atacante no fuese capaz de reunir suficiente información de su víctima, entonces intentará contactar con otras posibles fuentes dentro de la misma organización y utilizar la información obtenida de la primera para dar mayor credibilidad a su personaje.

6 Ingeniería Social y Phishing (II).
1. INTRODUCCIÓN – ¿Qué es el Phishing? Ingeniería Social y Phishing (II). ¿Qué es el Phishing? El phishing es una forma de ingeniería social. Los ataques de phishing usan el correo electrónico o sitios web maliciosos para solicitar información personal haciéndose pasar por una persona u organización confiable. Por ejemplo, un atacante puede enviar un correo electrónico suplantando a una compañía de tarjetas de crédito o a una institución financiera, solicitando información sobre una cuenta bancaria debido a que hay un problema con ella. Cuando los usuarios responden con la información solicitada, los atacantes pueden usarla para obtener acceso a las cuentas. Los ataques de phishing también pueden parecer que provienen de otros tipos de organizaciones, como las organizaciones benéficas. A menudo, los atacantes aprovechan ciertas épocas del año o acontecimientos actuales como: Vacaciones (pago de viajes…) Desastres naturales (inundaciones, huracanes, terremotos…) Epidemias y ataques sobre la salud (gripe aviar…) Preocupaciones económicas (por estafas…) Elecciones políticas importantes

7 Tipos de Phishing (I). ¿Qué es el Spear Phishing?
1. INTRODUCCIÓN – ¿Qué es el Phishing? Tipos de Phishing (I). ¿Qué es el Spear Phishing? El concepto spear phishing (spear=lanza) es el mismo que el phishing, salvo que en lugar de enviar correos de forma indiscriminada a millones de víctimas potenciales, los criminales dirigen sus ataques a una reducida selección de personas. Con el spear phishing, los atacantes investigan a sus víctimas, por ejemplo, leyendo sus perfiles de LinkedIn, Facebook o cualquier mensaje que hayan escrito en foros o blogs públicos. Después, basándose en esa investigación previa, los criminales escriben y lanzan un altamente personalizado y con un contenido relevante para su objetivo. De esta manera, es muchísimo más probable que una persona caiga en el engaño.

8 Tipos de Phishing (II). ¿Qué es el Vishing?
1. INTRODUCCIÓN – ¿Qué es el Phishing? Tipos de Phishing (II). ¿Qué es el Vishing? El vishing o el uso delictivo del teléfono. Según indica su término, que proviene de la unión de dos palabras en inglés voice y phising, se trata de un ciberdelito que ofrece a la víctima un número de teléfono al que comunicarse en vez de un link (enlace), como en el caso del phishing.

9 Tipos de Phishing (III).
1. INTRODUCCIÓN – ¿Qué es el Phishing? Tipos de Phishing (III). ¿Qué es el Smishing? El término "smishing" se refiere al phishing mediante SMS. Al igual que en el phishing, un mensaje con un tono urgente es enviado al usuario instándolo a tomar acción. Con el smishing se envía un mensaje de texto al teléfono del usuario en lugar de enviar un correo a la cuenta de correo electrónico. El mensaje de texto normalmente solicita al usuario llamar a un número de teléfono o ir a un sitio web. La llamada telefónica es respondida usualmente por un sistema de respuesta automatizado. Se le solicita al usuario proporcionar información privada, como contraseñas o información de tarjeta de crédito.

10 1. INTRODUCCIÓN – ¿Qué es el Phishing?
Tipos de Phishing (IV).

11 Consecuencias del Phishing (I).
1. INTRODUCCIÓN – ¿Qué es el Phishing? Consecuencias del Phishing (I). Consecuencias Personales. A nivel personal, el robo de información como usuarios y contraseñas, datos personales, tarjetas de crédito, información de acceso a cuentas bancarias… pueden tener consecuencias directas para la víctima en cuanto a estafas, pérdidas económicas, suplantación de identidad, spam, extorsión y otros, además del moral o psicológico.

