El documento aborda las técnicas de ingeniería social utilizadas en ataques cibernéticos, en particular el phishing, donde estafadores obtienen información confidencial haciéndose pasar por entidades legítimas. Se destacan diversos métodos para reconocer y prevenir ataques de phishing, incluyendo la verificación de enlaces y la seguridad de contraseñas. También se menciona el fraude a través de 'scams', donde víctimas son engañadas para blanquear dinero obtenido de actividades delictivas.

1. Seguridad
informática
INGENIERA SOCIAL
CENTRO DE EDUCACIÓN MEDIA
DEPARTAMENTO DE MATEMÁTICAS Y FÍSICA

2. Técnicas de Ingeniera Social
Es la práctica de obtener información confidencial a
través de la manipulación de usuarios legítimos. Son
unas técnica que pueden usar ciertas personas, tales
como investigadores privados, criminales, o
delincuentes informáticos, que les permitan realizar
algún acto que perjudique o exponga la persona u
organismo comprometido a riesgo o abusos.

3. Dentro de las técnicas de
ingeniería social
Se encuentra
La estafa cibernética en la cual no se requiere de la presencia del
estafador, esta se realiza en un lugar seguro para él, con esta
actividad pretende un beneficio donde puede ir desde sacar claves
personales o bien simplemente buscan su satisfacción
manipulando diferentes usuarios.
En esto lo que generalmente sucede es que la culpa está en el
usuario, porque independientemente el equipo de cómputo que se
tenga si no se protege bien sus redes sociales o redes personales
podrán manipular fácilmente consiguiendo su clave de una manera
más sencilla.

4. Normalmente estos estafadores crean redes sociales
falsas, donde se pueden hacer pasar por:
 administración de nuestro equipo
 cuentas bancarias
 otros usuarios
 programas falsos entre ellos los antivirus
 a veces ofrecen servicios inexistentes dentro de
las mismas páginas de internet

5. ¿Qué es un Phishing?
El termino Phishing es utilizado para referirse a uno de los métodos
más utilizados por delincuentes cibernéticos para estafar y obtener
información confidencial de forma fraudulenta como puede ser una
contraseña o información detallada sobre tarjetas de crédito u otra
información bancaria de la víctima. El estafador, conocido como
phisher, se vale de técnicas de ingeniería social, haciéndose pasar
por una persona o empresa de confianza en una aparente
comunicación oficial electrónica, por lo general un correo
electrónico, o algún sistema de mensajería instantánea, redes
sociales SMS/MMS, a raíz de un malware o incluso utilizando
también llamadas telefónicas.

6. ¿Qué tipo de información roba? y
¿Cómo se distribuye?

7. Circuito de un ataque de Phishing:

8. ¿Cuánto podría a llegar a ganar
un atacante?

9. ¿Cómo puedo reconocer un
mensaje de Phishing?

10.  Distinguir un mensaje de Phishing de otro legítimo puede no resultar
fácil para un usuario que haya recibido un correo de tales
características, especialmente cuando es efectivamente cliente de la
entidad financiera de la que supuestamente proviene el mensaje.
 El campo De: del mensaje muestra una dirección de la compañía en
cuestión. No obstante, es sencillo para el estafador modificar la
dirección de origen que se muestra en cualquier cliente de correo.
 El mensaje de correo electrónico presenta logotipos o imágenes que
han sido recogidas del sitio web real al que el mensaje fraudulento
hace referencia.
 El enlace que se muestra parece apuntar al sitio web original de la
compañía, pero en realidad lleva a una página web fraudulenta, en
la que se solicitarán datos de usuarios, contraseñas, etc.
 Normalmente estos mensajes de correo electrónico presentan
errores gramaticales o palabras cambiadas, que no son usuales en
las comunicaciones de la entidad por la que se están intentando
hacer pasar.

11. Consejos para protegerse del
Phishing:
 La regla de oro, nunca le entregue sus datos por correo
electrónico. Las empresas y bancos jamás le solicitaran sus datos
financieros o de sus tarjetas de crédito por correo.
 Si duda de la veracidad del correo electrónico, jamás haga clic en
un link incluido en el mismo.
 Si aún desea ingresar, no haga clic en el enlace. Escriba la
dirección en la barra de su navegador.
 Si aún duda de su veracidad, llame o concurra a su banco y
verifique los hechos.
 Si recibe un email de este tipo de Phishing, ignórelo y jamás lo
responda.
 Compruebe que la página web en la que ha entrado es una
dirección segura ha de empezar con https:// y un pequeño candado
cerrado debe aparecer en la barra de estado de nuestro
navegador.

