1. ¿Ha sido alguna vez víctima de un ataque por phising ? ¿Ha recibido algún correo solicitando información sobre su acceso a cuentas bancarias? ¿Cuál fue su reacción? 2. ¿Cree que la banca electrónica actual es lo suficientemente segura para hacer frente a este tipo de ataques? 3. ¿Comprueba habitualmente si los sitios web a los que accede están protegidos mediante certificado y encriptación? 4. ¿Qué mecanismos de seguridad de los estudiados en la asignatura resultarían aplicables a este problema? 5. ¿Cómo puede afectar el riesgo de phising al desarrollo de negocio de la banca o el comercio electrónicos? ¿Cómo se pueden paliar sus efectos negativos?
Presentación de casos reales o prácticos
APÉNDICE C: NAVEGADORES, P HISING Y D ISEÑO DE I NTERFACES DE USUARIO NOTA: Este estudio está basado en el artículo de Sc ott Granneman, “Browsers, phishing, and user interface design ” publicado en Security Focus.
C1.1 Porqué funciona el phishing A N A C I R E M A O R E B
El phishing funciona por tantas razones, que es necesario redefinir el diseño de tanto los navegadores como de las interfaces de usuario para proporcionar una seguridad real y efectiva al usuario medio que no ve o no entiende las señales de peligro.
I
A I R A T I S R E V I N
U N Ó I C A D N U
F
©
En ocasiones, el criminal es tan inteligente que resulta admirable, incluso aunque se desee que pase el resto de su vida encarcelado. En el otro extremo de la escala están los phishers. Indeseables de la web, los phishers se dedican a spamear correos electrónicos a todos los millones de personas a las que puedan llegar, esperando que unos pocos respondan a sus fraudulentas solicitudes de actualización de información en PayPal , eBay o su banco habitual. Se trata de un grave problema, y no mejora con el tiempo. En el artículo “ Why the phishing works ” (por Rachna Dhamija, J. D. Tygar, y Marti Hearst), en escasamente 10 páginas muestra a qué gran problema se enfrentan tanto en público general como el personal de seguridad que debe protegerlo. El artículo trata de un experimento en el que los investigadores sentaron a un grupo de personas a probar páginas web. Algunas de ellas eran webs falsas creadas por el equipo, y otras eran páginas válidas. Tras observar el comportamiento de los participantes con las páginas web, los investigadores consultaron a los usuarios por la motivación de su comportamiento. Los resultados fueron reveladores y se comentan a continuación.
C1.2 Las características del navegador no son una garantía Cuando apareció Firefox 1.0, una de sus características diferenciadoras era que cambiaba el color de fondo de la barra de direcciones cuando se accedía a una página utilizando HTTPS volviéndose de color dorado. Es decir, además de la indicación del candado dorado, la barra de direcciones completa se coloreaba
G E S T I Ó N Y S E G U R I D A D
DE R E D E S
1
así, de manera que se hacía aún más obvio que se estaba entrando en una web segura. Y eso además de los otros tres indicadores que ya ofrecía Firefox. Sin embargo, en el estudio de Dhamija se observa que el 23% de los usuarios ni siquiera miran estos indicadores proporcionados por el navegador, como la dirección o la barra de estado. Muchos no tienen ni idea sobre lo que significa el icono del candado, de hecho, uno de los participantes confesó confidencialmente que el candado indica que el sitio web no es capaz de enviar cookies. En lugar de fijarse en los indicadores de seguridad, lo que los usuarios miraban era la propia página. Si tenía un buen “aspecto” o si no “les olía mal”. Si tenía logos de VeriSign en la página, animaciones, si parecía fidedigna. En algunos casos, el icono del candado en la propia página era suficiente para convencer al usuario de que la página era segura, incluso más que si el candado estaba en la barra de direcciones.
C1.3 Las url tampoco funcionan con todos Algunos usuarios prestan atención al hecho de que la barra de direcciones cambia a medida que navegan por un sitio web, pero no tiene ni idea sobre lo que la propia URL significa. Y esto también se aplica a HTTPS. Sin embargo, las direcciones IP levantan sospechas,... aunque los usuarios tampoco saben los que significan. Simplemente encuentran los números sospechosos.
C1.4 Los usuarios se fijan en las cosas más insospechadas
A N A C I R E M A O R E B
I
A I R A T I S R E V I N
U
Hubo una página, la del Bank of the West , que engañó a todos los participantes en el experimento menos uno. En esa página se introdujo un video con una animación sobre un oso. Evidentemente, eso atrajo la curiosidad de varios usuarios, que recargaron la página varias veces para volver a ver ese oso animado. De hecho, algunos participantes afirmaron que la animación era una evidencia de que el sitio era legítimo, ¡ya que supondría mucho esfuerzo copiarlo! Los participantes del estudio ordinarios también descubrieron que la página contenía publicidad, lo cual aumentaba su percepción de que no se trataba de un engaño. De la misma forma, la presencia de un “favicon” (pequeño icono que aparece en la barra de direcciones a la izquierda de la URL) se estimaba como un indicativo de que se trataba de un sitio que no iba a robar su dinero o identidad.
