Uno de los consejos que se han mencionado con frecuencia respecto al phishing (y otros ataques relacionados vía web) es la importancia de chequear en la barra de direcciones la presencia del protocolo HTTPS al acceder a sitios web en donde se ingrese información personal.

Aunque este consejo sigue siendo cierto, es muy frecuente que el mismo sea mal interpretado asumiendo que “siempre que un sitio posea HTPPS será seguro“.

Sin entrar en detalles, el protocolo HTTPS (Hypertext Transfer Protocol Secure) garantiza que la información que sea transmitida entre la computadora del usuario y el sitio web, será cifrada en su transmisión. Es decir, si se estuviera enviando una carta, lo que se garantiza es que la misma no podrá ser leída por nadie hasta que llegue a su receptor.

Sin embargo, lo información al llegar al servidor web deja de estar cifrada. Por lo tanto, si el servidor web pertenece a un atacante, este podrá visualizar la información. Por diversos motivos, lo más frecuente es que los servidores web maliciosos utilicen directamente el protocolo HTTP sin cifrado de información. Por eso el consejo de validar qué protocolo se está utilizando. Sin embargo, esto no significa que un atacante no pueda utilizar el protocolo HTTPS en su sitio web falso o malicioso, aunque esto no sea frecuente. En ese caso, siguiendo con la analogía, por más segura que viaje la carta, esta llegará a una persona malintencionada como destino.

Para legitimar esta idea, en la semana muchos se habrán encontrado con la noticia de que Internet Explorer soportará certificados gratuitos. Leyendo la noticia, la misma explica que ha sido agregada la aceptación de certificados de StartCom, una empresa que otorga certificados SSL de forma gratuita.

Teniendo en cuenta que uno de los principales motivos por el que los atacantes no adquirían certificados de seguridad era su costo y la necesidad de brindar información; esta posibilidad de adquirir certificados gratuitos es una oportunidad para los atacantes. Estos, podrán adquirir certificados solo con registrar un dominio y crear una cuenta de correo electrónico y así tener sus servidores maliciosos trabajando con el protocolo HTTPS. Por lo tanto, si al usuario le basta ver la bendita letra “S” para sentirse seguro, esto será de un gran favor para los atacantes.

Vale destacar que leyendo el post de StartCom donde anunciaron la noticia, se destaca que otros navegadores como Google Chrome o Firefox (ver imagen) ya aceptaban los certificados gratuitos de la compañía con anterioridad.

Vale mencionar que, aunque el dato recién mencionado es relevante respecto a la posibilidad de un atacante de instalar un servidor con protocolo HTTPS de forma legítima, ya existían anteriormente vectores de ataque para simular la existencia del protocolo seguro, como las tareas de investigación llevadas a cabo por Moxie Marlinspike (Null Prefix Attacks Against SSL Certificates).

Entonces, repasando:

* “Al acceder a un sitio que posea un formulario donde se ingresa información personal, debe verificarse que el mismo utilice el protocolo HTTPS”… VERDADERO
* “Un sitio donde se ingresa información confidencial que no posee HTTPS no es seguro”…VERDADERO
* “Utilizando el protocolo HTTPS, la información es cifrada”… VERDADERO
* “Siempre que un sitio posea HTTPS será seguro”… FALSO

Es decir que, aunque se debe verificar la existencia del protocolo seguro en los sitios web con información confidencial, esto es necesario pero no suficiente para saber con certeza que es un sitio web seguro.

FUENTE

Existe una familia de códigos maliciosos que ESET NOD32 detecta bajo el nombre de Win32/Qhost; y en los últimos días se ha estado propagando por correo electrónico una nueva variante, detectada bajo el nombre de Win32/Qhost.NHM.

Bajo la excusa de ser una tarjeta virtual, este troyano tipo banker que busca infectar los equipos de los usuarios más desprevenidos, ha sido diseñado para realizar ataques de phishing a entidades bancarias colombianas manipulando el archivo hosts de los sistemas víctimas.

A través de un enlace incrustado en el cuerpo del mensaje, intenta descargar un archivo ejecutable llamado Reyes.exe que, lejos de tener alguna relación con los famosos reyes magos y aunque parezca que muchos aún creen en ellos , se trata de un malware.