12 Consecuencias del Phishing (II).
1. INTRODUCCIÓN – ¿Qué es el Phishing? Consecuencias del Phishing (II). Consecuencias Empresariales. A nivel empresarial, el robo de información perjudica la imagen de la empresa y disuade a los clientes de utilizar sus servicios por temor a ser víctimas de un fraude. Además de los costes directos de las pérdidas por fraude, las empresas cuyos empleados son víctimas de un ataque de phishing, también se exponen a otros riesgos: Menor uso de los servicios debido a la pérdida de confianza de los clientes, y por lo tanto, caída de los ingresos por Internet. Posible venta de los datos robados e información sensible de la empresa comprometida. Posibles sanciones administrativas si se ponen en peligro los datos confidenciales de los clientes. Extorsión para la recuperación de datos. Bloqueo de la actividad de la empresa por infección de sus sistemas por archivos con virus.

13 Consecuencias del Phishing (III).
1. INTRODUCCIÓN – ¿Qué es el Phishing? Consecuencias del Phishing (III). Consecuencias Personales y Empresariales. Infección de archivos con virus. Algunos virus pueden llegar a infectar no sólo al ordenador de la víctima, sino también a todo el sistema de su empresa, ya que se propagan fácilmente por las redes de ésta. Secuestro de información. La infección por un archivo ransomware (del inglés ransom, “rescate”, y ware, por ”software”), que es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema infectado para posteriormente pedir un rescate a cambio de quitar esta restricción​. Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.

14 2. CASOS REALES DE PHISHING
CONTENIDO 1. INTRODUCCIÓN 2. CASOS REALES DE PHISHING 3. IDENTIFICAR LOS ATAQUES DE PHISHING 4. EVITAR UN POSIBLE ATAQUE 5. CÓMO ACTUAR FRENTE A UN POSIBLE ATAQUE

15 CASOS REALES DE PHISHING
2

16 Casos reales de Phishing (I).
2. CASOS REALES DE PHISHING – Banco Sabadell Casos reales de Phishing (I). Campaña de phishing suplantando al Banco SABADELL Se ha detectado una campaña de envío de correos electrónicos fraudulentos que, suplantando al Banco Sabadell, pretende dirigir a la víctima (phishing) a una página para actualizar las credenciales. Al hacer clic en el enlace "Activación clientes" será dirigido a la siguiente url maliciosa: http : // ***.ly/2wq6iim

17 Casos reales de Phishing (II).
2. CASOS REALES DE PHISHING – APPLE Casos reales de Phishing (II). Campaña de phishing suplantando a APPLE Se ha detectado una campaña de envío de correos electrónicos fraudulentos que, suplantando a APPLE, pretende dirigir a la víctima (phishing) a una página para actualizar las credenciales. Si el usuario hace clic en el enlace, le redirige a una página con apariencia de la de Apple, dónde solicita al usuario que introduzca sus credenciales y le redirige a otra página dónde le solicitan detalles de su tarjeta de crédito e incluso el PIN.

18 Casos reales de Phishing (III).
2. CASOS REALES DE PHISHING – APPLE Casos reales de Phishing (III). Campaña de smshing suplantando a APPLE Se ha detectado una campaña de smishing a través de mensajes SMS que simula ser una comunicación al usuario para localizar un iPhone 6 de 16GB de almacenamiento que supuestamente se habría “perdido”. El objetivo de la campaña es obtener las contraseñas de los usuarios para el servicio iCloud de Apple.

19 Casos reales de Phishing (IV).
2. CASOS REALES DE PHISHING – Vodafone ONO Casos reales de Phishing (IV). Campaña de phishing suplantando a VODAFONE-ONO Se ha detectado una campaña masiva de correos electrónicos suplantando el envío de factura sin papel de Vodafone ONO que incluyen un fichero malicioso. Utilizan un reclamo, como el del asunto o el nombre del fichero, para conseguir que el receptor abra el fichero comprimido que infecta el equipo con malware.

20 Casos reales de Phishing (V).
2. CASOS REALES DE PHISHING – AEAT Casos reales de Phishing (V). Campaña de phishing suplantando a la AEAT Se ha detectado una nueva campaña masiva de phishing, a través de correo electrónico, simulando ser una comunicación de la Agencia Tributaria de España. Utilizando el título «reembolso de impuestos» como reclamo, el usuario pincha en el enlace y es dirigido a un sitio web que simula ser una página de reembolso de la Agencia Tributaria española.

