Login Barrapunto
Por qué funciona el phishing
pobrecito hablador nos cuenta: «Encuentro un artículo de Sergio de los Santos (Hispasec): "Por qué funciona el phishing". Varios miembros de la universidad de Harvard y Berkeley han publicado un informe con un sugerente título: "Por qué funciona el phishing" [Why Phising Works (PDF)]. La prueba empírica, realizada sobre 22 estudiantes o personal de la universidad, ponía a prueba su capacidad de discernir entre la autenticidad de 20 páginas distintas. Varias reales, varias ataques típicos y otras copias realizadas expresamente y destinadas a engañarlos. El 23% de los participantes ni siquiera observaron las diferencias en la barra de direcciones (usaron Firefox para la prueba), la barra de estado o cualquier otro indicador de seguridad. De media, los participantes fallaron el 40% de las veces.» Sigue en el resto de la noticia.
«Lo interesante del estudio se encuentra en las pequeñas anécdotas y "técnicas antiphishing", propias de los usuarios, que salieron a la luz. Varios de los participantes daban por sentado que el simple hecho de que la página tuviera un aspecto "profesional" garantizaba su legitimidad. Anuncios e imágenes animadas eran prueba, para ellos, de que se trataba realmente de la página del lugar que esperaban ver. Uno de los usuarios pensaba que el hecho de que apareciese un candado en el navegador indicaba que la página no podía leer contraseñas o incrustar cookies. Las alertas en forma de ventanas emergentes fueron cerradas por la mitad de los usuarios sin ser leídas. El 23% usaban sólo el contenido de la página para evaluar su autenticidad, ningún elemento del navegador que no fuera la propia página mostrada les resultaba útil o comprensible.»
Este hilo ha sido archivado.
No pueden publicarse nuevos comentarios.
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
Aprovecharse de la ausencia de conocimientos
(Puntos:2, Inspirado)( http://alidhaey.blogspot.com/ | Última bitácora: Domingo, 19 Diciembre de 2004, 01:01h )
Siempre que ese porcentaje sea relevante, el phising será algo a tener en cuenta. Es una forma muy barata de conseguir robar datos confidenciales sin apenas exfuerzo, los incautos caen por sí sólos, sin necesidad de ser un lumbrera.
La mejor forma de conseguir evitarlo, es informando sobre él, explicando en que consiste y como se puede detectar. El problema es que no siempre los incautos tienen el tiempo para pararse e informarse.
Sin marrón, no hay diversión.
La Marca de un Pelusoide [blogspot.com]Ni siquiera se paran a leer...
(Puntos:3, Inspirado)( http://www.mat.ucm.es/ )
Cuando mando emilios para informar, a mis contactos, de como solucionar tal o cual eventualidad, in cluidas las que me preguntan... ¿Qué hacen? Nada. Vuelven a llamarme por teléfono o vienen a casa o yo a la de ell@s, a solucionar el problema.
Y eso que en el eMilio va clarito, clarito ¡vamos para torpes! paso a paso, incluso con dibujitos o todo.
A lo que me refiero, es el primer fallo se dá al principio de todo, la lectura, ¡más de una línea es demasiado!
¿Dónde vamos a parar?
¡Yo, seguiré al pié del cañón!
--
¡Larga vida al RocanRol y al JebiMétal!
¡¡¡ Ke BiBan las mujeres con las tetas gordas !!!
y si la vida te da la espalda ¡tócale el culo!
¿De dónde sacará las pelas la luna para salir todas las noches?
Imagina que hay una guerra y no va nadie...
Falta el primer paso: el e-mail falso
(Puntos:2)( http://barrapunto.com/ | Última bitácora: Lunes, 22 Septiembre de 2008, 10:13h )
El phising funciona porque:
- hay mucha gente que lee el correo en formato HTML, y no ve realmente a donde le lleva un enlace.
- Las cajas y bancos no suelen mandar e-mails tipo "introduzca su contraseña". Yo tengo 4 cuentas en 4 bancos y cajas y _nunca_ he recibido un solo e-mail de ellos, de ningun tema.
