Phishing

Phishing iruzurraren munduko delituari erreferentzia egiten dion hitz informatiko bat da, zeina informazio konfidentziala (pasahitza edota kreditu txartel edo bankuko edozein informazio) era iruzurgile baten bidez eskuratzeagatik ezagutzen den gizarte-ingeniariaren erabilpenaren bitartez praktikatzen den. Iruzurgilea, phisher izenez ezaguna, ustezko komunikazio elektroniko ofizial baten bitartez (normalean posta elektroniko edo bat-bateko mezularitza edota dei telefonikoen bidez ere burutua) konfiantzazko enpresa edo pertsona bezala aurkezten da.^[1]

Phishing-arekin zerikusia duen salaketa kopuru altua dela eta, babeserako metodo gehigarriak behar dira. Phishing-aren praktika hau zigortzen duen legeak ezarriz, erabiltzaileak ohartarazteko kanpainak eginez eta programetarako neurri teknikoak ezarriz, aurre egiteko saiakerak burutu dira.

Phishing-aren historia

Hitzaren jatorria

Phishing hitza ingelerako arraia hitzetik eratortzen da, ingeleraz "fishing" (arrantza), erabiltzaileak geroz eta amu sofistikatuagoen bidez harrapatzearen ekintzari deritzo. Modu honetan, informazio finantzaria eta pasahitzak eskuratzen da. Honetan aritzen direnei phisher izenarekin ezagutzen dira. Phishing izena "password harvesting fishing"-aren (pasahitzen uzta eta arrantza) kontrakzioa dela ere esaten da, seguruena hau akronimo retro-aktibo bat dela.

Euskararako itzulketan honako izenak egokiak lirateke: amu edo iruzur elektronikoa.

Phishing izenaren lehenengo agerraldia, 1996eko Urtarrilean izan zen, hackers alt.2600 berri taldean, baina hacker "2600 Magazine" inprimatutako berri buletinaren edizioan lehenago agertu zen terminoa. Phishing terminoa, AOL erabiltzaileak "arrantzatzen" zituzten crakcer-engatik hartu zuren; ph f ordezkatzeko erabiltzen dute hacker-ek, "phone phreaking" izenez ezagutzen den hacking erabilera zaharra bezala.

Phishing AOL-en

1990 hamarkadan AOL-en phishing egiten hasi zirenak, kreditu txartel zenbaki baliagarrien bidez, konpainia horretako zerbitzuak erabiltzeko kontuak lortzen zituzten, horretarako bereziki erabilitako algoritmoen bidez sortuak. Sortutako AOL kontu hauek asteak zein hilabeteak iraun zezaketen. 1995 urtean AOL-ek iruzur honi aurre egiteko neurriak hartzea erabaki zuen, hau zela eta, cracker-ak phishing-era jo zuten AOL-en kontu legitimoak eskuratzeko.

AOL-eko phishing-a warez (software pirata elkartrukatzen zutenak) komunitatearekin erabat erlazionatuta zegoen. Crakcer bat, AOL-ko langile batengatik pasatzen zen eta berehalako mezu bat bidaltzen zion biktima potentzial bateri. Biktima iruzurtzeko eta informazio konfidentziala emateko, "kontuaren ziurtatzea" edo "ordain-agiri informazioaren baieztapena" mezuak eduki zitzakeen. Behin biktimak bere pasahitza bidalita, erasotzaileak biktimaren kontura sartzea zeukan eta zenbait asmo kriminaletarako, spam barne, erabil zezakeen. Phishing-a zein Warez-a AOL-en, orohar cracker-ak idatzitako programez baliatu behar ziren.

1997.an AOL-ek, phishing eta Warezaren politikak gogortu zituen eta AOL zerbitzarietatik kaleratuak izan ziren denak. Garai horretan AOL-en phishing-a hain sarria zenez, berehalako mezu sisteman honako testu lerro bat txertatzea erabaki zen: "no one working at AOL will ask for your password or billing information" ( "AOL-en lan egiten duen inork, ez dizu ordain-agiriaren informazioa edo pasahitzik eskatuko"). Aldi berean AOL–ek, phishing-en aritutako kontu baten desaktibazio automatikoa egiten zuen sistema bat garatu zuen, normalean biktima erantzun aurretik egikaritzen zena. Behin behinekoz, phisher-ak AOL-en berehalako mezu sistemara (AIM) mugitu ziren,ezin izan baitzituzten AIM zerbitzaritik kanporatu. AOL-eko Warez eszenaren behartutako itxiera zela eta, phisher askok zerbitzua hau uztea erabaki zuten, eta ondorioz honen praktika.

