fraude en internet · 2018-11-27 · fraude en banca electrÓnica (phishing) cortesía del grupo de...
TRANSCRIPT
![Page 1: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/1.jpg)
Fraude en Internet:Una actividad industrializada
Ciclo de Charlas Técnicas 2009 -
Una actividad industrializada
Fernando Fons GómezD. Técnicas de Sistemas
Bancaja
Fecha: 19 febrero 2009
![Page 2: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/2.jpg)
índice. � Introducción al fenómeno. Tipología del fraude.
– spam, scam, troyanos, man-in-the …, … phishing
� Algunas cifras
Fraude en Internet:Una actividad industrializada
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
� ¿Qué hacer?
![Page 3: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/3.jpg)
Introducción al fenómeno.Tipología del fraude
� spam� scam� troyanos� man in the …
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
– middle– browser
� …� phishing
![Page 4: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/4.jpg)
DELITOS RELACIONADOS CON INFRACIONES DE LA
PROPIEDAD INTELECTUAL Y DE
LOS DERECHOS AFINES
“hacking” “falsificación y fraudes”
“pedofilia”
“Prop Intelec”
DELITOS CONTRA LA CONFIDENCIALIDAD,
DELITOS INFORMÁTICOS
DELITOS
DELITOS RELACIONADOS
CON EL CONTENIDO
Cortesía del Grupo de Delitos Telemáticosde la Guardia Civil
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
AFINES
Descubrimiento y revelación de secreto y acceso ilegal (197) Intrusión en sistema informático (197.3)Apoderamiento de secreto de empresa (278)Daños en datos y sistema informático (264) DoS (264.2)Abuso de los dispositivos (270)
Falsedad documental (390 y ss.)Estafa informática (248) Uso de tarjetas de crédito (248.2-c)Defraudación en fluido telecomunicaciones (255 y 256)
Tenencia y difusión de pornografía infantil (189)Provocación sexual y prostitución (186 y 187)Amenazas (169), injurias (208) y calumnias (205)Apología racismo y xenofobia (607)
CONFIDENCIALIDAD, INTEGRIDAD Y
DISPONIBILIDAD DE DATOS Y SISTEMAS
INFORMÁTICOS
DELITOS INFORMÁTICOS
Delito contra la Propiedad intelectual e industrial (270 y ss.)
Protocolo adicional referente a la apología del racismo y xenofobia (Enero 2003)
![Page 5: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/5.jpg)
•Descargas ilegales (P2P)•Venta de música, video y software•Servidores privados FTP “hacking”
“fraudes”
“contenido”
“Prop Intelec”
•Malware
Conductas habituales constitutivas de delito informático
•Estafas en el comercio electrónicoPhishing
•Adicción al consumo de pornografía infantil (pedofilia).•Relaciones engañosas con fines sexuales (Grooming)
Cortesía del Grupo de Delitos Telemáticosde la Guardia Civil
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
•Malware•DDoS•Botnets•Espionaje industrial•Apoderamiento de correo electrónico•Accesos para vulneración intimidad•Tenencia de cracks
electrónico•Phishing•Timos
sexuales (Grooming)•Contenidos de adultos a menores.•Amenazas• Injurias y calumnias•Apología racismo y xenofobia
![Page 6: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/6.jpg)
•Descargas ilegales (P2P)•Venta de música, video y software•Servidores privados FTP “hacking”
“fraudes”
“contenido”
“Prop Intelec”
•Malware
Conductas habituales constitutivas de delito informático
•Estafas en el comercio electrónicoPhishing
•Adicción al consumo de pornografía infantil (pedofilia).•Relaciones engañosas con fines sexuales (Grooming)
Cortesía del Grupo de Delitos Telemáticos
de la Guardia Civil
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
•Malware•DDoS•Botnets•Espionaje industrial•Apoderamiento de correo electrónico•Accesos para vulneración intimidad•Tenencia de cracks
electrónico•Phishing•Timos
sexuales (Grooming)•Contenidos de adultos a menores.•Amenazas• Injurias y calumnias•Apología racismo y xenofobia
![Page 7: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/7.jpg)
INMADUREZ
SNOBISMO
Cortesía del Grupo de Delitos Telemáticosde la Guardia Civil
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
LIBERTADSEGURIDAD
Incultura seguridadinformática
ANONIMATO
![Page 8: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/8.jpg)
Estafa en el comercio electrónico (C2C)Estafa en el comercio electrónico (C2C)
