Embed Size (px)
Citation preview
DEXA 11 UOC GRAU DRET CURS 2009-2010
DEXA 11
PHISHING
Anna RovirosaAntonio MoralIolanda PovedaJose Miguel Jimenez
DEXA 11 UOC
MOTIUS DE L’ELECCIÓ.• Les grans possibilitats
que tenim de convertir-nos en una víctima.
• L’atracció del tema, ja que tot i que hi ha molta informació pocs coneixem en què consisteix.
El temaOBJECTIUS
• Conèixer en que consistia el tema tractat.
• Posar-nos en la pell d’un phisher i d’una víctima, saber com actuen cada un d’ells o com haurien d’actuar.
DEXA 11 UOC
EL PHISHING. DEFINICIÓ
Phishing prové de la paraula anglesa “fishing” (pesca), referint-se a l’intent de fer que els usuaris “piquin l’ham”.Es caracteritza per intentar extreure informació confidencial de manera fraudulenta. L’estafador, es fa passar per una persona o empresa de confiança, enviant una aparent comunicació oficial electrònica.
http://seguridad.internautas.org/html/451.html
DEXA 11 UOCDEXA 11 UOC
El que diferencia el Phishing d’altres tipus de frau és que combina quatre elements fonamentals:
Enginyeria social: El phishing explota les debilitats dels individus per enganyar i fer que actuïn contra els seus propis interessos
Suplantació: Un atac de phishing requereix que els delinqüents suplantin a una empresa legítima o una agència governamental.
Comunicació electrònica: Utilitzen xarxes de comunicació, especialment Internet.
Automatització: Les tecnologies de la informació són utilitzades per a desenvolupar els atacs de phishing de forma massiva
DEXA 11 UOC
Com conventir-se en un phisherPlanificació
• Determinació de l’objectiu.• Informació personal a robar:
credencials, nº de targeta, de seguretat social
• Determinació de la finalitat de l’atac: venta, explotació, xantatge
• Determinació del canal de comunicació
Preparació• Creació dels materials
necessaris• Base de dades dels destinataris• Web per recol·lectar les dades.
• Atac• Posada en funcionament de la
infraestructura d’atac• Recol·lecció
• Recol·lecció de la informació personal
• Correus electrònics en comptes anònims
• Exportació a la base de dades Post-atac
• Desactivació de la infraestructura d’atac
• Eliminació de proves• Avaluació de l’èxit de l’atac• Calibració de la resposta de la
entitat atacada i de les forces de l’ordre.
DEXA 11 UOC
Com evitar ser una víctima
No atendre a correus electrònics escrits en idiomes estrangers.No atendre a correus enviats per entitats de la que no és client, demanant dades personals.No atendre a sorteigs o ofertes econòmiques de forma immediata e impulsiva.No atendre a correus que l’avisin del tancament d’entitats financeres rebuts per primer cop i per sorpresa.No atendre a correus dels que sospiti sense confirmar-los Prendre precaucions al realitzar compres online, utilitzant pàgines “segures identificades mitjançant el cadenat o quan l’adreça comença amb “https” (la “s” significa segura).
DEXA 11 UOCDEXA 11 UOC
COM ES PORTA A TERME.
El phishing es pot produir de diferents maneres:
SMS (missatge curt) Trucada telefònicaRecepció correu electrònicPàgina web o finestra emergent
DEXA 11 UOC
LEGISLACIÓ EUROPEA Directiva 95/46/CE del Parlament Europeu i del Consell, de 24
d’octubre de 1995, relativa a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulaciód’aquestes dades.
Directiva 2002/58/CE del Parlament Europeu i del Consell, de 12 de juliol de 2002, relativa al tractament de les dades personals i a la protecció de la intimitat en el sector de les comunicacionselectròniques. (Directiva sobre la privacitat i les comunicacionselectròniques).
Directiva 2006/24/CE del Parlament Europeu i del Consell de 15 de març de 2006 sobre la conservació de dades generades o tractades en relació amb la prestació de serveis de comunicacionselectròniques d’accés públic o de xarxes públiques de comunicacions i per la qual es modifica la Directiva 2002/58/CE.
DEXA 11 UOC
LEGISLACIÓ NACIONAL Constitució Espanyola de 1978.
Llei 34/2002, de 11 de juliol de Serveis de la Societat de laInformació i Comerç Electrònic (LSSI-CE).
Llei Orgànica 5 / 1992, de 29 d’octubre, de regulació deltractament automatitzat de les Dades de Caràcter Personal.(LORTAD, vigent fins al 14 de gener de 2000).
Llei Orgànica 15/1999 de Protecció de Dades, de 13 de desembre (LOPD) i el Reglament de Mesures de Seguretat (RMS).
Codi Penal, (CP), aprovat mitjançant Llei orgànica 10/1995, de 23 de novembre.
DEXA 11 UOC
JURISPRUDÈNCIA Audiencia Provincial de Pontevedra, Sección 5ª, Sentencia
de 15 Jul. 2009,rec. 15/2009
LA LEY 136340/2009
ESTAFA. Fraude informático. "Phising" u obtención de claves bancarias mediante correo electrónico. En grado de tentativa. PARTICIPACIÓN EN EL DELITO. A título de cooperador necesario del titular de la cuenta en la que se ingresó la cantidad objeto de fraude, cuya labor era transferir el dinero acuenta extranjera a nombre del autor de la estafa, previo descuento de una comisión. Admisión de dolo eventual en supuestos de actuación de ignorancia deliberada. Requisitos y doctrina jurisprudencial.
http://www.inteco.es/
DEXA 11 UOC
Audiencia Provincial de Almería, Sección 2ª, Auto de 24 Abr. 2009, rec.77/2009
LA LEY 105317/2009
PRIMERO.- Se plantea por los Juzgados de Instrucción de El Ejido y Almería cual debe ser el competente para resolver uno delitos cometidos mediante la técnica del "phising", consistente en la captación de ciertos datos de las víctimas mediante el envío de correos electrónicos para que faciliten sus datos bancarios,...
DEXA 11 UOCDEXA 11 UOC
Blancs dels atacs phishing
DEXA 11 UOC
Percentatge de missatges phishing en el tràfic de correu del primer semestre de 2009
DEXA 11 UOC
Video explicatiu de phishingCliqueu al mig per veure el video
DEXA 11 UOC
Les Tecnologies de la Informació i les Comunicacions han suposat una eina facilitadora per la realització de delictes.
El phishing suposa una evolució tecnològica d’algunes de les estafes tradicionals.
Utilització de mitjans difícils de detectar per a un usuari poc informat.
L’impacte d’aquest delicte és greu i pot generar desconfiança cap a les TIC i Internet.
L’escassesa de legislació existent tant nacional com internacional i la diversitat de desenvolupament fa que els delinqüents ho aprofitin.
És necessària una bona formació en relació als bons usos i abusos que es produeixen a la Xarxa.
CONCLUSIONS
DEXA 11 UOC
Quan es produeix un atac de Phishing amb èxit, quin creus que n’és el causant: l'enginy del delinqüent o la ingenuïtat de l'afectat?
Què avança amb més rapidesa, la tecnologia de la comunicació o els estafadors que s'aprofiten d'ella?
Creus que és segura la xarxa?
Reflexionem
