El documento habla sobre tres tipos de delitos informáticos definidos por la ONU: fraudes mediante manipulación de computadoras, manipulación de datos de entrada y daños o modificaciones de programas. También describe el slamming como el cambio no autorizado de compañía telefónica y cómo evitar ser víctima de este fraude mediante la verificación cuidadosa de la información y facturas recibidas.
2. La tecnología no se ha ocupado
solamente para el beneficio del
hombre, sino que algunos individuos
sin escrúpulos han traspasado los
límites de la seguridad y han
realizado actos ilícitos.
La Organización de las Naciones
Unidas (ONU) define tres tipos de
delitos informáticos:
Fraudes cometidos mediante
manipulación de computadoras.
Manipulación de los datos de
entrada.
Daños o modificaciones de
programas.
4. Es un término que se emplea para
describir el cambio de compañía
de telecomunicaciones (telefonía,
Internet, etc) sin la autorización
del cliente.
5. Hágase preguntas del tipo, ¿quién se ha puesto en
contacto con quién? Si se ponen en contacto con usted
para ofrecerle una promoción que debe firmar en un
tiempo limitado antes de perderla es posible que le
estén forzando a tomar una decisión precipitada sin
saber realmente si le interesa la promoción.
¿CÓMO PODEMOS INTUIR QUE
ESTAMOS SIENDO VÍCTIMAS DE
SLAMMING?
6. ¿CUÁNDO NOS DAMOS CUENTA
DEL FRAUDE?
Normalmente cuando dejamos de recibir el
servicio con nuestra operadora, que es cuando
llamamos y nos dicen que no estamos en la base
de datos como clientes.
También se puede detectar cuando nuestra
operadora nos llama para lanzarnos una
contraoferta o una promoción para
“recuperarnos” como clientes. O, sencillamente,
cuando nos llega la factura de un operador hasta
ahora no habitual.
7. Se recomienda ser muy cautos en la conversación
telefónica mantenida con el interlocutor. Lo mejor
es mantenerse firme en las respuestas.
Póngase en contacto con la compañía y verifique
que esa promoción, oferta o producto se ajusta a
los parámetros que le han indicado anteriormente.
Si recibe información a través del correo
electrónico, asegúrese de leer con cuidado toda la
información antes de devolver la autorización
aceptando la oferta.
Revise su factura telefónica cuidadosamente. Si ve
el nombre de una compañía nueva, llame
inmediatamente a su operador y solicite
información.
¿CÓMO PODEMOS EVITARLO?
8. Primero al servicio de atención al cliente de su operador. Para ello
cuenta con un mes de plazo para presentar una reclamación desde que
se ha recibido la notificación del cambio de Compañía. Si no le
solucionan el problema el siguiente paso es acudir a la Oficina de
Atención al Usuario de Telecomunicaciones llamando al teléfono
901366699.
¿A QUIÉN RECLAMAMOS SI HEMOS
SIDO VÍCTIMAS DE UN SLAMMING?
10. DEFINICIÓN
El Scaneo de puertos pertenece a la Seguridad Informática desde que era
utilizado en los sistemas de telefonía.
La idea básica es simple: llamar a un número y si el módem devuelve un
mensaje de conectado, grabar el número. En otro caso, la computadora
cuelga el teléfono y llama al siguiente número.
11. TIPOS DE SCANNING
• Si el puerto está escuchando, devolverá una
respuesta de éxito; cualquier otro caso
significará que el puerto no está abierto o que no
se puede establecer conexión con él.
TCP
CONNECT
SCANNING
• Cuando dos procesos establecen una
comunicación usan el modelo Cliente/Servidor.
• La aplicación del Servidor "escucha" todo lo que
ingresa por los puertos.
• El Cliente establece la conexión con el Servidor a
través del puerto disponible para luego
intercambiar datos.
TCP SYN
SCANNING
13. DEFINICIÓN
El objetivo es capturar la información codificada en la banda magnética
utilizando dispositivos físicos o equipos para después producir tarjetas clonadas
con el fin de utilizarlas en forma fraudulenta.
