Monday, July 21, 2008

Computer Crimes: PHISHING FOR LAWYERS

I believe that Lawyers or Judges that are involved in this activity must have root knowledge on computer science. It is not necessary to actually study computer systems as a career, but it is important to have basic knowledge on networks, computers, network security and understanding on how certain illegal techniques are used, since the crimes derived from these areas are of penal type in those countries that discriminate civil crimes from penal crimes.

Nowadays, in our daily life, almost everything that surrounds us is closely related to Internet, which is the network of networks. Computers, cell phones, and even home appliances are, in most cases, factory set and directly tied to the Internet.

Along with the technological evolution in these last decades, white collar criminals have also kept themselves updated. Some of these people keep up with the pace of technology because they just like the issue and want to go hand in hand with the technological evolution, but some of them think that crime is profitable and subcontract people from the Underground to carry out their criminal plans.

What is Phishing? Phishing is creating a replica of an existing Web page of a legitimate company to entice a user into submitting personal, financial, or password data. Through this method the Phisher will extract, without consent, information which will be used illegally against the victim carrying out electronic fraud.
There are several ways that an end user arrives at portal that is used for Phishing: Web links, recommendations from other people, or the most common of all, through an electronic mail.

We must understand that computer systems are ruled by 2 basic processes: one that interacts with the user which is the “front-end” and other that processes the incoming data from the front-end which is the “back-end”.
In a Phishing site the website is identical to the original one: its structure, design, and graphics, are replicas of the original. The white collar delinquents know that the majority of the users pay more attention to the final aspect of a website but are unaware of the other processes that take place in the background. Although the site is an identical copy of the original one, the fake one has a code inserted that takes the data needed by the Phisher which will allow him to carry out his objective: attaining a none authorized access to crucial information and afterwards obtain a benefit using that information. If the false site is a of an online-bank system, which is most common in the network of networks, the final purpose is the transference of the users funds from his account to the Phishers account.

The theme used in the website used for Phishing depends on its creator, his final intention and what he’s trying to achieve. The most common fake sites are usually: online-banks, electronic mail systems and pay systems. If it is online-bank as mentioned before, the final mission is the transference of the victim’s funds (money); if the objective is electronic mail it is to obtain non authorized access to their email systems; if it’s a pay site the objective it is to obtain this service for free.
Now we’ll see how a Phisher works the fake site, ground up. The following example is based on getting an e-mail sent by a Phisher.

When you receive an e-mail inviting you to go to a website created by a Phisher, as mentioned before, it will look exactly the same as the official one. For example, let’s suppose that the Phisher is going to commit electronic fraud extracting money from your bank account. The first thing that the Phisher will do is to find out the e-mail address that the bank uses to get in touch with you. The Phisher will then send an e-mail which will simulate one being sent from your bank, for example: management@online-bank.com This is obviously done with the intention of leading you to believe that the e-mail is actually being sent by the bank.

Generally the e-mail will state any reason that will seem important enough to activate a link included in the text of the e-mail, which simulates the real bank’s link, such as https://secure.online-bank.com/login making you believe that you are getting into the bank’s website.

In the following example you will see how to create a replica (false website) of a real website:

1.- Go to any website that require a login and password to get in. In this case we’ll use Google.



2.- While you’re on the website click on it and open the file menu in you browser, choose save as



3.- In the window we place any name and type of document.




4.- As you have seen, having accomplished the previous steps the Phisher now has easily obtained an exact replica of a website which will supersede the original one. The next thing that the Phisher will do is modify and insert a programming code in the false website so when the user of this site submits the information it will be obtained by the Phisher and be used by him to his convenience.

What has been shown is considered by security experts a very basic form of Phishing, since there are techniques that are used to make the Phishing more efficient and taken to a higher technological level. Some of these techniques are:

-Pharming: Consists in attacking the DNS. This technique will be fully explained in an upcoming report.
-Infecting the browser with ActiveX controllers so when the end user gets into a real website an iframe will supplant the original one replacing the data input fields with ones used by the Phisher.

See the Video of how to make a phishing:
http://blip.tv/file/1107622

Every country has its own laws to sanction this type of crime, but what is important is that we as lawyers see how its done and how it works in order to pinpoint how this illegal criminal conduct fits into our laws.

Laws in Venezuela

In Venezuela there is a law that applies to computer crimes. In the 2nd article of this law sixteen (16) concepts have been defined which go from hardware and software, up to information technology.
In some of the articles of this law Phishing is clearly defined:

Articles 6 and 9: These articles point out unauthorized access to a computer system.

Article 7: This article describes system sabotage. If the Phishing is done with Pharming, this means that the DNS protocol is being modified (this causes that when a domain.com is typed out is goes to a specified server. We’ll see this later on).

