Realizan cargos fraudulentos a miles de norteamericanos en su cuenta de Itunes a través de la famosa plataforma de pagos Paypal. Uno de estos desafortunados usuarios descubrió hasta cincuenta cargos de Paypal de 99,99 dólares cada uno y por fortuna, llegó a tiempo para revertir el pago.
No todos corrieron con la misma suerte, muchos clientes acumulan gastos por más de USD$1,000 principalmente de aplicaciones, software, música y vídeos, todo vía PayPal.
Son varios los usuarios los que han informado a Paypal del fraude y desde la pasarela de pago les han informado que son múltiples los casos, al parecer debidos a un problema de seguridad en iTunes. Un paseo por Facebook y Twitter nos dan una idea del calibre del fraude, del que por el momento, no ha habido una declaración oficial por parte de Apple o Paypal.
Mucho cuidado a aquellos usuarios que tienen cuenta de Itunes para realizar pagos con Paypal y como consejo para los clientes de iTunes Store, cambiar su contraseña constantemente, no hay que confiarse para nada.
Suplantación de identidad de entidades financieras.
Aquí otra página que suplanta la identidad de una entidad financiera, en este caso BBVA. Desde www.phishtank.com nos avisan de ésta web que suplanta la identidad de BBVA.
La forma más común de terminar llegando a páginas fraudulentas similares a la que mostramos en este artículo es desde enlaces de correos Spam.
Recuerde que nunca debe acceder a su banco desde enlaces de correos Spam u otra índole, no acceda ni desde buscadores web ni desde enlaces que aparenten ser los de su entidad financiera.
Escriba directamente la dirección de su banco en su navegador, verifique que la página donde ud. introduce sus claves de usuario y contraseña comienza por "https" ello proporcionará el cifrado de intercambio de datos entre ud. y su banco pero recuerde que ello no garantiza que se encuentre en la web legítima de su entidad financiera, el cifrado solo garantiza la privacidad en el intercambio de datos. Cualquiera podría registrar un web muy similar a su entidad financiera y proporcionarle una conexión "https"
Aprenda la web de su banco y escríbala directamente en su navegador. En esta ocasión se muestra una captura del dominio que suplanta la identidad financiera BBVA, a fecha de hoy la web estaba operativa, todo parece indicar que el servidor que hospeda el dominio ha sido atacado, el hacker suele atacar sitios vulnerables para acceder a su servidor y subirle la web phishing, en la mayoría de los casos el dueño del dominio desconoce el ataque y la presencia de páginas como la que aquí mostramos.
16/08/10 EL PODER DE LAS BOTNETS
El caso Matthew Bandy o mejor dicho....¿cómo puede afectar a un usuario que su PC sea parte de una botnet (lo que se denomina un “zombi”)?
Matthew Bandy es un jóven estadounidense, residente en Arizona. En el año 2004, Matt tenía 16 años. El 16 de diciembre de ese año, una mañana normal y corriente, mientras Matt se disponía ir a la escuela, la policía golpeó la puerta de su casa, con una orden de registro.
Entre las respuestas (más técnicas) a los síntomas de un PC secuestrado podremos enumerar el riesgo al robo de información, la utilización de recursos del equipo (procesador, memoria) y por ende, la ralentización del sistema, la disminución de velocidad de Internet, etc. De todas formas, es posible que un usuario se vea afectado más profundamente por una infección de botnet, y para ejemplificar ello les contaré el caso de Matt.
Según las autoridades una imagen con pornografía infantil había sido subida a grupos de Yahoo, desde la dirección IP que identificaba el ordenador de los Bandy. Yahoo había reportado el caso al National Center for Missing and Exploited Children (en español, Centro Nacional para niños perdidos y explotados), quién transmitió a la policía para que actúen al respecto.
A pesar de que Matt admitió haber visitado sitios para adultos, él mismo rechazó cualquier posibilidad de haber utilizado imágenes comprometedoras. El ordenador de Matt fue confiscado como evidencia y llevado por la policía para su análisis. Los reportes preliminares confirmaron que el equipo poseía un número importante de imágenes de pornografía infantil, y registros de que dichas imágenes habían sido subidas a Internet.
