Ingeniería social para IT

Phishing o suplantación de identidad

¡Prueba gratis durante 10 días

nuestros 1219 cursos !

Prueba gratis Mostrar modalidades de suscripción
Es la archiconocida técnica del email de suplantación de identidad corporativa. Es tremendamente eficaz y se sigue usando a diario con millones de envíos de este tipo de emails. Hay que saber identificarlos, y en este vídeo te voy a enseñar a hacerlo.

Transcripción

Estrictamente hablando, el "phising" es toda técnica empleada en comunicaciones telemáticas en la que, mediante la suplantación de una identidad confiable, se pretende obtener información secreta o privada de la víctima. La palabra se pronuncia igual que "fishing", con 'f' en lugar de 'ph', que hace referencia a la pesca. Porque de lo que se trata es de hacer que la víctima pique en el anzuelo de la falsa identidad. El más común de los medios de phising es el correo electrónico, aunque también existen perfiles falsos en redes sociales cuyo propósito es desviar la atención de potenciales víctimas para que interactúen con el impostor, en lugar de con la persona o entidad real. El phising no tiene por qué ir acompañado de herramientas de hacking o de avanzadas técnicas informáticas. El phising es solo el anzuelo. La trampa que el atacante pone a sus potenciales víctimas. Luego, una vez que la víctima queda enganchada, la explotación de la misma puede continuar por distintas vías, ya sean de ingeniería social o de hacking. Pero empecemos por el principio y centrémonos en el correo electrónico. Lo primero que hará un atacante que recurra al phising será diseñar su formato para que encaje con la identidad de la persona o empresa a la que pretende emular. Analizará la web y las newsletters de la empresa para poder copiar su formato, estructura, fuentes, colores y logotipos, y si es realmente avezado hasta el estilo de escritura. Después, deberá desarrollar el mensaje. Con un buen diseño de la imagen, nos haría creer que el remitente es confiable de forma prácticamente inconsciente. Confiamos porque reconocemos el estilo y el formato, pero para conseguir que hagamos lo que el atacante desea debe estructurar el contenido de su mensaje de forma que lo que nos pida parezca razonable y lícito. Para ello, puede recurrir al miedo, la urgencia, nuestra avaricia o cualquier otro sentimiento fundamental que nos lleve a pensar en el siguiente paso a dar para conseguir nuestro objetivo. Es decir, que el atacante debe hacernos pensar en el siguiente paso, de forma que dejemos de prestar atención al correo electrónico que tenemos ante nosotros. Ese siguiente paso puede ser responder al e-mail y meternos en una conversación con la que trate de engañarnos. Como el típico "príncipe nigeriano" que quiere que le ayudemos a sacar dinero de su país o que abramos algún importantísimo archivo adjunto cuyo contenido obviamente va a ser perjudicial para nosotros. Diseñado el formato y el contenido del e-mail, el atacante debe hacérnoslo llegar. Para eso, primero debe conseguir un gran listado de direcciones de correo electrónico, si su objetivo es aleatorio, o los correos electrónicos específicos de las personas de nuestra empresa que le puedan interesar. Para eso puede, en el primer caso, recurrir a bases de datos legales e ilegales, y en el segundo, puede hacer búsquedas específicas de direcciones con nuestro dominio de empresa o conociéndolo y disponiendo de nombres de empleados, tratar de averiguar qué formato damos a las direcciones de correo. El siguiente paso es el que más pistas de carácter técnico puede ofrecernos a las víctimas sobre si un correo electrónico forma parte de una campaña de phising: es el dominio. Cuando enviamos e-mail lícito, el receptor ve nuestra dirección de correo y puede verificar que el remitente es correcto. Quienes practican phising suelen recurrir a tres técnicas para que no sospechemos. En ataques masivos, a veces simplemente ignoran este detalle y cuentan con que una gran parte significativa de los miles de receptores del correo no se percaten de que el remitente es una cuenta genérica del tipo Outlook, Gmail o cualquier otro proveedor de servicio. En ataques específicos, el atacante puede emplear un dominio muy similar al de quien pretende suplantar. Por ejemplo, saltándose una letra o cambiándola por una parecida, de forma que si lo leemos rápido, no notaremos la diferencia. La tercera vía –muy común en el pasado y más complicada hoy en día– es el "email spoofing", que es una técnica que consiste en hacer el envío de correos fraudulentos desde el propio servidor de correo de la empresa a la que se suplanta. Hoy día, los servidores más modernos no permiten esto y habría que conseguir privilegios de administración sobre el mismo antes de intentarlo. Pero aún quedan servidores vulnerables, así que hay que tener cuidado. Para protegernos, debemos estar siempre pendientes de que todo es correcto en los correos que recibimos, especialmente el remitente. Pero no hay que mirar solo el nombre que se muestra, que puede ser una dirección válida, sino las cabeceras del correo, donde se indica el servidor de envío y las direcciones de remitente y de respuesta. En los mensajes de phising, es común encontrar que la dirección de remitente y la de respuesta no son la misma. Aparte de eso, debemos tener siempre claro que ninguna empresa seria nos va a pedir jamás una contraseña por correo electrónico. Y si tenemos dudas, no debemos utilizar los enlaces incluidos en el e-mail, sino que debemos ir al navegador y acceder manualmente a la web del supuesto remitente para verificar que las direcciones son correctas, y en caso de duda, contactar con la empresa real por una vía alternativa para verificar –o no– la autenticidad del correo sobre el que tenemos dudas.

Ingeniería social para IT

Conoce los fundamentos básicos de la ingeniería social para así poder reducir las posibilidades de éxito de quien trate de sustraerte información mediente este método.

4:11 horas (48 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Fecha de publicación:12/09/2016

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.