Cortesía del Grupo de Delitos Telemáticos
de la Guardia Civil
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
•Exceso de confianza de compradores
•Fluida comunicación para generar confianza
•Escenarios de engaño (empresas scroll, transportes, copias reales, …) “CARRING”, “HOUSHING”,
•Manipulación portales subastas (credibilidad)
•“Honorarios adelantados”
•Puntos de compromiso (oficinas de empresas de transferencias de fondos)
![Page 9: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/9.jpg)
@
Timos de la redTimos de la redExportación del timo a la Red
Nigerianos (Fortunas sin herederos)
Premios de Loterías internacionales
Solidaridad humana, filantropía (Tsunami, Muerte de S.S. el Papa, Katherina)
Cortesía del Grupo de Delitos Telemáticosde la Guardia Civil
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
@@
SCAM
@
SCAM
@
SCAM
@
SPAM
BANCO
TAX
COMISIONES
![Page 10: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/10.jpg)
PROCESO DEL FRAUDE:1. Robo de códigos de acceso a banca electrónica mediante manipulación
informática.
2. Usurpación de identidad y orden de transferencia bancaria electrónicaa colaboradores financieros (MULAS).
3. Tráfico de dinero hasta defraudador.
OBJETIVOS (beneficio económico)
FRAUDE EN BANCA ELECTRÓNICA (PHISHING)
Cortesía del Grupo de Delitos Telemáticosde la Guardia Civil
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
OBJETIVOS (beneficio económico)1. Datos de acceso a servicio de banca electrónica (login/password/firma
electrónica)
2. Datos de tarjetas de crédito (numeración y PIN)
3. Datos de cuentas de acceso a servicios comerciales de la red (subastas, apuestas, ...)
![Page 11: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/11.jpg)
El phishing I
Página
fraudulenta
recoge
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
Informático
Empresario
Empresario
Empresario
Fabricación
datos
cliente
crea
![Page 12: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/12.jpg)
El phishing II
Servidor x
Servidor y
Servidor z
Servidores
de todo el
mundo
Página
fraudulenta
recoge
Aloja
fraudulentamente
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
Informático
Empresario
Empresario
Empresario
Fabricación
datos
cliente
crea
![Page 13: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/13.jpg)
El phishing III
Servidor x
Servidor y
Servidor z
Servidores
de todo el
mundo
Página
fraudulenta
recoge
Aloja
fraudulentamente
Correo
suplantando
a BancajaClientes Bancaja
Ctes otros bancos
NO Ctes bancosDirecciones
de correo
electrónico
spam masivo
(noches, fines
semana, festivos)
Enlace a
página
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
Informático
Empresario
Empresario
Empresario
Fabricación
datos
cliente
crea
semana, festivos)
Correo
suplantando
a Bancaja
![Page 14: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/14.jpg)
El phishing IV
Servidor x
Servidor y
Servidor z
Servidores
de todo el
mundo
Página
fraudulenta
recoge
Aloja
fraudulentamente
Correo
suplantando
a BancajaClientes Bancaja
Ctes otros bancos
NO Ctes bancosDirecciones
de correo
electrónico
Enlace a
página
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
Informático
Empresario
Empresario
Empresario
Fabricación
datos
cliente
creaCorreo
suplantando
a Bancaja
Intención de
conexión
a BP
utilizando
enlace
fraudulento
![Page 15: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/15.jpg)
El phishing V
Servidor x
Servidor y
Servidor z
Servidores
de todo el
mundo
Página
fraudulenta
recoge
Aloja
fraudulentamente
Correo
suplantando
a BancajaClientes Bancaja
Ctes otros bancos
NO Ctes bancosDirecciones
de correo
electrónico
Enlace a
páginaAl utilizar
esta página
para la
conexión
se envían
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
Informático
Empresario
Empresario
Empresario
Fabricación
datos
cliente
creaCorreo
suplantando
a Bancaja
Intención de
conexión
a BP
utilizando
enlace
fraudulento
Dirección
correo
receptora
datos
cliente
se envían
los datos de
identificación
Dirección
correo
receptora
datos
cliente
![Page 16: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/16.jpg)
El phishing VI
Servidor x
Servidor y
Servidor z
Servidores
de todo el
mundo
Página
fraudulenta