A tener en cuenta: Brasil, México, Colombia y Argentina son algunos de los países
de América Latina en donde más se están realizando fraudes a través de cajeros
automáticos.
14. EL SKIMMING EN LOS CAJEROS
AUTOMÁTICOS
Los delincuentes utilizan diversos métodos y
dispositivos para robar los datos de la cuenta de la
tarjeta y también el PIN del cliente. Teniendo ya en
sus manos los datos de la pista de la banda
magnética y los PINes, los delincuentes producen
tarjetas clonadas y las distribuyen a corredores que
son empleados por grupos organizados con el
objetivo de sacar dinero de las cuentas de los
tarjetahabientes.
Para poder perpetrar el skimming con éxito, se
requiere un dispositivo llamado “skimmer” y un
dispositivo para capturar el PIN.
15. MÉTODOS
Métodos de Skimming:
SKIMMERS
• Están diseñados para que se
puedan colocar sobre la
abertura o “boca” del lector
de tarjetas del cajero
automático.
• Recoge información
incluyendo su nombre,
dirección, número de
teléfono, el número de su
tarjeta, su límite de crédito y
su número PIN.
ATAQUES DE MALWARE
• El atacante puede implantar
el malware después de
comprometer la seguridad
del cajero automático físico
o del software que hace
funcionar la máquina.
• Le dan al atacante la
habilidad de dispensar
efectivo y elegir la
denominación de billetes
que desean dispensar.
16.
17. Métodos para Capturar el PIN
CÁMARA
ESTENOPEICA
•Consiste en instalar
una cámara
estenopeica cerca del
cajero automático la
cual graba en video al
tarjetahabiente
mientras ingresa su
PIN.
•La imagen de video se
almacena o transmite
a un dispositivo
receptor situado a un
máximo de cien
metros.
TECLADO DE PIN
FALSO
•Se coloca sobre el
teclado de PIN
legítimo.
•El perpetrador del
fraude se hace pasar
por un técnico y altera
el teclado de PIN.
ESPIAR AL USUARIO
POR ENCIMA DEL
HOMBRO
•Se obtienen espiando
por encima del
hombro a la víctima
del fraude mientras
está ingresando su
PIN.
18.
19. Otros Métodos para Robar Tarjetas en Cajeros
Automáticos
DISTRAER AL USUARIO
•El perpetrador provoca algún
tipo de situación para distraer el
tarjetahabiente.
•El skimming se realiza utilizando
un dispositivo de mano mientras
el tarjetahabiente está distraído.
EL “BUEN
SAMARITANO”
•Utilizando una banda o manga
de metal o plástico, se bloquea la
ranura que dispensa el efectivo
en el cajero automático.
•Cuando el cajero no dispensa los
fondos, el “Buen Samaritano”
sugiere ingresar de nuevo el PIN
mientras él observa. La máquina
retiene la tarjeta insertada. El
perpetrador del fraude la
recupera después que el
tarjetahabiente se marcha.
20.
21. PREVENCIÓN
1. PREVENCIÓN DEL SKIMMING EN CAJEROS
AUTOMÁTICOS
Realizar Inspecciones Regulares de los Cajeros
Automáticos:
Inspecciones físicas de rutina cada vez que
se reponga el efectivo o durante los
mantenimientos.
Inspeccionar para detectar cualquier
accesorio o dispositivo pegado o instalado
en los cajeros automáticos.
Fortalecer la seguridad del sistema
operativo y software de los cajeros
automáticos.
22. Implementación de Controles de Adquirente:
Instalar cámaras de televisión de circuito cerrado
(CCTV).
Equipar los cajeros automáticos con características
“anti-skimming”: Lector de Tarjetas “Jitter”, Panel Anti-
Skimmer, Dispositivo emisor de interferencias de
frecuencias radiales.
Consideraciones del Adquirente:
Recuperar las imágenes de las cámaras de televisión de
circuito cerrado que correspondan a retiros de efectivo
confirmados como fraudulentos.
Monitorear en tiempo real para detectar actividades
sospechosas .
