El phishing según Paypal

Según informan desde Paypal, llevan cerca de 18 meses intentándole plantar cara al phishing.

Fruto de esa experiencia han publicado un whitepaper titulado A practical Approach to Managing Phishing (Inglés PDF 729KB).

Analizamos a continuación dicho documento.

Según comentan en Marzo de 2006 el 70% de los emails de phishing eran sobre paypal. Actualmente esa cifra está o por debajo del 10%.

Introducción:

De acuerdo con Gartner, el 3.3% de los usuarios que recibieron un email de phishing, se convirtieron en víctimas y perdieron dinero.

El phishing no deja de ser un negocio y se mueve por dinero, por lo que podríamos decir que se rigen por la fórmula:

V*R*M=P

V=Volumen de phishmails enviados

R=Ratio de respuesta(% de víctimas que dieron información)

M=Valor de monetario del robo de una cuenta.

P=Profit (Beneficio)

El Phishing genera dos grandes problemas a un sitio web: por una parte genera usuarios descontentos y por otra gastos (ya sea en abogados o en compras fraudulentas).

Principios:

  1. No existe una «Panacea» que solucione el problema:
    Debemos atacar el problema analizando el flujo del delito: desde que el delincuente crea el email y lo envía, hasta el cierre del proceso.
  2. Usuarios Pasivos frente a usuarios Activos:
    Los usuarios pasivos no se molestan por la seguridad (por ejemplo, no comprueban que la página sea https). Los usuarios activos revisan y comprueban como mínimo las normas de seguridad básicas.
  3. Cooperación de la industria:
    El phishing es un problema global, no sólo de Paypal, Ebay o de la banca online.
  4. Basado en estándares:
    A grandes problemas, grandes soluciones. Se requiere que la industria genere y potencie estándares que aseguren la seguridad de los usuarios.

La estrategía global de actuación debe dividir el problema y atacarlo desde todos sus ámbitos.

Reclamando el email:

  1. Emails firmados y bloqueados:
    Si el email no llega a la bandeja de entrada del usuario, ese usuario no será una víctima.
    Los emails firmados únicamente los comprueban los usuarios activos, ahí es donde deben entrar los ISP’s. 1.Firmar todos los emails de la compañía, 2. El ISP escanea que el email venga de mi dominio @foo.com, 3. Si es correcto, el ISP revisa la firma con la clave pública, 4. Si es correcto, entrega el email, sino lo borra.
    Por desgracia es complicado poner de acuerdo y coordinar a los todos los ISP’s, así que comenzaron por 6 de ellos que cubrían el 80% de su base de clientes (entre ellos Yahoo).
    Con ellos potenciaron el uso de las DomainKeys y del SPF (Sender Policy Framework).
  2. Identificación Visual:
    La firma de emails sería más segura si los clientes de correo electrónico las revisasen automáticamente y además si mostrasen por ejemplo el logo de la compañía y otros datos.

Bloqueando Sitios Web:

Una vez todos los sistemas anteriores han fallado y el email ha conseguido llegar al usuario, es el momento de otro tipo de medidas.

  1. Navegadores inseguros:
    Paypal considera inseguroa por ejemplo aquellos que no bloquean los sitios que albergan phishing o no muestran en la barra de direcciones que el sitio por el que estamos navegando es seguro y posee un certificado válido.
    Esta política está generando mucha polémica, ya PayPal planea bloquear el acceso a navegadores no seguros después de avisar al usuario durante un tiempo prudencial.
  2. Blacklists (listas negras):
    Además de las de los buscadores (por ejemplo Google avisa sobre si un sitio es inseguro), PayPal también ha puesto a disposición de sus usuarios una dirección donde animan a enviarles los correos de phishing que hayan recibido (spoof@paypal.com). Dicho buzón es revisado constantemente y se responde sobre si es un email oficial o no y si no lo es se actualiza la blacklist con las urls que contenga.
  3. Páginas anti-fraude:
    Esto es que el navegador o buscador debe crear páginas de aviso donde informen al usuario de que el contenido que están viendo es inseguro. Para ello vuelve a cobrar importancia el uso de blacklists por parte de la industria, aunque los usuarios activos tienen en su mano herramientas como barras de herramientas u otros.
  4. Verificación externdida de los certificados SSL:
    Es importante que los usuarios sepan que están navegando por un sitio que dispone de un certificado SSL válido. Para ello es importante por ejemplo que los navegadores cambien el color de la barra de direcciones cuando se navegue por un sitio certificado.
  5. Cierre de sitios maliciosos:
    Es importante comunicar lo antes posible a los ISP’s que un determinado sitio alberga contenido ilegal, que debería bloquear el acceso a dicho sitio.

Otras medidas: Educación y formación de los usuarios:

  1. Facilita enlaces e información sobre seguridad
  2. Crea una página específica (o incluso un microsite) sobre cómo navegar de manera segura.
  3. Recuérdales que no deben hacer click en los links de los emails
  4. Abre siempre una ventana nueva
  5. Vete a la dirección oficial del sitio
  6. Una contraseña por cada sitio importante. De esa manera si has caido en un fraude en PayPal, no caerás también en eBay…

Algunos enlaces que nos recomienda PayPal sobre navegación segura:

chevron_left
chevron_right

Únete a la conversación

comment 1 comentario

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Comentario
Nombre
Correo electrónico
Web

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.