Phishing
¿Qué es phishing?
Es una técnica utilizada por usuarios malintencionados que busca obtener los datos de acceso a un sistema o servicio basándose en la buena fé del usuario del sistema.
¿Por qué debe el usuario conocer este tema?
Esto es un vector de ataque informático sobre la privacidad del usuario. Lamentablemente no existen soluciones técnicas que nos permitan impedir este ataque, por lo que solo podemos apuntar a la capacitación del usuario y a generar conciencia sobre la importancia de proteger nuestros datos de usuario y contraseña.
Phishing en el sistema de correo electrónico
El ejemplo mas típico de phishing es por correo electrónico; el usuario malintencionado suele hacerse pasar por el administrador del sistema de correos y le informa al usuario que existe un inconveniente que requiere su intervención; éste hecho es totalmente falso, pero el usuario en su buena fé y sobre todo si desconoce del tema, accede a ayudar al falso administrador a solucionar el inconveniente inexistente en la realidad. Normalmente lo que el falso administrador busca obtener son los datos de acceso (usuario y contraseña) del usuario atacado.
Un ejemplo de ésto es el envío de este correo a un usuario de la Facultad:
Asunto: Atención: Cuenta Usuario
Fecha: 2015-09-01 10:19
De: "Sistema Administrador"@correo.umsa.bo
Destinatario: Recipients @correo.umsa.bo
Responder a: onlineservice03@email.com
Estimado Webmail Usuario,
Su buzón ha superado el límite de almacenamiento de 1GB puede que no sea
capaz de recibir o enviar correo electrónico hasta que actualice su
buzón. Para actualizar, haga clic en el enlace de abajo y llenar
completamente para actualizar su buzón de correo.
http://securityadminw.jigsy.com/
Después de 24 horas sin recibir ninguna respuesta de usted Vamos a
desactivar su buzón.
Gracias por usar Servicios Webmail. Administrador sistema © 2015.
El desglose de este correo electrónico nos brinda innumerables pistas sobre la falsedad del mismo:
- Remitente / De:
De: "Sistema Administrador"@correo.umsa.bo: El administrador del sistema de correos de la FCAL utilizará los Dominios DNS de la FCAL (Nombres en Internet) que son propiedad de la FCAL (osea: fcal.uner.edu.ar), no el dominio del Hospital Universitario del Valle de Colombia ni de la Universidad Mayor de San Andrés en Bolivia. Puntualmente el servidor de correos de la FCAL se llama mx1.fcal.uner.edu.ar.
- Destinatarios / Para:
Recipients @correo.umsa.bo: Si el administrador del sistema de correos tiene un problema con TU casilla de correos, entonces en este campo debe figurar la misma y no una dirección que no pertenece siquiera a la FCAL.
- Responder a / Reply-To: En este correo de ejemplo, si Ud. responde al mismo, la respuesta será enviada no a la dirección remitente, sino a
onlineservice03@email.com que (como asumimos, ya se habrá dado cuenta) no pertenece a la FCAL (No utiliza nuestros nombres en Internet @fcal.uner.edu.ar).
- Cuerpo del mensaje: supuestamente hemos excedido el espacio utilizado y debemos hacer alguna limpieza que requiere ayuda del administrador: Falso.
- Si Ud. tiene ocupado mas del 80% del espacio asignado a Ud. en el servidor, el servidor de correos le enviará un alerta indicándole que elimine contenido.
- Para eliminar contenido y recuperar espacio libre, no es mas que ir al Webmail y eliminar algunos correos. Recuerde también vaciar la papelera.
Enlace de destino
El enlace de destino puede pretender parecer un enlace válido de dominio de la Facultad, pero en realidad estar alojado en un sitio afuera de la red municipal, por ejemplo:
http://www.roundcub.heliohost.org/fcal.uner.edu.ar/ en realidad debemos desglosar el nombre con las barras (/), con lo cual con la primera porción desde la izquierda nos queda solo www.roundcub.heliohost.org, que es una página web alojada en heliohost.org, y no guarda relación alguna con la FCAL.
El sitio web allí montado puede pretender ser el mismo sitio de la Facultad, por ejemplo:
![[[Archivo:webmail_fraude.png]]](webmail_fraude.png)
Siendo que el verdadero es
![[[Archivo:webmail_verdadero.png]]](webmail_verdadero.png)
No me di cuenta, entré y puse mi usuario y contraseña. ¿qué hago?
Primero: Avisanos a la Administración de Redes. Cuanto ántes avises mas chances tenemos de evitar problemas.
Segundo: Cambiá tu contraseña de correo.
AMBOS PASOS deben ser ejecutados a la brevedad.
Tengo dudas
Si existe algún mensaje que aparentemente proviene del servidor o del Administrador y Ud. no sabe qué significa o tiene la mas mínima duda sobre la autenticidad del mismo, no dude en llamar a la Administración de Redes de la FCAL al 0345 4231440 Interno 1464.
Su consulta no molesta, y en este caso es aún mas justificada ya que un pequeño llamado puede prevenir un daño mayor.
