phishing a la alza

La pesca de usuario ingenuos a la alza.

El número de sitios web de phishing aumentó un 10% en el primer trimestre de 2014 en comparación con el mismo período del año pasado y Estados Unidos ocupa el primer lugar entre los países que alberga más webs de phishing, según un informe publicado por el Anti-Phishing Working Group (APWG).

El informe señala que, en total, 125.215 sitios de phishing y 171.792 campañas de correo electrónico de phishing fueron comunicadas por los usuarios. Estados Unidos acaparó en torno al 40% de estos ataques en los tres primeros meses de 2014, debido a que la mayoría de los sitios web y nombres de dominio mundiales se alojan allí. Según la organización, “el primer trimestre de 2014 registró el segundo mayor número de ataques de phishing se haya registrado en un primer trimestre por el APWG”.

Del informe se extrae asimismo que el número de marcas atacadas por los hackers también fue ligeramente superior al del año anterior, pasando de 525 a 557. Por otra parte, cerca de la mitad de los ataques de phishing tenían como objetivo la industria de servicios de pago, mientras que la industria financiera ocupó el segundo lugar, con un 20%.

“En vista de que los niveles de phishing del primer trimestre son generalmente más bajos que los que se producen más adelante, esperamos que este sea un año muy activo para los phishers en todo el mundo”, apunta Frederick Felman, director de marketing de MarkMonitor.

vía computerworld

Anuncios

PHISHING MEXICANOS

Amenaza dirigida a mexicanos…. y no, no es Robben.

La empresa de seguridad ESET informó este martes de una nueva amenaza online dirigida a usuarios mexicanos, que involucra un correo electrónico falso o phishing con un recibo descargable de una supuesta transferencia interbancaria.

 

Si las víctimas cuentan con la suite Office de Microsoft instalada en su equipo y la opción de macros habilitada, al momento de abrir el archivo éste infecta su sistema con una variante del gusano Dorkbot, que da a los ciberatacantes control del equipo. Si las macros no están habilitadas, el malware incluso provee un instructivo sobre cómo activarlas para ver el supuesto depósito a su cuenta de ahorro.

Tras invadir los equipos, los cibercriminales tienen acceso a la información de las páginas web que los usuarios visitan, así como a sus contraseñas en redes sociales y servicios de correo electrónico.

De acuerdo con el informe de ESET, el ataque dirigido fue diseñado específicamente para México, ya que los hackers utilizan la imagen de una entidad financiera nacional para engañar a usuarios y robar la información.

Para evitar caer en engaños, se recomienda a los usuarios no descargar archivos de dudosa procedencia, contar con una solución de seguridad en sus equipos de cómputo y comunicarse con su banco antes de abrir correos similares.

VÍA AM

 

Fallas en la doble autenticación de paypal

Existe una vulnerabilidad en la forma en como PayPal maneja algunas peticiones de clientes móviles. Esto permite a los atacantes evitar el mecanismo de autenticación doble y transferir dinero de alguna víctima a la cuenta que el atacante quiera.

La falla radica en la forma en la que fluye el proceso de autenticación en los dispositivos móviles iOS y Android, el error se encuentra del lado del servidor. Investigadores de Duo Security desarrollaron una aplicación móvil como prueba de concepto que puede explotar la vulnerabilidad. Se advirtió a PayPal del problema desde marzo y han estado trabajando en corregirlo. Sin embargo, no se planea liberar un parche completo sino hasta julio.

Zach Lanier, investigador en seguridad de DuoSecurity, escribió su explicación sobre la vulnerabilidad y sus efectos:

“El Atacante sólo necesita el usuario y contraseña de la víctima para acceder a una cuenta que está protegida por seguridad de dos factores y enviar dinero. La protección ofrecida por el mecanismo de seguridad de dos factores puede ser evadido y esencialmente anulado”.

“Mientras la app móvil de PayPal aun no soporta la autenticación doble, es posible engañar a la aplicación para que ignore la bandera de autenticación doble de la cuenta, permitiendo al atacante ingresar a la cuenta sin la segunda autenticación”.

PayPal brinda a sus usuarios la opción de usar autenticación doble de distintas maneras. En esta autenticación se generan contraseñas de un sólo uso durante la sesión. Este sistema puede ser utilizado en el soporte web de PayPal pero no en la aplicación móvil.

La vulnerabilidad puede ser explotada al crear una aplicación que engaña a la API de PayPal, ésta cree que la aplicación móvil se está conectando a una cuenta con autenticación simple, ignorando por completo la autenticación doble.

La aplicación que se creó se comunica con dos API distintas de PayPal. La primera se encarga de la autenticación y la segunda se encarga de la transferencia del dinero. Mientras se investigaba la vulnerabilidad, los investigadores de Duo notaron que cuando los servidores de PayPal responden a una petición POST desde la aplicación móvil, utilizando la autenticación doble, se desplegaba un mensaje de error y se enviaba al usuario a la pantalla de login. Pero cuando la respuesta del servidor era modificada colocando el campo de autenticación doble en la aplicación, se le permitía al usuario entrar.

vía threatpost

AGUAS CON EL MUNDIAL, NO TE VAYAN A METER GOL

Aguas con las estafas.