23. 2. PREVENCIÓN DEL FRAUDE EN CAJEROS
AUTOMÁTICOS
Consideraciones del Emisor:
Establecer límites diarios de efectivo y número de
retiros por tarjeta para la actividad en los cajeros
automáticos.
Investigar todas las quejas de los clientes para
determinar si podrían deberse al skimming.
Alertar a las autoridades locales de inmediato en
caso de sospechar que ha ocurrido un incidente
relacionado con el skimming.
24.
25. SISTEMAS ANTI-SKIMMING
Existen sistemas anti-skimming los cuales permiten bloquear el
ingreso de las tarjetas cuando detecten un dispositivo en la entrada
del lector de tarjetas. También existen sistemas electrónicos
antifraude, diseñados con sensores ópticos e infrarrojos con
tecnología tipo barrera y reflexivo, los cuales cumplen la función de
detectar y anular la lectora cuando detecte alrededor de esta un
dispositivo fraudulento.
Dispositivo antiskimming Ebrax
1033
26. Inmediatamente que quede trabada la tarjeta, llamar a la línea
telefónica correspondiente y darle de baja para evitar que alguien
detrás pueda trasladar los datos a través de este sistema a una
tarjeta clon.
¿QUÉ HACER SI ERES VÍCTIMA
DEL SKIMMING?
28. HISTORIA
El término fue acuñado en 1996 por los hackers que, en aquel
entonces, robaban cuentas de usuario de América Online (AOL).
El término viene a rendir homenaje a la primera forma de hacking
documentada: el “phreaking”. Este delito consistía en el pirateo de
los sistemas de telefonía con el objetivo final de no pagar por el
servicio y el término fue popularizado por el primer hacker
informático, John Draper.
29. DEFINICIÓN
Es una forma de ingeniería social, se basan en correos electrónicos
engañosos que conducen a los consumidores a sitios web falsos
diseñados para estafar a los destinatarios para que divulguen datos
financieros tales como números de tarjetas de crédito, nombres de
usuario de cuentas, contraseñas y números de la seguridad social.
30. Lo que diferencia al phishing de otros tipos de fraude es que
combina cuatro elementos fundamentales:
• Explota las debilidades de los individuos para
engañarles y hacer que actúen contra sus
propios intereses.
Ingeniería social
• Las tecnologías de la información son
utilizadas para desarrollar los ataques de
phishing.
Automatización
• Usan redes de comunicación, especialmente
Internet.
Comunicación
electrónica
• Requiere que los delincuentes suplanten a
una empresa legítima o a una agencia
gubernamental.
Suplantación
31. ¿CÓMO FUNCIONA?
A través de un mensaje electrónico, simulando proceder de una fuente fiable
(por ejemplo, de tu banco), se intentan recoger los datos necesarios para
estafar al usuario.
La modalidad que más éxito ha tenido para quienes cometen el fraude consiste
en enviar el e-mail, y dentro del mismo colocar un link o vínculo que aparenta
direccionar al usuario al web site original pero que en realidad lo transporta a
una página falsa en donde le piden que ingrese su password y datos de cuenta o
usuario.
Otras veces el mismo mail te pide que rellenes los datos y pulses “enviar”, sin
necesidad de redireccionarte a otra página.
33. TIPOS DE PHISHING
1. Phishing engañoso – Deceptive Phishing: envío masivo de un correo
electrónico en el que es suplantada una empresa de confianza para el
receptor. Existen dos variantes:
El vishing: uso de un tipo de software denominado “war dialers” cuya
función es realizar la marcación de teléfonos desde un ordenador. Tratan
de convencer al usuario de que visite un sitio web para dar sus datos
personales o que directamente “confirme” sus datos en la misma llamada.
El smishing: Trata de embaucar a los usuarios a través de mensajes de
texto a móviles.
34. 2. Phishing basado en software malicioso: El ataque debe conseguir, que el
usuario realice alguna acción que permita la ejecución del malware en su
máquina. Existen distintos tipos de programas diseñados para robar datos:
Los keyloggers son programas que graban todo lo que se teclea en el
ordenador y, posteriormente, lo envía al delincuente. Los screenloggers,
capturan imágenes de la pantalla que son remitidos al atacante.