- Usan Internet Explorer para navegar. Hay bugs que permiten mostrar un URL en el navegador y realmente estas visitando otro sitio.
- La única manera que se debe usar para acceder a tu banco on-line es escribir la URL a mano, o como mucho, tener un bookmark que hemos puesto nosotros.
Resumiendo, que el usuario pica por culpa del e-mail, no porque la web sea identica a la del banco en cuestión.
Educación
(Puntos:1)( http://barrapunto.com/ | Última bitácora: Lunes, 29 Enero de 2007, 19:18h )
-> Firma
[OT] fraudeinternet@policia.es
(Puntos:2)( http://www.neuroticweb.com/ | Última bitácora: Lunes, 26 Noviembre de 2007, 09:15h )
Está algo fuera de tema pero la policia tiene un mail para donde se les puede avisar de asuntos relacionados con el fraude en internet, por ejemplo el Phishing
Siempre que me llega uno lo mando a fraudeinternet@policia.es. La malo es que nunca contestan, ni un tan sólo gracias o recibido con lo que al final me cansaré de mandarlos
--- Aqui es donde hay que poner algo inteligente?
He aquí mi antiphising
(Puntos:2)( file:///devnull | Última bitácora: Viernes, 22 Diciembre de 2006, 14:23h )
Meter la dirección a mano, y nunca, NUNCA, confiar en un email que viene "del banco".
Yo creo que tampoco es tan difícil... si todo el mundo supiera eso, se acabaría el phising
Cargando...
Nunca entres a un banco desde un PC
(Puntos:2)Entra desde un live cd. Tu banco te podría regalar un mini-cd knoppix modificado que tu lo metes, enciendes el ordenador, carga automagicamente y puedes navegar por la web de tu banco con todas las medidas de seguridad ya implementadas. Podría hasta crear un tunel ssh.
El otro día se comentó que muchos fabricantes estaban instalando particiones que solo tenian un linux + mplayer para ver las peliculas directamente.
Pues un linux + firefox en solo lectura aumentaría la seguridad.
Y ademas, dentro de poco se generalizaran los nagenadores no pc. Por ejemplo en las consolas, en los TDT, etc... Una buena configuración por parte del fabricante tambien mejorará las cosas
Son solo ideas.
Por qué no sé reconocer el phising
(Puntos:1)( http://barrapunto.com/ | Última bitácora: Sábado, 28 Agosto de 2010, 16:55h )
P.D. Que no se me cabree nadie, sin acritud...
Re:Hay dos frentes de defensa
(Puntos:2)( http://barrapunto.com/ )
Y esa tecnica no me la estoy inventando yo, hace mucho que se usa para el phishing.
Ya, si, entonces la culpa no es del phishing sino de usar windows o estar sin antivirus y blah blah blah. El resultado es el mismo, tu dinero pasa a manos de otro.
Re:Divismo informático
(Puntos:1)Re:Divismo informático
(Puntos:1)( http://www.ekinabokatuak.com/ | Última bitácora: Domingo, 24 Octubre de 2010, 23:32h )
Pues mira, vivirás de lo que te paga y todo lo que quieras, pero si es tonto, es tonto, y punto. Hay mucho tonto con dinero, así de injusta es la selección natural. Eso sí, no se lo digas a él a la cara, ni a nadie que pueda irse de la lengua.
Hombre, me parece un poco desproporcionado necesitar todo un máster sólo para aprender algo tan simple como no fiarse de los e-mails que te piden la clave de tu cuenta corriente, y poco más. Aunque si lo adornamos con unos cuantos pagüerpoints con imagen tope profesional y corporativa, y metemos una introducción llena de tecnicismos en inglés, y un par de ellos en alemán, podríamos rellenar incluso tres o cuatro jornadas por las que podríamos cobrar unos cuantos cientos de euros.
"... y al final terminamos montando un despacho de abogados en Renteria [ekinabokatuak.com]"