21 Casos reales de Phishing (VI).
2. CASOS REALES DE PHISHING – Correos Casos reales de Phishing (VI). Campaña de phishing suplantando a CORREOS Se ha detectado una campaña de phishing que suplanta la identidad del servicio de Correos. Su objetivo es engañar a los usuarios para redirigirlos a una web maliciosa e instarles a descargar e instalar un virus en su equipo que cifrará los archivos del mismo.

22 3. IDENTIFICAR LOS ATAQUES DE PHISHING
CONTENIDO 1. INTRODUCCIÓN 2. CASOS REALES DE PHISHING 3. IDENTIFICAR LOS ATAQUES DE PHISHING 4. EVITAR UN POSIBLE ATAQUE 5. CÓMO ACTUAR FRENTE A UN POSIBLE ATAQUE

23 IDENTIFICAR LOS ATAQUES DE PHISHING
3

24 Identificar los ataques de Phishing (I).
En correos, navegadores web, llamadas telefónicas, SMS. Comprueba las direcciones de correo. Si el parece proceder de una organización legítima, pero en el "FROM" aparece una dirección de tipo personal, probablemente se trate de un ataque. Comprueba también los campos "TO" y "CC". ¿Se está enviando el a personas que no conoces o con las que no trabajas? Sospecha de los correos, SMS o llamadas en los que se dirigen a ti como "Querido cliente" o en los que usan otras fórmulas de saludo genéricas. Si una organización de confianza necesita ponerse en contacto contigo, deberían conocer tu nombre y otros datos. Pregúntate también ¿espero recibir una comunicación de esta compañía? Sospecha de errores ortográficos y gramaticales; la mayoría de empresas revisan cuidadosamente sus mensajes antes de enviarlos. Sospecha de cualquier correo, SMS o llamada que te solicite una "acción inmediata" o que cree un sentimiento de urgencia. Se trata de una técnica comúnmente utilizada para provocar que se cometan errores. Ten también presente que las organizaciones legítimas no te pedirán información personal.

25 Identificar los ataques de Phishing (II).
En correos, navegadores web, llamadas telefónicas, SMS. Sé cuidadoso con los enlaces y haz click sólo en aquellos que esperas recibir. Coloca el puntero del ratón sobre el enlace, sin llegar a hacer click sobre él. Esto te mostrará la verdadera dirección web que visitarías al click en el enlace. Si la verdadera dirección es distinta de la que se muestra en el correo, se trata de un indicador de un ataque. Comprueba en tu navegador el uso del “ para sitios seguros, y ten en cuenta las alertas del navegador (verifica la entidad emisora, caducidad, coincidencia del certificado con el sitio web) (Estas páginas son usadas por bancos, organismos oficiales…). Sospecha de archivos adjuntos. Abre únicamente aquellos que esperabas recibir. Sospecha de cualquier mensaje que suene demasiado bueno para ser cierto (No, ¡no has ganado la lotería!) El solo hecho de recibir un correo de un amigo no significa que sea éste quien lo ha enviado. Puede ser que el ordenador de tu amigo haya sido infectado con malware o que su cuenta de correo haya sido comprometida. Si recibes un sospechoso de un amigo o un colega de confianza, llámale por teléfono.

26 Identificar los ataques de Phishing (III).
Error en la dirección: compre en vez de corpme Envío de correo masivo a cuentas desconocidas en el “CC:” Adjunto sospechoso Atención a posibles amenazas o acciones inmediatas Textos sin sentido Errores gramaticales y ortográficos en los textos Enlace sospechoso al situar el cursor sobre él Firma sospechosa

27 4. CÓMO EVITAR LOS ATAQUES DE PHISHING
CONTENIDO 1. INTRODUCCIÓN 2. CASOS REALES DE PHISHING 3. IDENTIFICAR LOS ATAQUES DE PHISHING 4. CÓMO EVITAR LOS ATAQUES DE PHISHING 5. CÓMO ACTUAR FRENTE A UN POSIBLE ATAQUE