Article 10: This article refers to contracting services from someone to construct the structure that will enable him to carry out a crime through Phishing. The person that hires is considered responsible of committing a technological crime.

Article 11: This article describes what is referred to as computer espionage. When a person gets into a computer system and accesses someone’s private information using a login and password, without due authorization, and just and because he is solely accessing that data illegally, it is considered that espionage is being committed.

Article 12: This article describes document falsification. Since Phishing is the falsification of a website, it clearly fits into this article.

Article 13: This article has to do with theft. It is understood that the final goal of Phishing is obtaining money, getting some type of service for free, etc.., which is consequently theft.

Article 14: This article talks about fraud. As we have seen all along, Phishing is electronic fraud and perfectly fits into this article.



PHISHING PARA JUECES Y ABOGADOS

Todo Abogado o Juez que se dedique a esta materia, debe tener conocimiento sobre la informática. No es que sea necesario estudiar formalmente Sistemas o alguna carrera relacionada, pero si estar en conocimiento sobre de redes y seguridad informática ya que de allí se derivan los delitos de tipo penal (hablando para aquellos países que distinguen el delito civil del delito penal http://es.wikipedia.org/wiki/Delito).

Casi todo lo que nos rodea, en nuestra vida cotidiana, se relaciona con Internet, que en sí, es la red de redes. Computadores, celulares y hasta algunos electrodomésticos, traen de fábrica algo que los vincula al Internet. Paralelamente a la evolución tecnológica de estas últimas décadas, los delincuentes de cuello blanco también se han visto en la necesidad de evolucionar y mantenerse actualizados, sea por que el tema les interesa y se dedican a ir de la mano con el avance de la tecnológica o piensan que el delito es rentable y subcontratan personas del Underground para llevar a cabo sus planes.

¿Qué es el Phishing? Phishing no es más que un fraude electrónico que consiste en la unión de 2 técnicas:

• Falsificación de un sitio web (web spoofing) y
• Falsificación de un correo electrónico (e-mail spoof).

Hay varias maneras de llegar a un portal que actúa como Phishing (o web spoof):

• Enlaces (links) de webs
• Recomendaciones de personas
• Correos electrónicos. El más común de todos.

Para comenzar, debemos entender que los sistemas informáticos se rigen por dos (2) procesos básicos:

• Front-end: Interactúa con el usuario y
• Back-end: Procesa las entradas desde el front-end.

En una web de Phishing podemos ver que el aspecto del website es idéntico al original: estructura, gráficos, etc. El delincuente de cuello blanco sabe que la mayoría de los usuarios se fijan en el aspecto gráfico pero no están pendientes o entienden los procesos que se llevan detrás. Aunque el sitio sea una copia idéntica a la original, ésta sin embargo tiene insertado códigos que tienen como función tomar los datos necesitados por los Phishers, que son las personas que se dedican a la actividad del Phishing, para llevar a cabo su objetivo. La finalidad y objetivo del Phisher consiste en tener acceso no autorizado a un sistema y después obtener su beneficio cometiendo fraude. Si la falsificación (Phishing) se trata de un sistema de banca-online, que es el más común en la red de redes, su meta final es la obtención de dinero mediante la transferencia de fondos. Para dejar claro el concepto: Phishing es comparable al hecho que alguien le copie la llave de su casa, entre en ella sin su autorización y finalmente lo robe.

La temática, entendiéndose por esto el diseño y aspecto de la página web que actúa como Phishing, va a depender de su creador, de los motivos del Phisher y de lo que pretende obtener. Los motivos más comunes suelen ser:

• Banca on-line: Si se trata de banca-online, el objetivo final es la transferencia de fondos (dinero)
• Correo electrónico: Si se trata de correo electrónico su objetivo es obtener acceso no autorizado a los sistemas de e-mail
• Sitio de servicio de pago: Si su tema, es algún servicio pago el objetivo es obtener el servicio gratis dicho servicio.

Ahora veamos cómo trabaja desde cero el Phisher y a tal efecto se describe el proceso del Phishing que en este caso llega por medio de un correo electrónico, comúnmente conocido como e-mail.