La familia Qhost es cada vez más amplia y el daño monetario que puede provocar en la cuenta bancaria de los usuarios, también puede ser alto. En consecuencia, debemos ser cautelosos al hacer clic en los enlaces que recibimos para no ser víctimas de esta amenaza y mantener nuestro ESET NOD32 actualizado para mantenernos seguros.

FUENTE

Tal y como mencionamos cuando describimos el robo de información a través de MSN y en el robo de direcciones de correo, existen personajes que facilitan este tipo de acciones a personas sin tantos conocimientos técnicos y ponen en manos de cualquier persona este tipo de herramientas (por cierto dinero, claro).

Este es el caso del sitio web mostrado a continuación, en donde nos ofrecen el servicio para obtener cualquier tipo de correo a un módico precio:

Si bien estos servicios son comunes, no quiere decir que los mismos sean legales y mucho menos éticos y es importante saber que las personas que los ofrecen suelen ser delincuentes que no dudarán en estafar a quien le ofrezca el dinero suficiente.

Por eso, no confíe en este tipo de servicios.

FUENTE

En las últimas horas nuestro Laboratorio ha recibido una gran cantidad de correos con invitaciones falsas a participar de la popular red social FaceBook.

Si se intenta aceptar estas invitaciones o ingresar a la cuenta personal, en realidad se ingresa a un sitio falso, copia del original y creado con el fin de robar las credenciales (usuario y clave) del usuario engañado:

Los dominios involucrados (ocultados en la imagen) corresponden a sitios .com que contienen letras y números tales como client[eliminado], civv[eliminado], [eliminado]goo6, dort[eliminado], [eliminado]zu390.com, ring[eliminado], etc.

Por supuesto se trata de un caso de Phishing para robar usuarios y contraseñas de servicios de comunidades virtuales. Si recibe este tipo de correo sólo ignórelo, ya que no descartamos que puedan comenzar a aparecer masivamente para cualquier servicio de este tipo.

FUENTE

Lo advertíamos ayer con el Phishing a Facebook que este tipo de ataques podían comenzar a ocurrir masivamente y hoy nuestras sospechas se ven confirmadas, ya que hemos encontrado casos de sitios falsos en la red Hi5.

Como en cualquier caso de phishing este sitio falso es idéntico al original y, como en el caso anterior, se trata de dominios formados por letras y números que buscan engañar al usuario.

Una cosa curiosa es que todos los dominios creados para este ataque contienen el mismo mensaje “Website Undeconstruction!” en el directorio raíz:

Volvemos a advertir que este ataque es masivo y que sin dudas tiene como objetivo a las redes sociales, por lo que se debe permanecer alerta a cualquier correo que se reciba con invitaciones a las mismas.

FUENTE

En las últimas semanas se han detectado mensajes de phishing, que buscan engañar a los usuarios para obtener sus contraseñas de Paypal.

PayPal es la empresa que brinda una aplicación basada en Web para el pago seguro por Internet, facilitando la compra o adquisición de productos en forma internacional.

Estos correos electrónicos tienen muchas variantes, una de las más activas en este mes puede verse en la siguiente imagen.

Para lograr engañar a la víctima, este phishing (estafa), agrega algunos elementos que son o parecen ser verdaderos. Entre los verdaderos se puede nombrar el logo de la empresa que es una simple imagen tomada de los servidores de Paypal.

El nombre que se muestra como remitente del correo es falso.

En la mayoría de los mensajes detectados por nuestro laboratorio el diseño que observamos es casi siempre el mismo.

La ingeniería social implementada, busca en principio que la víctima se preocupe cuando lee que su cuenta ha sido “suspendida”, y no preste atención a los detalles que puedan revelar la falsedad del correo.

La prisa por reactivar su cuenta, lleva a llenar el falso formulario, con lo cual sus datos caerán en manos de un delincuente informático.

Según parece en estos mensajes solamente hay un enlace al sitio web malicioso, nombrado como “Resolution Center”. Puede que en futuras “versiones” de esta estafa este hecho varíe para no mantener un patrón.

Se ha comprobado que las personas consideran cualquier dirección que contenga “paypal” y tenga la extensión “.com” como verdaderas, sin reparar en el resto de la misma. Esta es la razón por la que los registros similares al original tienen éxito.

Para evitar caer en estas estafas es un buen consejo no seguir los enlaces mostrados en los mensajes que lleguen sin ser solicitados, y desconfiar más si el remitente no es conocido.

