FRAUDES EN INTERNET

FRAUDES EN INTERNET


Elementos utilizados en el fraude en Internet
El fraude en Internet se basa en la utilización maliciosa de tres elementos sobre los que se construye el engaño. La presencia de estos elementos varía según el tipo de fraude y son utilizados de manera complementaria.
  • La ingeniería social es la herramienta más utilizada para llevar a cabo toda clase de estafas, fraudes y timos sobre los usuarios más confiados a través del engaño. Estas técnicas consisten en utilizar un reclamo para atraer la atención del usuario y conseguir que actúe en la forma deseada, por ejemplo convenciéndole de la necesidad de que reenvíe un correo a su lista de direcciones, que abra un archivo que acaba de recibir que contiene un código malicioso, o que, como ocurre en el phishing, proporcione sus códigos y claves bancarias en una determinada página web. Para captar la atención del usuario que recibe el correo, se utilizan referencias a temas de actualidad, nombres de personajes famosos, denuncias de injusticias o catástrofes humanitarias o fechas significativas como la Navidad. Además, los timadores advierten de consecuencias negativas para el usuario que no siga sus indicaciones.
  • El correo masivo y no deseado, conocido como spam, constituye el mejor y más barato mecanismo de difusión de cualquier información y, por lo tanto, de cualquier intento de fraude.
  • El malware, virus, gusanos, troyanos, keyloggers, capturadores de pantalla, etc, diseñados específicamente para realizar tareas fraudulentas interceptan los datos que el usuario intercambia con una determinada entidad o las pulsaciones de su teclado.
Tipos de fraude más difundidos
El fraude electrónico utiliza diferentes medios en función de los que puede clasificarse, de forma resumida, en los siguientes tipos:
Las páginas web falsas persiguen diferentes finalidades:
  • Ofrecer servicios inexistentes por los que el usuario deberá realizar un pago y tras el que no se proporcionará el servicio o producto ofrecido. El ejemplo más habitual son las tiendas de comercio electrónico que no sirven los productos o desaparecen después de que el cliente ha realizado el pago correspondiente.
  • Suplantación de páginas oficiales que imitan el contenido de ciertas páginas web pertenecientes a sitios web oficiales de entidades bancarias, comercio o administraciones públicas, con el objetivo de robar la información que el usuario intercambia habitualmente con dicha entidad.
La suplantación de identidad es el tipo de fraude más habitual y el que mayor incidencia tiene actualmente, ya que aprovecha la familiaridad o despreocupación con la que navegamos a través de las distintas páginas web, sin prestar atención a la información que nos proporciona nuestro navegador acerca del sitio web visitado.
El timador intenta que el usuario visite la página web falsa para conseguir la finalidad por la que fue creada a través de diversos medios y según el medio utilizado se establecen los siguientes conceptos:
  • Phishing: El defraudador intenta engañar al usuario a través de un correo electrónico que envía de forma masiva con el fin de aumentar sus probabilidades de éxito. Este correo electrónico aparenta haber sido enviado por la entidad suplantada para lo que utiliza imágenes de marca originales o direcciones de sitios web similares al oficial.
  • El Pharming modifica los mecanismos de resolución de nombres sobre los que el usuario accede a las diferentes páginas web tecleando la dirección en su navegador. Esta modificación provoca que cuando el usuario introduce en el navegador la dirección del sitio web legítimo, automáticamente es dirigido hacia una página web fraudulenta.
  • SMiShing: En este caso es un mensaje SMS el gancho utilizado para el engaño y su funcionamiento es similar al del Phishing. Aprovecha las funcionalidades de navegación web de los terminales de telefonía móvil para que el usuario acceda de manera inmediata a la página web falsa y proporcione allí sus datos.
  • El Scam utiliza también el correo electrónico para la divulgación de la página web falsa, pero el contenido del mensaje no intenta suplantar a ningún tercero sino que ofrece cantidades de dinero a conseguir fácilmente después de proporcionar cierta información personal y/o bancaria.
La mejor manera de evitar este tipo de fraude consiste en utilizar el sentido común y desconfiar de cualquier oferta con beneficios muy superiores a los que obtendríamos para un mismo servicio al acudir a un establecimiento convencional.

Malware Bancario

La utilización de código malicioso, o malware que se instala en el ordenador del usuario utilizando las técnicas habituales de los virus o gusanos, para la captura de datos intercambiados por el usuario, evoluciona continuamente. De forma general, se distinguen los siguientes casos:

  • Keyloggers: Toman este nombre aquellos códigos maliciosos que recogen las pulsaciones del teclado del usuario o incluso capturas de lo visualizado en pantalla cuando el usuario pulsa el botón izquierdo del ratón. Pueden utilizarse para capturar usuarios y contraseñas o claves de acceso a diversos sitios web, incluidos los servicios de banca online, comercio electrónico o administración. Esta captura puede estar limitada, activándose sólo cuando el usuario visita ciertos sitios web.
  • Troyano bancario: Este código malicioso se especializa en determinadas entidades bancarias modificando el aspecto de su página web legítima. El efecto habitual de un troyano es la superposición de una ventana, que no se muestra como tal, cuando el usuario accede al servicio online de la entidad afectada. La ventana superpuesta simula, en parte o en su totalidad, a la página web legítima con el fin de que el usuario introduzca la información en ella bajo la creencia de que lo está haciendo en la auténtica.

El nivel de protección ante este tipo de fraude vendrá marcado por la utilización de un software antivirus que nos permita la detección y borrado de dichos códigos maliciosos.

Juan Carlos Osorio

Ingeniero del laboratorio de E--‐Evidence forense informático , Tiene más de 20 años de experiencia en consultoría en investigación. Administra y complejas investigaciones de fraude corporativo que involucran aspectos financieros, Especialista En Seguridad Informática de la Universidad Autónoma del Occidente, certificada como primer respondiente de incidentes informáticos en manejo de Evidencias digitales – Department of states united states of america , Certificado en Auditoría Interna ISO 27001 , Certificado en criminalidad Informática Universidad de los andes , Certificado ENCASE , FTK – Guidance . Certification Wet Stone Technologies, Certification The Investigation of Transnational and Organized Intellectual Property (IP) Crime INTERPOL, Certification HBgary. Certificado Ethical Pentester , Certificado en entrenamiento Evaluación, de seguridad con la implementación de un CSIRI, Certifies Consultation on Computer Forensic Equipment - Department of states united states of america, Docente y Conferencista nacional e internacional etc.

Publicaciones Similares
Back To Top