Phishing MSN-an

quienteadmite eta noadmitido dira MSN erabiltzaileei, beren kontaktuen erabiltzaile listatik ezabatuak izan diren edo ez jakitearen truke, izena eta pasahitza lapurtzeko erabiltzen diren web orri berrienetarikoak.

Web hauek eskaintzen duten zerbitzua erraz lor daiteke, MSN Messenger aplikazioak eskaintzen duen "pribatutasun" atalean. Baina, erabiltzaile askok, ez dute aukera hau ezagutzen eta beraz, iruzurrean erortzen dira.

Phising-aren egungo saiakerak

Phishing-aren gaur egungo saiakera berrienek, biktimatzat, bankuko bezero eta online ordainketa eskaintzen duten zerbitzuak hautatu dituzte. Nahiz eta, goian azaltzen den irudian ikus daitekeen bezala, phisher-ek banku edo online zerbitzuko bezero bati bidalitako dokumentua izan, gaur egungo ikerkuntzek adierazten duten bezala, iruzurgileek jakin dezakete bezero batek zein bankurekin izan dezakeen harremana, eta modu horretan, bezero horri banku horren izenean gezurrezko mezu bat bidali. Orokorrean, erabiltzaile jakin batekiko eraso hauek, spear phishing (lantza bidezko phishing-a) izena hartzen dute. Asmo sozialetarako erabiltzen diren Interneteko guneak ere phisher-en helburu bihurtu dira, toki hauetan erabiltzen den informazio gehiena, nortasun lapurretarako erabil baitateke. Esperimentu batzuek, sare sozialetako phishing erasoetan, %90eko arrakasta tasa lortu dute. 2006 urte amaieran, har informatiko batek MySpace webguneko zenbait orrialde bereganatu zituen, erabiltzaileen loging-erako informazioa lapurtzeko erabiltzen zen web orri batera zuzendutako loturak aldatuz.

Phishing-aren Teknikak

Phishing-aren metodo gehienek, diseinuaren bidezko iruzurra erabiltzen dute, hau da, iruzurgileak, benetako konpainiakoa bailitzan, posta elektroniko baten bidez lotura faltsu bat bidaltzen dio bezeroari. Gaizki idatzitako URL-ak edota azpi-domeinuen erabilerak dira phisher-ek normalean erabiltzen dituzten iruzurrak, ondoren helbidea adibidez, http://www.bankuarenizena.com.adibidea.com/^{[Betiko hautsitako esteka]}. Lotura faltsu hauek apaintzeko beste adibide bat, a bildua (@) karakterea daukaten helbideak erabiltzea da, ondoren erabiltzaile izena eta pasahitza galdetzeko (estandarren aurkakoa). Adibide bezala, http://www.google.com@members.tripod.com/ har dezakegu. Helbide honek bezeroa engainatzen du eta irekitzera doan helbidea www.google.com dela sinestarazten du, benetan irekiko den helbidea members.tripod.com denean (eta www.google.com-eko erabiltzaile izena eta pasahitzarekin sartzen saiatzean, erabiltzaile hori existitzen ez bada, orria normaltasun osoz irekiko da). Hortik aurrera metodo hau erauzia izan da Mozilla eta Internet Explorer nabigatzaileetatik. Beste phishing saiakera batzuek, JavaScripts-ak erabiltzen dituzte helbide barra aldatzeko. Azken hau, helbide barraren gainean, entitatearen benetako URL-aren irudi bat jartzen egiten da edota benetako helbide barra itxi eta faltsuzko helbidea gordetzen duen beste berri bat irekiz.