Generalmente, el usuario recibe un e-mail para llevarlo al portal falsificado hecho por un Phisher y el e-mail se parecerá a la de la entidad que intenta simular el Phisher. El siguiente ejemplo de un fraude de banca on-line amplia el concepto

•El banco, en este caso, se llama Banco-online.
•El Phisher hace un estudio de la dirección de correo electrónico que usa el banco para comunicarse con sus clientes, que en este caso es usted.
•El Phisher le envía un e-mail simulando que el remitente de la cuenta de correo es la del banco, por ejemplo: gerencia@banco-online.com. y logra engañarlo. Usted piensa y acepta que el e-mail realmente proviene de su entidad bancaria.
•El contenido del e-mail dirá cualquier motivo por el cual el supuesto banco está enviando ese e-mail y se adjuntará un hipervínculo (link), en el texto, que simulara el link de su banco, por ejemplo: https://secure.banco-online.com/login
•Usted, creyendo que este es el link autentico del banco hace click sobre él, iniciando la sesión, pero…al hacer click en el link, éste lo enviara a una página como: http://200.11.11.11/login con la finalidad de que crea que es el sitio web oficial y autentico de su banco o servicio. ¿Dónde entro?
Entro en la página falsificada creada por el Phisher y a partir de ese momento usted le va a suministrar todos los datos que necesita el Phisher para finalmente estafarlo. En el inicio de sesión usted le suministra el login (usuario) y el password (clave). En otras palabras, usted le da al Phisher la llave de entrada y acceso pleno a su cuenta bancaria.
•Resultado: Lo estafaron. El Phisher transfiere los fondos de su cuenta (su dinero) a otra cuenta como si usted mismo lo hubiera hecho.
Para hacer la réplica del sitio objetivo, o sea de una página web, basta solo con que haga la siguiente prueba:

• Ubique cualquier sitio que pida algún inicio de sesión, puede probar con un sistema de e-mail por ejemplo
• Estando en el website, en el explorador abra el menú archivo y seleccione guardar.

Efectué los siguientes pasos para ver lo simple que es hacer la replica de la página.

1.- Abra el website: www.gmail.com



2.- Haga click en la página y posteriormente seleccione guardar como…



3.- En la ventana colocamos cualquier nombre y tipo como que se muestra en el gráfico.



Ver video de como se hace un phishing:
http://blip.tv/file/1107622

Con estos tres (3) pasos el Phisher obtiene de forma sencilla la estructura grafica para hacer idéntico su sitio, al sitio que desea suplantar. Ahora solo tiene que modificar el código para que cuando un usuario coloque sus datos y presioné aceptar, los datos suministrados por éste le sean enviados y así podrá usarlos posteriormente.

Los expertos en seguridad le dirían que este es un Phishing básico, ya hay técnicas que lo pueden hacer más eficiente llevándolo a un nivel más sofisticado empleando:

• Técnicas de pharming (atacar los DNS, el pharming se describirá en el siguiente articulo).
• Infectar el Navegador del usuario con controladores ActiveX para que cuando entre a la web real sobre ponga un iframe en el lugar de los campos de inicio de sesión originales.

Cada país tiene su respectiva ley que sanciona este tipo de delito. Lo importante es que como abogados veamos como el delito se hace y como funciona, para poder entender este tipo de conducta criminal y en que parte de nuestro sistema legal encaja.

En Venezuela existe la Ley contra Delitos Informáticos, y en el artículo 2 de esta ley se identifican dieciséis (16) conceptos informáticos que abarcan desde hardware (el equipo físico), software (aplicaciones), tecnología de información y otros.

Podemos observar en varios artículos cómo encaja el Phishing.

Artículos 6 y 9: Señalan el acceso indebido de personas que sin tener la debida autorización obtengan acceso a un sistema. El objetivo principal del Phishing es la obtención del acceso SIN permiso de la otra persona.

El artículo 7: Se refiere al sabotaje de sistemas. Si el Phishing trabaja con técnicas de pharming esto significa que se está modificando el funcionamiento del protocolo DNS que es el responsable de hacer que cuando se escribe dominio.com se vaya a un servidor determinado en Internet (esto se explicará mas adelante).

El artículo 10: Se refiere a la prestación de servicio. Si el delincuente de cuello blanco contrata a otra persona para que le haga toda la infraestructura para hacer el Phishing, esa persona está cometiendo un delito informático.

El artículo 11: Se refiere al espionaje informático. El delincuente de cuello blanco, al tener acceso a los datos críticos de un usuario, que son esencialmente el nombre de usuario y la clave, tendrá acceso SIN restricciones para entrar al sistema verdadero del usuario y su vez acceso a toda la data o información del usuario. Este artículo establece que con el solo hecho de obtener indebidamente información de un usuario se está cometiendo el delito de espionaje informático.

El artículo 12: Se refiere a la falsificación de documentos. En esto no hay mucho que ahondar, siendo que el Phishing es precisamente la falsificación de un website y que claramente encaja en este articulo.

El artículo 13: Se refiere al hurto. Corresponde perfectamente con los objetivos finales de un Phishing que son la obtención de dinero, obtención gratuita de un servicio, etc.. Estos actos son sancionados en este artículo.

El artículo 14: Se refiere al fraude. Al igual que el artículo anterior todas las características principales de un Phishing (manipulación, inserción de instrucciones falsas, etc.) encajan perfectamente en este artículo.