12.  Cerciórese de siempre escribir correctamente la dirección del
sitio web que desea visitar ya que existen cientos de intentos de
engaños de las páginas más populares con solo una o dos letras
de diferencia.
 Si sospecha que fue víctima del Phishing, cambie
inmediatamente todas sus contraseñas y póngase en contacto
con la empresa o entidad financiera para informarles.
 Todos los usuarios del correo electrónico corremos el riesgo de
ser víctimas de estos intentos de ataques. Cualquier dirección
pública en Internet (que haya sido utilizada en foros, grupos de
noticias o en algún sitio web) será más susceptible de ser víctima
de un ataque debido a los spiders que rastrean la red en busca
de direcciones válidas de correo electrónico. Éste es el motivo de
que exista este tipo de malware. Es realmente barato el realizar
un ataque de este tipo y los beneficios obtenidos son cuantiosos
con tan sólo un pequeñísimo porcentaje de éxito.
 La mejor manera de protegerse del Phishing es entender la
manera de actuar de los proveedores de servicios financieros y
otras entidades susceptibles de recibir este tipo de ataques.
Mantenerse informados con las nuevas tendencias y tipos de
ataques de Phishing en nuestro Blog, Foro, Facebook o Twitter
podría ayudar a prevenirles.

13. Hoax
¿Qué es?
Son mensajes con falsas alarmas de virus o de cualquier
otro tipo de alerta o de cadena (incluso solidaria o que
involucra la salud) o de algún tipo de denuncia
distribuida por correo electrónico, cuyo común
denominador es pedirle a los usuarios que los distribuya
a la mayor cantidad de personas posibles. Su único
objetivo es engañar y/o molestar. Actualmente muchos
mensajes hoax de falsas alertas y que piden que se
reenvíen, en poco tiempo se convierten en spam ya que
recolectan muchas direcciones de correo.

14. Con el furor actual de las redes sociales y las
posibilidades de combinaciones de texto e imágenes,
han tomado hoy otra forma, llegando a proporciones
inusitadas. Por favor se recomienda no reenviar o
republicar estos mensajes o publicaciones.
Nota: No confundir con las publicaciones spam
(publicidad) o con las publicaciones con enlaces
maliciosos (que llevan a webs infectadas).
Como evitarlos
Algo tan cotidiano y aparentemente inofensivo como un
enlace web puede ser el origen de un sofisticado
ataque Cross Site Scripting (XSS), o bien el cebo para
un fraude bancario online (phishing). A continuación se
repasarán las técnicas más utilizadas y las medidas
básicas para prevenir dichos ataques.

15. El ataque Cross Site Scripting (XSS) tiene su origen en la
posibilidad de que una aplicación web legítima devuelva, como
parte de su respuesta, un código malicioso enviado por un
atacante. Este tipo de vulnerabilidad suele estar presente en
formularios y consultas web que no realizan los filtros
adecuados y permiten inyectar código. La técnica más habitual
de XSS se basa en un enlace especialmente construido por un
atacante que incluye en la URL el código malicioso. Esta
dirección suele ser publicada en foros web o puede ser enviada
a través de correo electrónico a potenciales víctimas, a las que
intenta engañar con diferentes artimañas para que utilicen el
enlace. En caso de conseguirlo, se realizará una petición al
servidor web incluyendo el envío del código malicioso
incrustado en la URL.

16. Debido a la vulnerabilidad de la aplicación web, el
servidor devolverá al navegador del usuario el código
malicioso como si fuera legítimo, pudiendo falsificar el
aspecto del web o enviar al atacante datos
confidenciales de la sesión que el usuario ha iniciado.

17. Las técnicas de phishing, que tienen como objetivo engañar
a los usuarios para conseguir datos confidenciales,
como, por ejemplo, las claves de acceso a sus cuentas
bancarias, suelen basarse también en enlaces
fraudulentos. Normalmente se presentan en forma de
mensajes de correo electrónico supuestamente enviados
por las propias entidades, en los que se solicita al
usuario que acceda a una dirección web que, en
realidad, redirige a un servidor que tiene el mismo
aspecto que el del servicio bancario legítimo, pero que
enviará todos los datos suministrados a los atacantes.

18. La recomendación más básica consiste en no acceder a
los enlaces que lleguen a través de correo electrónico o
que se encuentren en páginas web no fiables. Debería
tenerse especial cuidado en caso de que los enlaces
pertenezcan a servicios de banca electrónica, o donde se
soliciten datos confidenciales tales como usuario y
contraseña. Lo ideal en estos casos es escribir
directamente la URL en la barra de direcciones de nuestro
navegador o seleccionarla desde nuestra lista de
favoritos.

19. EL SCAM
Scam es la captación de personas por medio de correos
electrónicos, chats, IRC, etc. donde empresas ficticias le
ofrecer trabajar cómodamente desde casa y cobrando unos
beneficios muy altos. Sin saberlo, la victima esta
blanqueando dinero obtenido por medio del phishing. Al tener
las claves, los estafadores hacen un ingreso bancario a la
otra víctima (mulero).
Una vez realizada la transferencia bancaria, los estafadores
avisan al mulero y le dicen que se quede un porcentaje (5% -
10%) que será su comisión de trabajo. El dinero restante
tiene que enviarlo por medio Money Gram o similares a un
destino que los estafadores le indiquen.

21. CONSEJOS
 Nunca revelar nunca nuestras claves ni a programas,
ni a correos ni a personas.
 Tomar con cuidado los mensajes de correo,
desconfiar si el mensaje pide que pases el aviso a tus
conocidos.
 No facilitar información que pueda servir para
elaborar claves sencillas
 Desconfiar de transacciones comerciales que utilicen
métodos de transferencia de efectivo como Money
Gram o Wertern Union.