Phishing-aren beste metodo ezagun batean, erasotzaileak, bankuaren edo pasatzen ari den zerbitzuaren kode propioa erabiltzen du biktimaren kontra. Eraso mota hau problematikoa izan ohi da, erabiltzailea, banku edo zerbitzuaren benetako orrian saioa hastera bideratzen baitu, non URL-a eta segurtasun agiriak zuzenak diren. Erasorako metodo honetan (Cross Site Scripting izenez ezaguna), erabiltzaileek beraien kontuak "gainbegiratu" behar dutela esaten duen mezu bat jasotzen dute, jatorrizko webgunea ematen duen lotura batekin bukatzen duelarik; errealitatean, lotura aldatuta dago eraso mota hau burutzeko, eta oso zaila antzemateko, ez badira beharrezko jakintzak ezagutzen.

URL-en beste arazo bat, Nazioartekotutako Domeinuaren Izena (NDI)-ren nabigatzaileetako erabilerarekin zerikusia du, gerta baitaiteke, begira ezaguna egiten zaigun helbide bat desberdina izatea (adibidez, domeinua.com, domeinua.com-aren berdina dirudi, baina bigarren helbidean "o" hizkiak omicron letra grekoarengatik, "o", ordezkatua izan. Teknika hau aurrera eramatean, erabiltzaileak iruzurretarako erabiltzen den orrietara bideratu dezake biktima. Nahiz eta akats honen inguruan ( NDI Spoofing edo eraso homografo izenez ezagutua) publizitatea egin, phishing-aren erasorik ez da ezagutu hau erabili duenik.

Diru zuriketa phishing-aren ondorioz

Gaur egungo gezurrezko enpresek, e-mail, txat, irc edota beste bideen bitartez langileak bereganatzen saiatzen ari dira , ez bakarrik etxetik lan egiteko aukera eskainiz, beste zenbait irabazi erakargarri ere. Eskaintza onartzen duten pertsonek, automatikoki, horren jakitun izan gabe, delitu larri baten parte hartzen dute: iruzurrezko ekintzen ondorioz lortutako diru zuriketa.

Pertsona hauek, enpresa mota hauetan parte hartzeko edo lanean hasteko, formulario bat bete beharko dute, non beste hainbat datuen artean, beraien bankuko kontu zenbakia eman beharko duten. Phishing-aren bidez lortutako dirua, langile-biktimaren kontu korrontean sartzea da honen helburua. Biktima behin kontratatuta dagoela, pertsona hau automatikoki, herri-hizkeran ezaguna den mandoa izatera pasako da.

Phishing-aren ekintza bakoitzarekin, biktimak diru kopuru handi bat jasoko du bere kontu korrontean eta enpresak, eragiketa honetaz ohartaraziko dio. Behin diru-sarrera eginda,lanaren komisio bezala, biktima, diru totalaren zati batekin geratuko da, %10-%20 inguruan egon daitekeena eta gainontzekoa, diru bidalketa zerbitzu baten bidez, ustezko enpresara bidaliko da.

Biktima, ezjakintasuna dela eta (askotan behar ekonomikoak bultzatuta), iruzurrezko ekintza baten sartuta dago, bakuko denuntzia baten ondorioz, justiziarengandik deitua izateraino. Denuntzia hauek, irabazitako diru guztia bueltatzearen truke ebatziak izaten dira, beti ere, komisio soil bat bakarrik irabazi duela bermatuz.

Faseak

• Lehenengo fasean, iruzurgileak txat, foro edo posta elektroniko bidez biktimak bereganatzen dituzte, diru eta errentagarritasun handia dakarren lan eskaintza on bat daraman mezu bat bidaliz (hoax edo scam). Iruzurrean erortzen diren kasuan, honen bitartekariek, datu batzuk bete beharko dituzte : datu pertsonal eta bankuko kontu zenbakia. • Phishing-a burutzen da, nahiz multzokako posta elektroniko askoren bitartez edota bankuko entitatearen izenean, kontu korrontearen pasahitza eskatuz (PHISHING) edo eraso jakinen bitartez. • Hirugarren pausoa, iruzurgileak diru kantitate handia jasotzen hasten direnekoan datza, zeinak bitartekarien (mandoak) kontuetara transferitzen diren. • Bitartekariek iruzurgileen kontuetara transferentziak egiten dituzte, azken hauek diru kopuru handiak bereganatuz eta biktimek komisioen portzentaje bat.