FUENTE

En las últimas horas hemos estado recibiendo los acostumbrados correos que simulan provenir del servicio Paypal.

En este caso lo único destacable del correo es la URL a la que se hace mención en el mismo, ya que es una IP que se encuentra en formato hexadecimal en vez del típico formato decimal al que solemos estar acostumbrados:

Tal y como se describe en nuestro segundo curso Seguridad en las transacciones comerciales en línea de la Plataforma Educativa de ESET Latinoamérica, este método es utilizado desde hace tiempo para confundir al usuario. Por ejemplo, la dirección 63.233.187.99 es equivalente a 0×40.0xE9.0xBB.0×63 y ante la duda podríamos vernos tentados a hacer clic.

Por eso, ante la duda, no haga clic.

FUENTE

Una de las más famosas herramientas para construir sitios dedicados al phishing, se llama Rock Phish. La misma se destaca por la facilidad de crear sitios que tengan toda la apariencia de una página profesional. Pero ahora, la misma también es capaz de agregar malware a su arsenal.

Los creadores del Rock Phish, son uno de los grupos criminales más conocidos que operan fuera de Rusia, y según algunos informes, serían responsables de casi el 50% de los ataques de phishing.

También han sido pioneros en aplicar nuevos enfoques al phishing. Fueron los primeros en 2004, en emplear para sus ataques redes de máquinas zombis (botnets), con el fin de potenciar los mismos en tiempo e impacto. También fueron los primeros en usar nuevas técnicas de spam para eludir los filtros de correo.

En las últimas semanas, han introducido un nuevo “avance” en su herramienta. La inclusión de malware que ayuda en el robo de identidad de las víctimas de phishing. Esto ha sido reportado por AFCC (Anti-Fraud Command Center), el centro de comando de RSA, compañía especializada en la lucha contra el fraude informático.

El funcionamiento es el clásico. La víctima es engañada para que visite un sitio web que parece legítimo, o que tenga características que lo atraigan. Normalmente, este tipo de sitio espera que el usuario ingrese la información que luego será robada (por ejemplo un formulario que simule ser la entrada de datos de una institución bancaria).

Con las nuevas características, con solo visitar el sitio, el usuario puede ser infectado por un malware, y si ingresa o no información en el formulario, esto será irrelevante, ya que la víctima ya estará infectada. A partir de allí, cualquier otra clase de ataque será posible.

Para la infección, se utiliza alguna vulnerabilidad no corregida en el sistema operativo de la víctima (porque ésta no ha instalado los últimos parches, o no utiliza un Windows actualizado). También son explotados agujeros en el navegador y otros programas de uso común.

La técnica incluye nombres de dominio generados a partir de direcciones verdaderas, a fin de eludir protecciones como las listas negras de sitios peligrosos.

El troyano utilizado es un software que está a la venta. Pagar un precio de 700 dólares por él, es insignificante para las bandas de criminales que hoy día dominan el mundo del phishing, ya que sus ganancias superan con creces esa “inversión”.

En los últimos 6 meses, RSA ha identificado al menos 150 usos diferentes de este kit de herramientas, cada uno capaz de infectar 4000 computadoras por día.

Una característica de la herramienta, es que cada vez que se ejecuta genera un archivo binario diferente, haciéndole el trabajo muy difícil para cualquier software de detección que se base solo en detección por firmas.

El malware generado, puede realizar capturas de la pantalla de la víctima, tomar el control de la misma de forma remota, robar contraseñas y cualquier otra información ingresada mediante el teclado o el ratón.

Toda precaución es poca hoy día, para evitar caer en estas trampas. Lo más importante es desechar cualquier correo electrónico no solicitado, sin importar quien lo envía. Tenga en cuenta que no basta con no ingresar datos en sitios que le piden información con falsas excusas.

También es importante no hacer clic en los enlaces que esos correos muestran, además de mantener su antivirus, y todo su software con las últimas actualizaciones y parches al día.

FUENTE

Muchas personas piensan que el phishing es una metodología de engaño que siempre involucra a una entidad bancaria y, si bien esto no escapa de la realidad, también puede presentarse en páginas que no necesariamente se refieren a entidades financieras o bancarias.