recoge
Aloja
fraudulentamente
Correo
suplantando
a BancajaClientes Bancaja
Ctes otros bancos
NO Ctes bancosDirecciones
de correo
electrónico
spam masivo
(noches, fines
semana, festivos)
Enlace a
páginaAl utilizar
esta página
para la
conexión
se envían
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
Informático
Empresario
Empresario
Empresario
Fabricación
datos
cliente
crea
semana, festivos)
Correo
suplantando
a Bancaja
Intención de
conexión
a BP
utilizando
enlace
fraudulento
Dirección
correo
receptora
datos
cliente
se envían
los datos de
identificación
Dirección
correo
receptora
datos
cliente
Intermediario
financiero ilegal
Facilita datos obtenidos
fraudulentamente
![Page 17: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/17.jpg)
El phishing VII
Servidor x
Servidor y
Servidor z
Servidores
de todo el
mundo
Página
fraudulenta
recoge
Aloja
fraudulentamente
Correo
suplantando
a BancajaClientes Bancaja
Ctes otros bancos
NO Ctes bancosDirecciones
de correo
electrónico
spam masivo
(noches, fines
semana, festivos)
Enlace a
páginaAl utilizar
esta página
para la
conexión
se envían
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
Informático
Empresario
Empresario
Empresario
Fabricación
datos
cliente
crea
semana, festivos)
Correo
suplantando
a Bancaja
BPP
BPE
Intención de
conexión
a BP
utilizando
enlace
fraudulento
Dirección
correo
receptora
datos
cliente
se envían
los datos de
identificación
Dirección
correo
receptora
datos
cliente
Intermediario
financiero ilegal
Facilita datos obtenidos
fraudulentamenteConexión en nombre
de nuestro cliente
ordenando transferencia
de fondos a cuenta propia
(con posterior extracción
mediante tarjeta o trans-
ferencia)
o al exterior
![Page 18: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/18.jpg)
Un proceso industrializado:Ciclo de vida de un ataque
� Planificación– Objetivos, método, selección de herramientas, …
� Desarrollo del sistema de ataque– Se crean los materiales sw y hw, selección destinos, se implantan los sw,
muleros, …� Ataque
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
� Ataque– Envío de correos, recepción de llamadas, man in the …
� Recolección datos– Recogida y filtraje de los datos, posible venta, …
� Fraude– Suplantación de identidad en acceso a home baking, compra con tarjetas,
transferencia fondos, …� Tareas finales
– Destrucción evidencias, análisis de resultados, mejora de las herramientas, …
� Reinicio del ciclo
![Page 19: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/19.jpg)
Un proceso industrializado:Del lado de los malos
� Diversas funciones:– Inversores / empresarios– Desarrolladores.- Existe todo un mercado de malware con SLAs
incluido– Especialistas en sistemas, red ... seguridad
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
– Especialistas en sistemas, red ... seguridad– Foros en los que se compra y se vende– Muleros
� No es necesario ser un genio para participar … todo se puede comprar y externalizar
![Page 20: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/20.jpg)
Un proceso industrializado:Del lado de los buenos
� Diversas funciones:– Especialistas y administradores en seguridad informática– Formación en seguridad de la información– Fabricantes de elementos de seguridad informática– Consultores de seguridad informática
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
– Consultores de seguridad informática– Auditores de seguridad informática– Compañías de seguridad informática– Divulgadores – …
� Es necesario ser muy bueno en temas de seguridad para afrontar los retos de cada día. El mercado está muy activo
![Page 21: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/21.jpg)
Un proceso industrializado:Del lado de los clientes
� Diversos retos:– Mejorar la cultura en temas de seguridad – Mantener correctamente instalados los sistemas– Mantener correctamente operativos los sw de seguridad
� Es imprescindible utilizar el sentido común y tener un cierto
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
� Es imprescindible utilizar el sentido común y tener un cierto nivel de desconfianza, sin llegar al paroxismo
![Page 22: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/22.jpg)