Phishing-ak eragindako hondamendiak

Phishing-ak eragindako hondamendien artean, posta elektronikora sarrera galtzetik galera ekonomiko handietara izan daitezke. Nortasun lapurreta hau, geroz eta gehiago hedatzen ari da konfiantza duten pertsonek phisher-ei informazioa emateko duten erraztasunarengatik, kreditu txartelen edota gizarte segurantzaren zenbakiak barne daudelarik. Behin phisher-ak informazioa eskuratu duela, kontu berriak sortzeko, biktimaren kreditua xahutzeko edota biktimek beraien kontuetan ez sartzeko erabil ditzakete datu pertsonal hauek.

2004ko Maiatzetik 2005eko Maiatzera estimatzen da, AEBetako 1.2 milioi konputagailuen erabiltzaileek phishing-a zela medio galerak izan zituztela estimatzen da, gutxi gorabehera 929 milioi estatubatuarreko dolar. Bezeroak biktimak ziren bitartean, AEBetako negozioek urtean 2000 milioi dolar inguru galdu zituzten. Erresuma Batuan phishing-aren hazkuntza ere nabaritu zuen. 2005ko martxoan, phishing-aren praktikarengatik Erresuma Batuak galdutako dirutza, 12 milioi libera esterlina ingurukoa izan zen.

Anti-Phishing

Phishing-ari aurre egiteko hainbat teknika desberdin existitzen dira, legedia eta eraso honen kontrako teknologia espezifikoak barne.

Gizartearen erantzuna

Phishing-ari aurre egiteko enpresek erabiltzen duten estrategietako bat, beraien langileei arriskuez ohartarazi eta gerta litezkeen erasoen aurrean trebatzea da. Phishing-aren taktika berri batek, zeina konpainia jakin batera posta elektronikoak bidaltzean datza, zenbait lekutan entrenamendua sustatu du, Estatu Batuetako West Point-eko Akademia Militarrean barne. 2004ko ekainean spear phishing-arekin egindako esperimentu baten, West Point-eko 500 kadeteen %80a iruzurrean erori zen, posta elektroniko bat jaso eta beraien datu pertsonalak eman zituzten.

Erabiltzaile batek, zeinarekin mezu elektroniko baten bidez komunikazio bat ezarri den eta bere kontu elektronikoa "baieztatu" behar duela esan, ezer egin baino lehen, bi aukera izango ditu, konpainiarekin zuzenean harremanetan jarri edota postan agertzen den lotura eskuz nabigatzailean tekleatu loturaren helbidera birbidalia ez izateko. Konpainia askok, eBay eta PayPal barne, posta elektronikoetan bere bezeroekin erabiltzaile izenez ezartzen dute harremana, hortaz, posta elektroniko bateko agurra orokorra bada ("eBayeko erabiltzaile agurgarria"), litekeena da phishing saiakera bat izatea.

Erantzun Teknikoak

Anti-phishing-a eskaintzen duen zenbait programa informatiko daude. Programa hauen gehiengoak, webgune eta posta elektronikoetako phishing edukia bilatzen lan egiten du; anti-phishing software batzuk, adibidez, web nabigatzaileetan eta posta elektroniko bezeroetan integratu daitezke bisitatutako domeinu erreala azaltzen duen erreminta barra bailitzan. Spam filtroek ere erabiltzaileak babesten dituzte phisher-en garretatik, jasotako phishing-arekin zerikusia duten posta elektroniko kopurua jaisten baitu.

Erakunde askok, galdera sekretuaren ezaugarria gehitu dute, erabiltzaileak eta erakundeak soilik jakin dezakeen informazioa gordetzen duena. Interneteko web orriek ere egiaztatzeko erremintak gehitu dituzte, zeinak erabiltzaileei aurretik aukeratutako irudi sekretuak ikusteko aukera ematen dien; irudi hauek agertzen ez badira, orduan webgunea ez da benetakoa. Hauek eta beste zenbait kautotze erak, erasoenganako sentiberak izaten jarraitzen dute, 2005ean Nordea banku eskandinaviarrari geratu zitzaion moduan.

Konpainia askok, phishing erasoak jasaten dituzten banku eta beste entitateei, monitorizazio jarraituak eskaintzen dizkiete, analizatuz eta phishing edukia daukaten web orriak legezko bitartekarien bidez itxiz.