En Noviembre del 2005, Matt fue enjuiciado acusado de felonías clase 2 (un cargo de solo un nivel por debajo del homicidio), corriendo el riesgo de una pena de prisión de hasta 10 años por cada imagen que fue encontrada en el equipo. Durante el proceso fueron ignorados los resultados de un análisis forense al sistema que indicaban, entre otras cosas:
-Fueron encontrados más de 200 malware en el disco duro
-El software antivirus estaba deshabilitado
-No había firewall en el equipo
En Diciembre de 2006, Matt fue sentenciado a 18 meses de libertad condicional, sin poder estar en ningún sitio donde haya menores (una plaza, el cine, la propia calle).
Algunas de las consecuencias que sufrió Matt durante más de un año fueron miedo a salir de su casa (en caso de romper las condiciones de su condena) y los desastres económicos sufridos por su familia (invirtieron más de 200 mil dólares en la protección de su hijo).
Para quienes aún no hayan comprendido de qué se trataba: la computadora de Matt era una zombi, es decir, había sido infectada por un malware, y era parte de una botnet. El acusado siempre fue inocente los atacantes eran quienes utilizaron las imágenes controlando remotamente el PC del jóven.
En palabras de Matt, mientras contaba su caso a la televisión estadounidense: “Aún siendo probablemente muy tarde para ayudarme a mí, creo que otras personas pueden ser víctimas como yo, gente que puede no tener soportes para luchar contra el sistema. Puede haber gente inocente en prisión, porque no pueden pagar una defensa apropiada. Yo quiero que eso cambie“.
Este lamentable caso nos muestra la gravedad de la amenaza de las botnets, y los perjuicios que pueden ocurrir a un usuario infectado, combinado con la ignorancia tecnológica que puede observarse en la justicia de turno.
09/07/10 LEY DE PROTECCION DE DATOS
Hasta 3.000 euros de multa por olvidar poner los e-mails en copia oculta.
Numerosas empresas españolas ya han tenido que enfrentarse a una multa de entre 600 y 3.000 euros (aunque legalmente podría llegar a los 60.000 euros) por revelar datos privados de sus clientes o de personas que les habían facilitado su e-mail con fines informativos.
Un despiste tan clásico y aparentemente inocente como olvidarse de poner en copia oculta las direcciones de correo electrónico puede acabar resultando mucho más costoso de lo esperado. Numerosas empresas españolas ya han tenido que enfrentarse a una multa de entre 600 y 3.000 euros (aunque legalmente podría llegar a los 60.000 euros) por revelar datos privados de sus clientes o de personas que les habían facilitado su e-mail con fines informativos.
Introduciendo los correos electrónicos en el campo de copia oculta (CCO en español y BCC si se utiliza un programa en inglés) se evita que los destinatarios sepan a quien se ha enviado el mensaje, mientras que las direcciones incluidas en los campos para y CC son visibles para todas las personas que reciban el e-mail. (En la imagen se muestran ambos campos).
La AEPD asegura que hasta el momento no se ha sancionado a personas particulares por olvidarse de poner en copia oculta el e-mail de los destinatarios, sino que en todos los casos se trataba de correspondencias de empresa.
En su Guía de recomendaciones de uso de Internet, la agencia recuerda que "la inclusión de datos en directorios de personas accesibles al público en Internet, sin las adecuadas medidas de seguridad, supone exponer a los usuarios a que sus datos puedan ser recopilados sin su conocimiento y utilizados para otros fines", pueden consultarla en el siguiente enlace: Guía de recomendaciones de uso de Internet, Aquí
Un ejemplo más de un correo trampa con su correspondiente troyano adjunto al mismo. Con asunto: UPS #8284136039 trata de tentar la curiosidad de aquellos internautas que sin pensar abren adjuntos a mensajes no esperados, más conocidos como Spam.