La Secretaría de Seguridad Pública del Distrito Federal (SSPDF), a través de la Policía de Ciberdelincuencia Preventiva (PCP), alertó a la población sobre varios fraudes cibernéticos que se están cometiendo a costa del Mundial Brasil 2014.

Gracias al monitoreo de la red pública, la PCP detectó que varios portales de Internet que ofrecen acceso gratuito a los partidos del torneo están implantando virus o solicitando datos personales para cometer fraudes.

Los portales detectados ofrecen promociones y sorteos relacionados con la Copa Mundial, al ingresar al sitio engañan a los usuarios para que revelen información personal o financiera mediante un mensaje de correo electrónico fraudulento. Normalmente en este tipo de estafas, los delincuentes cibernéticos envían un comunicado oficial de una fuente de confianza, como un banco, una tienda departamental o un comerciante en línea reconocido.

Como medidas de prevención, la PCP recomendó a los cibernautas:

  • No proporcionar datos personales a sitios poco confiables
  • Tener actualizado el antivirus y con protección de publicidad en Internet
  • No abrir correos de emisores desconocidos
  • Para los usuarios de dispositivos móviles recomiendan descargar las aplicaciones desde fuentes seguras

La dependencia no detalló el nombre de los sitios fraudulentos.

vía etcetera

México blanco de ataques

En los próximos años México atraerá más ataques cibernéticos debido a la llegada de centros de datos de grandes firmas tecnológicas y a su crecimiento económico, dijo Derek Manky, estratega global de Seguridad de la compañía de seguridad informática Fortinet.

“El arribo de centros de datos de grandes firmas tecnológicas y crecimiento económico podrían acelerar la ocurrencia de delitos informáticos. Petróleos Mexicanos, por ejemplo, están conectados a las redes comunes, lo cual las deja en situación de vulnerabilidad ante los ataques”, explicó el experto, según recoge el diario Excelsior.

Los hackers continuarán atacando con phishing y ransomware, un código que secuestra los programas de la computadora y los libera hasta que la víctima paga un “rescate”, pero también se prevén más intrusiones a sistemas de manejo remoto que controlan la infraestructura crítica, como SCADA, dijo Derek Manky, estratega global de Seguridad de la compañía de seguridad informática Fortinet.

Vulnerabilidades que deben ser eliminadas

“En Scada hay muchos hoyos de seguridad que se pueden explotar y afectar e impactar la infraestructura de un país, ya sea en gas, electricidad o agua”, agregó el experto, al sugerir que estas vulnerabilidades deben ser eliminadas tanto por el sector público como por el privado.

Quienes manejan SCADA y sistemas de control industrial “piensan que no tienen ningún problema, pero incluso si están protegidos con redes privadas virtuales que estén encriptadas, los hackers están volteando a ver a las interfaces humanas (HMI, por sus siglas en inglés) y a los portales web”, dijo Manky.

Vía eleconomistaamerica

Venden tarjetas clonadas en línea

Los usuarios de la banca en México están siendo víctimas de la venta en internet de los datos de sus tarjetas de crédito y débito clonadas, donde los ciberdelincuentes ofrecen su capacidad de vulnerar la seguridad de los plásticos.

Pese a que no hay una cifra exacta de cuánto representa este delito, cada año los mexicanos pierden 2.2 mil millones de dólares por cibercrímenes de todo tipo, mientras 77 por ciento del spam enviado tiene como objetivo al sector financiero, asegura Symantec, firma de seguridad informática

En el mundo, el cibercrimen desvía como mínimo 300 mil millones de dólares por año gracias a “nuevos esquemas de los cibercriminales, en operaciones bancarias en el mercado negro, donde ya se encuentran disponibles a la venta tarjetas en línea. Los criminales compran el número de tarjeta, el crédito disponible y el número de seguridad de los plásticos”, dijo a Excélsior Juan Carlos Vázquez, consultor de la firma de seguridad informática McAfee.

Clonadas y en la web

Aunque este tipo de mercado prolifera en países con una larga tradición de hackers y donde la regulación bancaria no es clara, como Rusia y algunos de Europa del este, en México ya empiezan a encontrarse páginas que ofrecen tarjetas de crédito clonadas de bancos como Santander y Bancomer.

“No te dejes engañar nosotros somos los únicos vendedores reales y hacemos entregas personales (sólo en compra de Tarjetas- México DF)”, se muestra en una de las páginas web mostrada por McAfee. Ahí mismo se encuentra la lista de costos de tarjetas de Bancomer y de Santander, que van desde los cinco mil pesos hasta los 15 mil pesos, dependiendo del crédito asignado.

También se indica que las tarjetas son clonadas directamente de cajeros, el pago se hace vía Western Unión o en efectivo en entregas personales, según el sitio.

