Creation date in repository: 2020-02-10

Language: Català

Abstract: No és cap novetat que, en les últimes dècades, navegar per Internet s'hagi convertit en una tasca habitual imprescindible per a la vida de moltes persones. Ja sigui per motius d'oci, feina, estudis... la societat actual viu en tot moment interconnectada mitjançant la xarxa, i duu a terme un intercanvi d'informació massiu i constant. Què passaria, doncs, si algú arribés a dominar aquesta informació? Podríem concebre el món virtual com un oceà immens, infinit, en el qual cada petita molècula d'aigua que el forma és una porció d'informació, de coneixement. Nosaltres habitem l'oceà, allí hi cerquem aquells indrets que més ens interessen. Igual que en el món físic en què vivim, també tenim una identitat, la qual ens permet dur a terme accions acreditant que som realment nosaltres. Però, a diferència del món físic, en el virtual no hi figurem com un ésser de carn i ossos; en l'oceà estem formats generalment d'un conjunt de nombres, adreces, noms i d'altres identificadors que ens fan únics i distints de la resta. Per tant, si algú domina aquest conjunt, domina la nostra informació, domina la nostra vida en el pèlag i, per tant, ens domina a nosaltres. El Phishing, en definitiva, és tan sols un mètode més que utilitzen els ciberdelinqüents per lucrar-se de manera il·legal robant aquesta identitat: dades de qualsevol usuari, empresa, pàgina web, organització... Aquest tipus de ciberdelicte es fonamenta en l'estudi de tècniques d'enginyeria social basades en la manipulació d'unes possibles víctimes que han dit o han fet quelcom que el phisher o enginyer social demana. Aquesta pràctica sovint es confon amb la tasca d'un hacker, que, a causa d'un prejudici social erroni molt estès pels mitjans de comunicació, simbolitza la imatge dels pirates informàtics. Definitivament, no hi tenen res a veure. Un hacker o furoner és una persona apassionada per la informàtica, que té un gran coneixement de les xarxes i els sistemes informàtics, i un viu interès per explorar-ne les característiques i per posar a prova les seves habilitats en aquest àmbit. N'existeixen de tres tipus: black hats, white hats i grey hats . Els phishers, en canvi, formen part del conjunt real de pirates informàtics, o també anomenat crackers. Si indaguem una mica més dintre el món del phishing, veiem ràpidament la diferència entre un cracker habitual i un enginyer social. Aquesta rau en la manera d'obtenir la informació. Els primers utilitzen gestes o tècniques brusques per violar la seguretat d'un sistema informàtic. En el segon cas, s'enganya la víctima perquè sigui ella mateixa qui lliuri les dades inconscientment. Existeixen diverses maneres de dur a terme un atac de phishing, les quals depenen de dos grans factors: en primer lloc, s'ha de tenir en compte el tipus d'informació que es desitja o es vol estafar a les víctimes, com podrien ser dades personals, informació financera o credencials d'accés; el segon factor que determinarà el tipus de phishing fa referència a quin tipus de víctimes anirà dirigit l'atac: es poden escollir de manera aleatòria, per franges d'edat, sexe... o, en alguns casos en particular, s'escull un determinat nombre de víctimes reduït, les quals han estat estudiades anteriorment. Depenent de les premisses escollides, l'enginyer social actuarà utilitzant un mètode de propagació o un altre. N'existeixen de diversos tipus: mitjançant les xarxes socials, per SMS/MMS, amb enquestes telefòniques... Però el mètode més popular i utilitzat és l'atac via correu electrònic, molts cops acompanyat d'una infecció de malware destinat a estendre's per l'ordinador de la víctima. La base del treball de recerca consisteix en processar tota aquesta informació per poder, posteriorment, entendre la metodologia phisher i, finalment, determinar com evitar-la. En la metodologia phisher el primer pas és determinar el tipus d'atac: quina informació es vol obtenir i com s'escolliran les víctimes. A partir d'aquests dos factors, és necessari triar un mètode de propagació adient amb una eficiència més elevada segons les característiques que hagi de tenir l'atac. Finalment, mentre s'està emprant el mètode escollit i després d'emprar-lo, s'utilitzen mètodes per netejar possibles pistes que puguin desemmascarar el ciberdelinqüent: ocultació o canvi d'IP, VPN i geolocalitzadors i l'ús de la moneda virtual (Bitcoin, Ethereum, Litecoins...) per dur a terme les transaccions, ja que no gaudeix d'un banc centralitzat que la reguli. En el cas d'un atac via correu electrònic, el pas d'emprar aquest mitjà de propagació consisteix en la falsificació d'un ens de confiança i la creació d'un correu convincent, aparentment fiable i concís, la distribució del correu segons la selecció de víctimes que s'ha fet i l'actuació posterior en cas que les víctimes hagin sigut estafades eficientment (mitjançant scams, cryptolockers...). A partir del moment que es coneix com actua el phisher, es pot determinar com fer front als seus atacs, utilitzant tècniques anti-phishing . El primer pas és identificar l'amenaça utilitzant diversos consells bàsics de navegació segura (comprovar la veracitat de la “url”, verificar l'origen o ens dels correus, analitzar el vocabulari del missatge...). Totes aquestes recomanacions, però, sempre aniran de la mà del mètode més efectiu vers l'enginyeria social: el sentit comú. Aquest resulta ser tan obvi com imprescindible per evitar l'estafa, ja que, i tot i la seva obvietat, no sempre s'empra adequadament a l'hora de navegar per Internet. Posteriorment a la identificació de l'amenaça, es procedeix a aplicar una resposta, o bé ignorar i eliminar l'scam , o combatre-la mitjançant la resposta organitzativa, tècnica i finalment judicial. La teoria és clara i posada a la pràctica resulta molt efectiva, però fins a quin punt la societat és conscient d'aquesta pràctica fraudulenta tan present a la xarxa avui en dia? El problema s'esdevé en aquest tram del camí per combatre el phishing. L'usuari generalment desconeix l'amenaça i, per tant, no sap protegir-se. Aquest desconeixement, sobretot, s'intensifica en les franges d'edat compreses entre 12-16 i més de 40 anys. En el cas de la primera franja (de 12 a 16 anys, la navegació és molt més abundant, inexperta, ràpida i curiosa, la qual cosa augmenta considerablement el risc d'un possible atac de phishing efectiu. Per aquest motiu, la necessitat d'ensenyar a aquest conjunt l'existència de l'amenaça i els mètodes de defensa, i possiblement d'altres pràctiques similars que circulen per Internet, suposa una gran oportunitat per començar amb bon peu el seu viatge per l'era de la informació, per l'era digital. Aquest és el motiu principal de les xerrades preventives sobre l'enginyeria social aplicada a la informàtica dirigides a l'alumnat de 1r d'ESO en aquest treball de recerca. L'elaboració d'un atac de phishing és relativament tan senzill com evitar-lo. Identificar un atac no requereix un sistema de seguretat molt sofisticat, sinó ser conscient que existeix i saber identificar els tips bàsics per adonar-se de l'engany. Parafrasejant Kevin Mitnick (es un dels hackers, crackers i phreakers estatunidenc més famosos de la història), per molts programes o firewalls de protecció que tinguem, mai no són garantia d'una total seguretat; al cap i a la fi, la seguretat no és un producte, sinó un procés. Aquest procés evoluciona gairebé al mateix ritme que la ciberdelinqüència, un fet que resulta força preocupant. L'usuari és vulnerable, i ho és més si no sap com defensar-se. La clau per a la seguretat informàtica vers l'enginyeria social no rau en els sistemes d'anti-malware més cars o els softwares més complexos, sinó en aplicar el sentit comú, en compartir experiències perquè un tercer no passi pel mateix, en ser conscients dels perills d'Internet; però també hem de conèixer els abundants beneficis que proporciona si se'n fa un bon ús... En definitiva, la base d'una bona protecció contra el phishing ha de ser construïda per i per a l'usuari. És possible l'eradicació total del phishing, doncs? Creure en la desaparició d'algun tipus de ciberdelicte d'aquest tipus avui dia podria considerar-se una opinió visionària, i més sabent que aquest anirà evolucionant a mesura que les tècniques d'anti- phishing ho facin. Això no hauria de suposar cap motiu d'alarma, al contrari, hauria d'esdevenir un impuls per ensenyar a combatre'l i aconseguir, d'aquesta manera, disminuir-ne l'eficiència, i, en un futur, considerar-lo tan sols un petit perill en aquest immens oceà.

URL: http://wwwa.urv.cat/ogovern/consellsocial/PSecundaria/DVD%20Secundaria%202016-17/material/17cap13.pdf

Title in original languages: Lladres de dades a l'era digital

Academic year: 2016-2017

Student: Simó Queralt, Enric

Series: Premi Eduard Saavedra