Un ejemplo concreto es el siguiente, un caso de phishing pero a través de AdWords:

Se trata de un correo electrónico no deseado (común del phishing) sobre AdWords, el servicio publicitario de Google. En este caso, la mentira radica en que para activar la cuenta se debe acceder al enlace que figura en el cuerpo del mensaje. Al ingresar a dicha dirección aparece un formulario para completar con los datos de nuestra tarjeta de crédito, lo que claramente es un engaño:

Como ven, el phishing no solo puede o debe realizarse con entidades bancarias o financieras.

FUENTE

El crecimiento de malware o herramientas para realizar cualquier tipo de ataques-robos en la red están en crecimiento, este tipo de “armas” estaban solo disponible para individuos especializados, pero la comercialización y construcción de este tipo de herramientas ya están al alcance de cualquier persona, nos encontramos en la generación de creadores de fraudes para novatos.

Se imagina encontrar publicidad en internet donde ponga; “construya su propio phishing y gane dinero de forma rápida”, ¿le parece irreal? Pues no lo es, existen este tipo de anuncios donde se pueden obtener por muy poco dinero o totalmente gratuito creadores para generar nuestro kit de fraude, en el siguiente estudio mostramos algunas herramientas que se utilizan para realizar este tipo de ataques fraudulentos en la red, el análisis de estos creadores de fraudes están enfocados en phishing y pharming, aunque muchos usuarios piensan que esta modalidad es anticuada y solo pican “novatos” la triste realidad demuestra lo contrario, el crecimiento de phishing y de estafadas es cada día mayor, pero no solo en esta modalidad, existen casos de personas que trabajan en el sector de seguridad informática donde sus ordenadores estaban infectados con malware que realizan ataques de denegación a web asiáticas, incluso personal de entidades bancarias que fueron victimas de phishing, recuerden la ingeniería social hace que hasta el mas listo caiga en la trampa.

Una de las primeras web que encontramos nos ofrecen gratuitamente los kit montados para realizar nuestros ataques a distintas entidades financieras, donde solo debemos cambiar el correo electrónico donde van la claves de las victimas, esta web esta operativa con otro nombre de dominio de la famosa scam-2008.com

Lo único que tiene que hacer el delincuente es modificar los correos electrónicos del kit y subirlo al servidor trampa.

El siguiente servidor detectado nos ofrecen kit que afectan empresas españolas como Paypal Spain, Ebankinter, ING Direct, en el kit contiene el correo trampa que se envia a las victimas y algunos pack de listas de correos electrónicos para realizar el ataque fraudulento, también herramientas para extraer cuentas mails de webs, resumiendo un tres por uno

Ejemplo de listado de correos electrónicos incluidos en el kit:

La siguiente herramienta encontrada en esta investigación es un programa para generar nuestros phishing, existen dos versiones gratuitas, menos potentes y la de pago que te genera nuestra web trampa sin tener conocimientos en programación

Durante la investigación nos encontramos una aplicación que es una joya por su facilidad y por el resultado final de las web fraudulentas generadas, basta decir que con solo dos clic de ratón podemos obtener una web fraudulenta para robar claves de mas de 20 sites web famosas, pero además se puede actualizar con plugins (plantillas) de nuevos sitios, tuvimos la fortuna de obtener la versión 3 de este producto:

Por ultimo analizamos una herramienta muy peligrosa, un generador de pharming, su función es generar un fichero que modifica los ficheros host de la victima para suplantar el sistema de resolución de nombres de dominio (DNS) y de esta manera conducir al usuario a una web fraudulenta, como anécdota de este tipo de ataques recuerdo durante una conferencia de Seguridad Informática en el 2006 en el parador de León, donde me negaron hablar de este tipo de fraudes (la inseguridad de la seguridad es no hablar de un hecho existente), cuando en realidad es uno de los mas peligrosos que puede ver junto a los nuevos troyanos bancarios, el generador o kit es básico pero a su vez letal, con solo teclear la dirección donde queremos que nuestra victima visite cuando teclee su entidad bancaria basta:

Durante la investigación se encontraron muchos mas herramientas y kit, pero en este articulo solo fueron analizadas las mas revelantes, la siguiente imagen muestra que existen muchas mas en el mercado del malware:

La conclusión de esta investigación; cualquier persona puede disponer de estas herramientas y realizar un fraude, el éxito del mismo será la ingeniería social usada, recuerden todos podemos ser victimas, hasta los mas listos en seguridad.

FUENTE