C1.5 Es increiblemente fácil engañar a la gente Algunos de los participantes del estudio no estaban familiarizados siquiera con el término phishing, pero también se sorprendían incluso de que alguien tuviera esos hábitos delictivos. Frente a ese nivel de ignorancia, no cabe duda de que el phishing funciona.
2
G E S T I Ó N Y S E G U R I D A D
DE REDES
N Ó I C A D N U
F
©
Otros usuarios pueden estar más concienciados respecto al phishing, pero bien lo ignoran o no tienen muy claro cómo utilizar los indicadores proporcionados por los navegadores. No es un hecho asombroso, considerando que aparecen mensajes del tipo “¿Desea aceptar este certificado temporalmente para esta sesión? Muchos usuario no tienen la más remota idea de lo que es un certificado o una sesión. Incluso los usuarios más sofisticados fueron engañados con la página falsa www.bankofthevvest.com. Si se observa la dirección con atención, se detecta que los investigadores utilizaron “vvest” con dos “v”, en lugar de “w”. Este trucó consiguió despistar al 91% de los participantes. Incluso si se observa la barra de direcciones de forma habitual, y se presta atención a los enlaces que se pinchan, este tipo de engaños aún resultan efectivos.
C1.6 Los usuarios están convencidos de estar haciendo lo correcto
A N A C I R E M A O R E B
I
A I R A T I S R E V I N
U N Ó I C A D N U
F
©
Quien no tiene conocimiento o habilidades en un área concreta, muchas veces no sólo no se da cuenta, sino que incluso cree que es mejor de lo que realmente es. Cuanto más incompetente es alguien para una tarea concreta, tanto menos cualificada está esa persona para evaluar las capacidades de otra en esa área. Cuando alguien no consigue reconocer que se ha comportado de forma incorrecta o mediocre, cree que lo está haciendo bien. Como resultado, el incompetente tenderá a sobreestimar sus capacidades y habilidades. Estas afirmaciones fueron confirmadas por el estudio sobre ph is hing ya comentado, que descubrió que los participantes casi siempre estaban muy seguros de su capacidad para distinguir una web legítima de otra fraudulenta, y sin embargo, fueron embaucados hasta por las páginas grotescamente incorrectas. Y hay que tener en cuenta que esto incluye a aquellos que nunca miran la barra de direcciones para comprobar que están en una web HTTPS.
C1.7 Lo peor está por venir El profesor de informática John Aycock y su estudiante Nathan Friess publicaron un aviso sobre la futura amenaza sobre “spam zombie del espacio exterior”. El título está inspirado en alguna película de Ed Wood, pero el concepto que hay tras él no es tan divertido. Estos nuevos zombies minarán el cuerpo de los correos electrónicos hallados en las máquinas infectadas, utilizando los datos para automáticamente falsificar y enviar spam mejorado y más convincente a otros destinatarios. La nueva generación de spam puede ser enviada desde las direcciones de personas conocidas y allegadas e incluso imitar el patrón de los mensajes que envían (como abreviaturas comunes, faltas de ortografía o firmas personales), favoreciendo que el destinatario abra un archivo adjunto o pinche un enlace.
G E S T I Ó N Y S E G U R I D A D
DE REDES
3
Si se combina este hecho con la afirmación de los participantes del estudio de que ellos pinchan habitualmente en los enlaces enviados por los conocidos, se puede ver cómo se avecina el desastre.
C1.8 ¿Qué se puede hacer? La educación es una pieza fundamental de la solución a este problema, pero ¿cómo se ejecuta de la forma más efectiva? El navegador y la web se han ido complicando con el tiempo, de forma que el usuario medio actual tiene bastante más que aprender que los de la pasada década. Claramente, utilizar más ventanas pop-up o cuadros de diálogo no es la solución. De hecho, cada vez que aparece una ventana con un mensaje del navegador, más del 50% de los usuarios pinchan en “Aceptar” sin siquiera leer lo que pone. También está claro que añadir avisos adicionales del tipo a los iconos, coloración de la barra de direcciones, etc. no es de gran utilidad, si la mayoría de los usuarios no se fijan en ellos. ¿Se deberían diseñar los navegadores para que simplemente no permitan a los usuarios visitar sitios peligrosos o cuestionables? Ya existe una s erie de iniciativas para crear una base de datos centralizada de sitios web malignos que el software pueda referenciar. Un ejemplo es la Toolbar de Google. Los avisos antiphishing se encuentran activados por defecto en los dos navegadores principales (IExplorer y Firefox), lo cual es bueno, pero redireccionan a un mensaje que es fácilmente ignorado por el usuario. Quizá esto no debería permitirse, o por lo menos, debería dificultarse más el sorteamiento.
A N A C I R E M A O R E B
I
A I R A T I S R E V I N
U N Ó I C A D N U
F
©
4
G E S T I Ó N Y S E G U R I D A D
DE REDES