Algunas cifras
� Nadie quiere dar cifras concretas y precisas por lo que las cifras que se manejan son poco consistentes …
� No obstante:– Crecimiento continuo.- *2.5 los casos de phishing en 2008 vs 2007– Volumen defraudado …
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
– Volumen defraudado …– El 98.2% del correo recibido es spam– Evolución.- en los últimos meses se aprecia un notable incremento
de los troyanos vs ingeniería social– Otros mercados.- se observa un notable incremento en la captura de
tarjetas para compra por Internet– El sector sigue en constante evolución técnica y en cifras
![Page 23: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/23.jpg)
Cifras de un proveedor de servicios español
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
![Page 24: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/24.jpg)
¿Qué hacer? - Prevención
� Medidas preventivas– Nivel de “seguridad” de nuestros “sistemas” por encima de la media:
• Nivel de Seguridad perimetral muy alto• Nivel de Seguridad red interna muy alto• Identificación de acceso robusta
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
• Identificación de acceso robusta• Autentificación mediante tercer factor
– ¡No nos asegura ante troyanos sofisticados!
– Información para los usuarios y empleados– Hacking ético y auditorias de seguridad– Gestión de la visibilidad de la web …– Seguimiento de la industria de la seguridad– …
![Page 25: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/25.jpg)
¿Qué hacer? - Detección
� Medidas detección temprana– Sistemas de control del fraude– Gestión del fraude normalmente apoyándonos en compañías
especializadas• Patrullaje
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
• Patrullaje
– IPS– …
![Page 26: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/26.jpg)
¿Qué hacer? - Defensa
� Medidas de defensa– Autentificación robusta mediante tercer factor– Alto nivel de la seguridad de las aplicaciones expuestas a Internet– Alto nivel de la seguridad perimetral– Gestión del fraude normalmente apoyándonos en compañías
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
– Gestión del fraude normalmente apoyándonos en compañías especializadas
• Cierre de casos de phishing
– …
![Page 27: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/27.jpg)
¿Qué hacer? - Reacción
� Medidas reactivas– Sistemas de detección del fraude– Gestión del fraude normalmente apoyándonos en compañías
especializadas• Identificación de clientes afectados por troyanos …
– Denuncias
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
– Denuncias– Compartir información en foros controlados– Seguimiento la industria de la seguridad…
![Page 28: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/28.jpg)
¿Qué hacer? – Otros aspectos
� Tarea continua– Los atacantes están evolucionando continuamente sus herramientas
y métodos y nos obligan a seguirles
� Alta Especialización– Formación continua– Externalización de servicios y funciones mas sofisticadas
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
– Externalización de servicios y funciones mas sofisticadas
� Gestión de costes– Alineamiento con el negocio … ¿de quien?
� Los clientes– Implementar la LISI– Definir política corporativa respecto a ellos
![Page 29: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/29.jpg)
Autentificación mediante tercer factor
� Se utiliza un medio físico en poder del usuario.� La clave generada es de un solo uso y valida durante un corto
periodo de tiempo.� Hay distintos soportes físicos ( token, llaves usb, moviles, …)
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
� Hay soluciones alternativas basadas en certificados digitales (DNI electrónico, smartcards,..)
� Las soluciones basadas en tarjetas de barcos se han demostrado poco robustas frente al phishing.
![Page 30: Fraude en Internet · 2018-11-27 · FRAUDE EN BANCA ELECTRÓNICA (PHISHING) Cortesía del Grupo de Delitos Telemáticos de la Guardia Civil Ciclo de Charlas Técnicas ISACA-CV (19/2/2009)](https://reader035.vdocuments.net/reader035/viewer/2022070719/5edf3496ad6a402d666a8e23/html5/thumbnails/30.jpg)
(19/2/2009)Ciclo de Charlas Técnicas ISACA-CV
GRACIAS POR SU ATENCIÓN