28 EVITAR UN POSIBLE ATAQUE
4

29 Evitar un posible ataque (I).
No proporciones información personal de ningún tipo, cómo tu cuenta bancaria, número de tarjeta de crédito, NIF, número de teléfono móvil, a menos que estés realmente pagando por algún bien o servicio. Ante la más mínima duda, no facilites información confidencial y recuerda que este tipo de estafa no solo se centra en la banca online. Infórmate periódicamente sobre las últimas noticias de seguridad, para mantenerte actualizado. Es importante: Utilizar antivirus para evitar la instalación de códigos maliciosos en tu equipo. Analiza tu ordenador ante cualquier sospecha. Asimismo, es conveniente un antivirus con antiphishing para correo y páginas web. Mantenlo actualizado con las firmas al día y activado. Actualiza el software de tus sistemas y de tu web en cuanto conozcas que hay una actualización, pues se aprovechan de estos fallos para instalar malware. Verifica la información. No hagas clic en una URL para introducir tus datos sin antes pasar el ratón sobre el enlace para comprobar si es legítimo el sitio a dónde te dirige. Si tienes duda de su procedencia, ponte en contacto por otra vía para verificarla. Desconfía de las URL’s acortadas, pues no se puede comprobar si el destino es legítimo o no. Los sitios legales no las utilizarán para pedirte datos. Antes de hacer login en una web, comprueba su identidad: consulta los datos del certificado, en el candado de la barra de navegación. Verifica el uso de “ Antes de introducir el , u otros datos sensibles, en una web o en un formulario, lee y comprende la política de privacidad y el aviso legal para evitar dar tu consentimiento a que cedan esos datos a terceros y terminen en manos de ciberdelincuentes.

30 4. EVITAR UN POSIBLE ATAQUE
Permanece atento para reconocer los ataques de ingeniería social: Si tienen prisas, te adulan o te amenazan, ¡Desconfía!. Igualmente, presta atención a la redacción, y sospecha si existen expresiones sin sentido y errores ortográficos o gramaticales. Utiliza el sentido común cuando vayas a hacer alguna transacción por internet, “si es demasiado bueno para ser cierto, es que no es cierto”. Ante la menor sospecha: ¡Borra el mensaje o cuelga la llamada!

31 5. CÓMO ACTUAR ANTE LOS ATAQUES DE PHISHING
CONTENIDO 1. INTRODUCCIÓN 2. CASOS REALES DE PHISHING 3. IDENTIFICAR LOS ATAQUES DE PHISHING 4. CÓMO EVITAR LOS ATAQUES DE PHISHING 5. CÓMO ACTUAR ANTE LOS ATAQUES DE PHISHING

32 CÓMO ACTUAR ANTE UN POSIBLE ATAQUE
5

33 Cómo actuar frente a un posible ataque
Cómo actuar en caso de ser víctima de un Ataque. Si hemos sido víctimas de un ataque de phishing, o tenemos fundadas sospechas de ello, deberemos actuar de la siguiente manera: Si has sido víctima de un intento de phishing informa al CORPME a través del correo electrónico ya que el CORPME a través de su Centro de Respuesta ante Emergencias Informáticas (CERT), tras catalogar la incidencia, determinarán las acciones a seguir para resolverlo. Sólo se aceptarán notificaciones de incidentes de seguridad remitidos desde cuentas oficiales del Registro o Registrador. También informa a la empresa suplantada y a las autoridades competentes. Avisa a tus compañeros del intento de phising. En caso de cuentas bancarias o tarjetas comprometidas, notifica al banco y bloquea/cancela éstas. Cambia inmediatamente las contraseñas comprometidas. ENVIAR CORREO ELECTRÓNICO A desde la cuenta del registro o la del Registrador, explicando el incidente y firmado con certificado de firma emitido por el Colegio de Registradores (Mas información en el “pdf” adjunto denominado “ Borrador de protocolo de reporte de incidencia (CERT)”) INFORMAR AL CORPME

34

Descargar ppt "Formación CiberSeguridad"

Presentaciones similares

Virus y Spyware Un módulo del Curso de CYC - Seguridad Informática.