35. Troyanos web: Son programas maliciosos que hacen creer al usuario que
está introduciendo la información en el sitio web real, cuando en realidad
lo están introduciendo en este software que, posteriormente, remite los
datos al delincuente.
Robo de datos: También existen códigos maliciosos cuya finalidad
consiste en recabar información confidencial almacenada dentro de la
máquina en la que se instalan.
36. 4. Phishing basado en el DNS o “Pharming”: modifica de forma no
autorizada la resolución del nombre de dominio enviando al usuario a una
dirección IP distinta.
5. Phishing mediante introducción de contenidos: Consiste en introducir
contenido malicioso dentro de un sitio web legítimo. Puede tener diversas
modalidades: redirigir a los visitantes a otra página, instalar algún tipo de
malware en el ordenador.
6. Phishing mediante la técnica del intermediario: Posicionamiento del
phisher entre el ordenador del usuario y el servidor web legítimo. De este
modo el delincuente se hace con la capacidad de leer, e incluso modificar la
información que se transfiere.
37. 7. Phishing de motor de búsqueda: Los delincuentes crean páginas web
para productos o servicios falsos y esperan a que los usuarios visiten las
páginas para realizar compras y, por tanto, proporcionen información
confidencial o directamente realicen transferencias bancarias.
39. • A quién va dirigido el ataque, cómo y dónde
se va a realizar, cuál es el objetivo del fraude,
qué medios necesitará para hacerlo, etc.
PLANIFICACIÓN
• Los delincuentes deben conseguir el software,
los datos de contacto, localizar los destinos de
sus ataques, preparar sus equipos, construir
los sitios web diseñados para efectuar el
fraude y otras tareas.
PREPARACIÓN
• Acciones como abrir un correo electrónico,
visitar una página web o realizar una
búsqueda, son acciones necesarias para que el
ataque se consuma.
ATAQUE
40. • Una vez instalado el código en la fase anterior
es necesaria su ejecución para conseguir los
datos.
RECOGIDA DE
DATOS
• Una vez recogidos los datos, el siguiente paso
efectuado por los delincuentes es la
realización de la estafa, bien de forma directa
o bien vendiendo los datos robados.
EJECUCIÓN DEL
FRAUDE
• Eliminar las pistas que hayan quedado.
FASE DE POST-
ATAQUE
41. RECOMENDACIONES
Sospechar ante cualquier correo electrónico que
solicite información personal.
Nunca proporcionar información como nombres de
usuario, contraseñas, número de tarjetas de crédito o
fechas de caducidad, vía telefónica ni vía correo
electrónico.
No utilizar los enlaces incluidos en correos electrónicos
de dudosa precedencia, para ellos es recomendable
dirigirse a la página web de entidad o la empresa de
forma directa.
Que siempre el navegador web, este actualizado y que
cuente con los parches de seguridad instalados.
42.
43. REPERCUSIÓN DEL PHISHING
• En la actualidad, los casos más graves de phishing se han
producido en Estados Unidos.
• En España se han dado, por el momento, casos en Banco Pastor,
Banco Popular y Banesto.
• Según las cifras de un estudio patrocinado por Lacnic, fechado
en julio del 2013 el país de América Latina más afectado por los
delitos cibernéticos es Brasil, seguido por Argentina, Colombia,
México y Chile, en ese orden.
44. • En Estados Unidos se ha creado la “Anti-Phishing Working
Group”(APWG). Es una asociación de industrias cuyo principal
objetivo es acabar con el robo de identidad y fraudes resultantes
del creciente problema del phishing.
45. Del mismo modo que muchas
aplicaciones, funcionalidades y
servicios se han trasladado al mundo
Internet, lamentablemente, el
desarrollo de las tecnologías, ha
supuesto un nuevo entorno para la
delincuencia, aprovechándose de
las potencialidades que brinda este
nuevo medio de comunicación. Así,
se ha producido una evolución
tecnológica de las estafas
tradicionales, como son el Skimming y
el Phishing.
Por ello es necesaria una buena
formación en relación a los buenos
usos y abusos que se producen en la
Red.