Embed Size (px)
DESCRIPTION
phishing
Citation preview
PHISHING
GRUP WE ARE ALL 4
XAVIER SANCHEZTONI MARTINBALDIRI GIRONELLA
US I APLICACIÓ DE LES TIC
FEBRER-JUNY 2009
1.- DEFINICIÓ PHISHING
3. JURISPRUDÈNCIA PHISHING
2.- LEGISLACIÓ PHISHING
4. ANÀLISI PHISHING
El grup We are all 4 va escollir el delicte a la xarxa conegut com “Phishing” per la seva importància i repercussió al món.
Aquest treball vol ser una aproximació al fenomen del “Phishing” en el marc del canviant món de la tecnologia digital.
Internet presenta diverses característiques que fan que sigui un mitjà idoni per a la comissió de delictes com són:
• Transnacionalitat. Internet és una xarxa global.• Manca d’identificació personal. És a dir, anonimat a la
xarxa.• Multiplicitat d’eines per a la comissió del delicte.• Nivell de seguretat baix tant a nivell d’usuaris com
d’empreses.
INTRODUCCIÓ
1.- DEFINICIÓ PHISHING
Delicte informàtic . És un acte il·legal realitzat amb l’ús d’eines d’informàtica.
El Phishing és una tècnica de captació i apropiació de dades personals mitjançant l’enviament massiu de missatges amb l’objectiu d’obtenir un benefici econòmic.
Atac d’enginyeria social.
1.1. PHISHING: DELICTE MÉS FREQÜENT A INTERNET
1.- Estadística de l’evolució del nombre d’atacs 2.- Estadística dels codis malignes
3.- Mapa de distribució dels atacs
1.2. RECOMANACIÓ ANTIPHISHING
Sospitar dels correus electrònics amb sol.licituds urgents d’informació personal com paswords, claus d’accés o números de pin.
No utilitzar els enllaços inclosos en els correus electrònics que porten “aparentment” a entitats.
Comprovar que la pàgina web utilitza protocols de seguretat que impedeixen la captació de dades per part de tercers no autoritzats.
Es pot comprovar el certificat clicant sobre el cadenat.
Tenir el navegador web actualitzat i amb els pedaços de seguretat actualitzats.
1.3. PHISHING I ENLLAÇOS VIDEOS EXPLICATIUS “YOUTUBE”.
2.1. LEGISLACIÓ SOBRE PHISHING A NIVELL MUNDIAL
A) LEGISLACIÓ ONU:
La Resolució 55/63 de l’ONU l’any 2000. Creada per a combatre l’ús fraudulent de les tecnologies de la informació.
B) PAÏSOS AMB LEGISLACIÓ MÉS RECENT: Estats Units: l’Anti-Phishing Act 2005 (Acta Anti-Phishing 2005), Els
criminals que crearen pàgines falses amb intencions fraudulentes rebran multa fins 250.000 USD i penes de presó fins a 5 anys.
Itàlia : Decret Legislatiu núm. 196 de Garantia sobre Proteccions de Dades (4.
Holanda : Llei de Delictes Informàtics, l’any 1993, condemna entre altres, els delictes relacionats amb el Phishing
Gran Bretanya: L’any 1991, Llei d’Abusos Informàtics qui alteri dades informàtiques pot ser penat fins a 5 anys de presó i multes.
El creixement d’Internet i la facilitat que tenen els usuaris de poder accedir a la informació de tot tipus i fer amb aquesta el que volen, ha obligat als Estats a regular el ciberespaci per a evitar de caure en mans de la ciberdelinqüència.
2.2. LEGISLACIÓ A NIVELL EUROPEU
CONSELL EUROPEU:• Conveni sobre ciberdelinqüència de Budapest (2001). Coordina les
polítiques dels estats per a lluitar contra el cibercrimen a escala internacional. https://www.gdt.guardiacivil.es/media/Convenio_Ciberdelincuencia.pdf
UNIÓ EUROPEA:
• Directiva 95/46/CE: Sobre protecció de persones físiques de les dades personals i la lliure circulació de dades.
• Directiva 98/27/CE: Sobre accions de cessacions en matèria de protecció dels interessos dels consumidors.
• Directiva 199/93/CE Sobre signatura electrònica.
• Directiva 2000/31/CE Referent al comerç electrònic i als serveis de la Societat Digital del coneixement.