Virus y Spyware Un módulo del Curso de CYC - Seguridad Informática.
Navegadores Un navegador es un software que permite al usuario recuperar y visualizar documentos de hipertexto, comúnmente escritos en código HTML, desde.

Navegadores Un navegador es un software que permite al usuario recuperar y visualizar documentos de hipertexto, comúnmente escritos en código HTML, desde.
Los Malware son programas informáticos diseñados por ciberdelincuentes para causarle algún daño o perjuicio al usuario como el robo de información, modificaciones.

Los Malware son programas informáticos diseñados por ciberdelincuentes para causarle algún daño o perjuicio al usuario como el robo de información, modificaciones.
¿QUÉ ES? Phishing o suplantación de identidad es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de.

¿QUÉ ES? Phishing o suplantación de identidad es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de.
PLAN DE FORMACIÓN DEL PROFESORADO MÓDULO I COMPETENCIAS BÁSICAS TIC 2.0 Sesión 2: BÚSQUEDA, SELECCIÓN Y GESTIÓN DE INFORMACIÓN A TRAVÉS DE INTERNET.

PLAN DE FORMACIÓN DEL PROFESORADO MÓDULO I COMPETENCIAS BÁSICAS TIC 2.0 Sesión 2: BÚSQUEDA, SELECCIÓN Y GESTIÓN DE INFORMACIÓN A TRAVÉS DE INTERNET.
C.E.I.P. LAIMÚN (EL EJIDO) CURSO 2014/2015 La Plataforma PASEN es un sistema de comunicación entre el centro educativo y las familias que no puede, en.

C.E.I.P. LAIMÚN (EL EJIDO) CURSO 2014/2015 La Plataforma PASEN es un sistema de comunicación entre el centro educativo y las familias que no puede, en.
Modalidad de estafa caracterizada por suplantar la identidad con el fin de apropiarse de datos confidenciales de los usuarios Phishing se trata de un.

Modalidad de estafa caracterizada por suplantar la identidad con el fin de apropiarse de datos confidenciales de los usuarios Phishing se trata de un.
Programa de Jornadas Escolares Promoción del uso seguro y responsable de Internet entre los menores Protección ante virus y fraudes Charla de sensibilización.

Programa de Jornadas Escolares Promoción del uso seguro y responsable de Internet entre los menores Protección ante virus y fraudes Charla de sensibilización.
Instituto internacional de seguridad cibernética Malware Bartalex soluciones de seguridad informática, informática forense, Curso de seguridad en redes.

Instituto internacional de seguridad cibernética Malware Bartalex soluciones de seguridad informática, informática forense, Curso de seguridad en redes.
Protección ante virus y fraudes

Protección ante virus y fraudes
COMPRAR EN INTERNET Entre la oferta y la estafa

COMPRAR EN INTERNET Entre la oferta y la estafa
Retiro Sin Tarjeta Rápido y fácil retira tu BEIFI en Cualquiera de los 9,000 Cajeros Automáticos BBVA Bancomer en la opción Retiro Sin Tarjeta.

Retiro Sin Tarjeta Rápido y fácil retira tu BEIFI en Cualquiera de los 9,000 Cajeros Automáticos BBVA Bancomer en la opción Retiro Sin Tarjeta.
CORREO ELECTRÓNICO.

CORREO ELECTRÓNICO.
TIPOS DE MALWARE.

TIPOS DE MALWARE.
Malware El malware es un término general que se le da a todo aquel software que perjudica a la computadora. La palabra malware proviene del término en.

Malware El malware es un término general que se le da a todo aquel software que perjudica a la computadora. La palabra malware proviene del término en.
SEGURIDAD, PRIVACIDAD Y MEDIDAS DE PREVENCIÓN.

SEGURIDAD, PRIVACIDAD Y MEDIDAS DE PREVENCIÓN.
Seguridad Informática

Seguridad Informática
RIESGOS GENERALES DE LAS TICS

RIESGOS GENERALES DE LAS TICS
Proveedores confiables de productos

Proveedores confiables de productos
Día de la Internet Segura, 07/02/2017

Día de la Internet Segura, 07/02/2017

Presentaciones similares

Anuncios Google