Anti-Phising Working Group-ek, phishig-aren aurkako legeak aplikatzen dituen industria eta elkarteak, adierazi du phishig-aren oibnarrizko teknikak geroan zaharkituak gera litezkeela, phisher-ek erabiltzen dituzten gizarte ingeniariako metodoak azaleratzen doazen heinean. Hauek, denbora gutxiren buruan, pharming eta malware-aren beste erabilpen batzuk, informazioaren lapurretarako tresna arruntagoak bilakatuko direla suposatzen dute.

Erantzun legegilea eta judiziala

2004ko Urtarrilaren 26an, Estatu Batuetako FTC-ak (Federal Trade Commission, "Merkataritzaren Batzorde Federala"), phisher susmagarri baten kontrako kasu bat eraman zuen auzitegira. Susmagarria, kaliforniar gazte bat, ustez, American Online-en web gunea ematen zuen orria sortu eta erabili zuen, kreditu txartelen zenbakiak lortzeko. Bai Europa eta Brasilek, Estatu Batuarren praktika jarraitu zuten, ustezko phisher-ak jarraitu eta atxilotuz. 2005eko Martxoaren bukaeran, 24 urteko estoniar gizon bat, backdoor-a erabiltzen zegoela atxilotua izan zen, bere webgune faltsuan jarritako keylogger-aren bitartez, bertara sartzen ziren erabiltzaileen pausoak monitorizatzen zituelarik. Era berean, agintedunek beste phisher bat atxilotu zuten, kingpin izenez ezagutua, Valdir Paulo de Almeida, phishig sare handienetako baten burua, zeinak bi urteren buruan 18 eta 37 estatubatuar dolar artean lapurtu zuena. 2005eko ekainean, Erresuma Batuko agintedunek, bi gizon atxilotu zituzten phishing-aren praktikagatik, kasu bat, Estatu Batuetako Zerbitzu Sekretuetako Operacion Firewall delakoarekin loturik zegoelarik, zeinak phishing-aren praktika aurrera eramaten zituzten webgunean bilatzen saiatzen ziren.

Estatu Batuetan, Patrick Leahy senatariak, 2005eko martxoaren 1eko 2005eko Anti-Phishing-aren Akta kaleratu zuen. Anti-phishing-aren lege federal honek, erabiltzaileei iruzur egiteko helburuarekin spam-a posta kontuetara bidaltzen zuen webgune faltsuak sortzen zuten gaizkileek, 250000 USD-etarainoko isuna jaso lezakete eta 5 urtetarainoko kartzela zigorra.

Microsoft konpainia phishing-aren aurkako esfortzura batu da. 2005eko martxoaren 31ean, Microsoft-ek Washington-go Korteen Barruti-ra 117 auzi federal eraman zituen. Horietako batzuetan, "John Doe" phisher-a, pasahitz eta informazio konfidentziala lortzeko metodoak erabiltzeagatik akusatua izan zen. Microsoft-ek, kasu hauen bitartez, inportantzia handiko phishig-aren zenbait eragile plazaratzea espero du. 2005eko martxoan, Australiako gobernuaren eta Microsoft-en arteko elkarte bat sortzea pentsatu zen, delitu zibernetikoei aurre egiteko legearen hobekuntzak lortzeko asmoz, phishing-a barne.

Ikus

• Spoofing
• Pharming
• XSS

Kanpo estekak

• (Ingelesez) www.antiphishing.org
• (Gaztelaniaz) www.microsoft.com/latam/seguridad/hogar/spam/phishing
• (Gaztelaniaz) www.pandasoftware.es/virus_info/Phishing
• (Gaztelaniaz) www.delitosinformaticos.com/propiedadintelectual/phishing

Phishing-ari buruzko informazioa

• Grupo Activo Anti-Phishing
• [https://web.archive.org/web/20080501013700/http://www.iberfinanzas.com/index.php/Articulos-informes/Amenazas-en-la-era-digital.html Amenazas en la era digital
• Bank Safe Online
• Identidad Robada
• Conoce a tu Enemigo: Phishing
• Muleros, Falsas ofertas de trabajo
• Informes sobre fraudes Phishing
• U. S. Banker | Una historia de Phishing - Febrero 2005
• La economía phishing
• Fraude bancario
• Principios básicos de phishing
• Noticias de Phishing

1. ↑ Rojas, Joxe. (2022). Horrelakoak dira 3 iruzur informatiko ohikoenak | Teknopataren txokoa. (Noiz kontsultatua: 2022-10-18).