Datos robados

El robo de datos ocurre por medio de malware, phishing o robo de identidad. Pero también sucede al sustraer las contraseñas y los datos de usuarios de banca en línea.

De acuerdo a McAfee, algunos bancos de Europa tienen un sistema de doble autentificación en el que se envía a los usuarios un SMS con un código, el cual es interceptado por los ciberdelincuentes, quienes obtienen acceso completo a las operaciones y datos bancarios.

Otro de los sitios mostrados por la firma indica una tabla de precios de medios de pago internacionales, como Visa y MasterCard; el monto se basa en si se otorga o no el número de identificación personal (NIP), si se vende éste y la promesa de un “buen balance” así como de la región.

Una Visa Classic comprada en Estados Unidos y sin NIP cuesta 15 dólares; una Visa Gold/Premier con NIP y un “buen balance” en la Unión Europea cuesta 250 dólares.

“Los atacantes son capaces de lograr capturar tus datos de cuenta bancaria y poner esa información a la venta dependiendo del saldo”, explicó Vázquez. Agregó que el costo de robo de identidad de una persona oscila en 572 dólares, mientras un ataque de phishing a mil 400 sitios web equivale a 178 millones de dólares.

Soluciones antifraude

Los usuarios deben ser cuidadosos al utilizar su tarjeta, tanto en banca en línea como en los cajeros y terminales; sin embargo, para Vázquez ya no basta con la protección común y los bancos ya tienen mecanismos contra esta nueva tendencia de robo, que los ayudan a detectar cuando un plástico ha sido vulnerado.

Tanto Multiva, como Santander y Banamex tienen sistemas que detectan patrones de uso fuera de lo normal en los usuarios. “Cuando un cliente no usa generalmente la banca electrónica y de pronto hace transacciones ahí, nos aseguramos de que sea él y no una suplantación de su identidad”, dijo a Excélsior el subdirector de Seguridad Informática del banco Multiva, Juan López.

Vía nssoaxaca

Los trabajadores pueden ser más peligrosos que los hackers

El Departamento de Seguridad Nacional estadounidense (DHS) va a lanzar una lista con los 25 errores de programación más importantes que permiten que se lleven a cabo los ataques hackers más comunes y peligrosos. El objetivo es dar información a las compañías y las organizaciones sobre los canales que utilizan los hackers para conseguir acceso a información confidencial y servidores. Sin embargo, los trabajadores también pueden suponer un problema.Los errores de software que aparecerán en la lista del DHS son muy comunes y pueden dar lugar a los llamados exploits ‘zero day’ (día cero).

El primer elemento en esta lista es un error de programación que puede hacer que un servidor sea vulnerable a ataques de inyección SQL como los utilizados por organizaciones como LulzSec y Anonymous para acceder a información supuestamente segura.

La lista ha sido creada por el DHS en colaboración con SANS Institute y Mitre, según informa el New York Times, e incluirá información personalizada para diferentes tipos de empresas, como, por ejemplo, las dedicadas a la banca online o al e-commerce. Además, advertirá de cuáles son los errores más comunes en este tipo de negocios.

Sin embargo, en muchas ocasiones la principal amenaza para el Gobierno y las grandes compañías no son estos ‘piratas’ y sus sofisticados métodos de hacking que se aprovechan de vulnerabilidades, sino los propios trabajadores.

Según un artículo publicado por Bloomberg, con bastante frecuencia son los empleados quienes ponen en peligro información confidencial. Aunque esta acusación puede parecer exagerada, el artículo da algunos ejemplos bastante concluyentes.

Así, por ejemplo, se recuerda que la mayor filtración a WikiLeaks se produjo porque un trabajador descargó la información en un CD o que el reciente caso que afectó a la empresa de seguridad RSA pudo ocurrir porque un empleado abrió un archivo malicioso de un correo marcado como no seguro.

Por si fuera poco, un simple error también podría tener consecuencias negativas. El Departamento de Seguridad Nacional realizó un experimento en el que dejaba CDs y memorias USB en aparcamientos de edificios oficiales para observar si eran recogidos y después utilizados. El DHS descubrió que se accedió a un 60% de los dispositivos que se recogieron. Sin embargo, si tenían un logotipo oficial el porcentaje aumenta hasta el 90%. Es decir, la curiosidad también afecta a trabajadores que, supuestamente, conocen los riesgos de seguridad que conllevan sus acciones.

En este sentido, Bloomberg recuerda que los ataques sociales están creciendo y, además, se vuelven más sofisticados. De hecho, según datos de Symantec, los intentos de phising aumentaron un 6,7% entre junio de 2010 y mayo de este año. Además, los ataques cada vez se dirigen a objetivos más concretos, como ejecutivos, que se creen más protegidos que sus empleados y en cuyos ordenadores hay información más importante. Y, una vez que se accede a un enlace malicioso, es probable que se explote uno de los 25 errores recogidos por el New York Times.

Vía Ticbeat