• Decisió marc Lluita contra el frau i la falsificació de mitjans de pagament diferents a l’efectiu de data 28 de Maig de 2001.
• Directiva 2002/58/CE Sobre el Processament de dades personals i la protecció de l’àmbit privat en el sector de comunicacions.
2.3. LEGISLACIÓ ESPANYOLA (I)
Constitució Espanyola : • Art. 18.4 Límit a l’ús de la informàtica per al tractament de
dades personals. Lleis Orgàniques:
• Llei Orgànica 10/1995 de 23 de novembre, desenvolupa el Codi Penal. http://www.boe.es/aeboe/consultas/bases_datos/doc.php?coleccion=iberlex&id=2003/21538
• Real Decret Legislatiu 14/1999 sobre signatura electrònica.• Llei Orgànica 15/1999 de 13 de Desembre de protecció de
dades.• http://boe.es/boe/dias/1999-12-14/pdfs/A43088-43099.pdf• Llei Orgànica 34/2002 de 11 de Juliol, de serveis de la
Societat de la Informació i Comerç Electrònic (LSSICE).
• Llei Orgànica 15/2003, de 25 de Novembre, que modifica parcialment la Llei Orgànica 10/1995, del Codi Penal.
• Real Decret 1720/2007 de 21 de Desembre on s’aprova el reglament
desenvolupant la Llei orgànica 15/1999.
Codi Penal Espanyol:
• Article 248.1: Frau basat en tècniques d’enginyeria social.
• Article 248.2: Frau i manipulació informàtica no consentits.
• Article 249: Penes de presó que poden ser de 6 mesos a 3 anys si la quantia del frau és superior a 400 Euros.
• Article 278.1: Delinqüent que s’apodera a través de l’engany de secret d’empresa, informació de dades bancàries, etc... sabent que la seva acció fraudulenta és totalment il·legal.
• Articles 390 a 399 . Delictes de frau documental.
2.3. LEGISLACIÓ ESPANYOLA (II)
2.4. ANÀLISI DE LA LEGISLACIÓ ANTIPHISHING
Els països haurien de lluitar conjuntament:
• En crear una legislació transnacional, unificant criteris i globalitzant la legislació Anti-Phishing per evitar protegir al ciberdelinqüent.
• Actuant amb transparència a nivell internacional sobre les investigacions Anti-phishing.
L’usuari d’internet desitjaria :
• Seguretat a la xarxa.• Legislació que respecti els seus drets fonamentals : Dret a la
Privacitat i a la intimitat.
Els legisladors haurien de crear lleis a nivell transnacional que:
• Condemnin durament la ciberdelinqüència• Respectin els drets fonamentals ( privacitat i intimitat) dels
ciutadans.
La legislació Europea sobre delictes informàtics està limitada a convenis signats entre els estats membres.
Així, doncs, tant la jurisprudència com la legislació, queda a disposició de la normativa jurídica interna de cada estat.
3.1. JURISPRUDÈNCIA EUROPEA
“Phishing”. Malgrat la seva curta vida, s’està produint un nombre important de sentències.
Aquestes sentències, condemnatòries i absolutòries, arriben fins els més alts òrgans judicials.
El Codi Penal de 1995 no recollia el delicte informàtic.La jurisprudència ha permès incloure en la tipicitat d’estafa el
delicte de Phishing.El Tribunal Suprem configura definitivament el Phishing com un
delicte d’estafa a l'empara de l’article 248.2 CP. Igualment, se està establint una línia jurisprudencial en
referència a la responsabilitat que tenen les entitats bancàries envers el delicte del Phishing.
3.2. JURISPRUDÈNCIA ESTATAL
4. ANÀLISI i REFLEXIONS PHISHING
L’èxit dels delinqüents informàtics que duen a terme el Phishing rau en el fet de la important llacuna jurídica existent a l’hora de legislar i castigar unívocament aquest delicte. A més a més, sovint es comet el delicte fora de la jurisdicció nacional. En un món global, esdevé obligatori la col·laboració internacional en la lluita contra el Phishing. Atès això, se’ns presenten molts interrogants:
Es requereixen més mètodes addicionals de protecció a nivell tecnològic i legislatiu per a combatre el Phishing?
Per què la jurisprudència espanyola no té una doctrina clara respecte a la tipificació legal del delicte del Phishing?
On acaba la responsabilitat de les entitats financeres en els casos de Phishing ?
? ?
?