Aquí los datos del troyano, comprimido en un zip:
File size: 46943 bytes
MD5 : 754043406235a900415ba68c063e22b4
SHA1 : e49be794b5cee27b6badd248c2b90eee5d6effc8
SHA256: 9c2b11d38cfbfd7e6ee5c1fe47efc70d42889c10738ecef15aa47a0314709c8a
Análisis del archivo UPS_INVOICE_06.2010.zip recibido el 2010.07.01 19:01:26 (UTC)
Estado actual: análisis terminado
Resultado: 16/41 (39.02%)
OLEADA DE CORREOS FRAUDULENTOS SIMULAN PROVENIR DEL BANCO DE ESPAÑA
Detectada una oleda de correos Spam muy peligrosa, en este caso los delincuentes tratan de suplantar la identidad del Banco de España con la excusa de una supuesta transferencia a nuestro favor.
Recomendamos no visitar las páginas a donde apuntan los enlaces de los correos no deseados, en el caso que nos ocupa las páginas-trampa contienen malware listo para infectar tan solo con visitarlas, debemos tener presente que un 85 % de los mails que circulan por internet son maliciosos, y que equivalen a mas de 100.000 millones de mails diarios.
En las siguientes imágenes se muestran 2 correos detectados en las últimas 24 horas:
En realidad redirige a otra página desde donde, aprovechando la imagen oficial del Banco de España, incita a la descarga de una archivo llamado "declaración.exe".
Pueden ver una captura de pantalla en:
http://www.hispasec.com/images/unaaldia/bde.png
El troyano puede cambiar en cualquier momento, pero en el momento de su análisis (hacia las 8:00 CEST del 15 de junio) era solo detectado por dos antivirus (de los 41 de Virustotal.com):
Panda Suspicious file
Sophos Mal/Zbot-U
Mientras que en horas posteriores, se unieron:
Kaspersky Trojan-Spy.Win32.Zbot.akgz
DrWeb Trojan.Packed.20343
eSafe Win32.Corrupt.Ep
Cabe recordar que los resultados obtenidos al enviar una muestra a Virustotal.com son analizados de forma estática, por tanto pueden diferir de los que un usuario obtendría con el antivirus instalado en su sistema.
El troyano analizado (insistimos en que puede ser modificado en cualquier momento) pertenece a la familia Zbot. Esto quiere decir que el infectado pasa a formar parte de una botnet de tipo "DIY" ("hágalo usted mismo"). Zbot es una infraestructura para crear troyanos que une a los infectados en una botnet que se gestiona fácilmente a través de un panel de control web. El programa se vende en el mercado negro. Es una de las familias que más troyanos y variantes está generando en los últimos años. Se tienen constancia de redes botnet de este tipo desde octubre de 2007, manejadas tanto por el crimen informático organizado, como por atacantes ocasionales con un perfil mucho más bajo que infectan solo a algunas decenas de sistemas Windows. Desde entonces, se han publicado numerosas actualizaciones del kit de creación para mejorar el impacto del troyano.
Esta muestra en concreto, actúa de la forma "tradicional" con respecto a lo que se espera de un Zbot, con algunas diferencias. Descarga un archivo (de extensión .bin) en el sistema, que contiene la configuración con los objetivos (bancos) del ataque. Además, modifica el explorador de Windows para que los ficheros no sean vistos si no es por línea de comandos. Los datos robados son cifrados criptográficamente antes de ser enviados al atacante.
Ataca a numerosas cajas y bancos españoles además de otros de diferentes países, inyectando campos adicionales en la página legítima cuando la víctima los visita o robando las contraseñas directamente. Además de eso, también obtiene las contraseñas de sitios populares como Facebook, Flickr, Amazon, MySpace...
Entre otros cambios, modifica las zonas de Internet Explorer para relajar su seguridad. Se copia en la carpeta %appdata%, esto es "C:\Users\[usuario]\AppData\Roaming" en el caso de Windows Vista y 7; "C:\Documents and Settings\[uduario]\Datos de programa" en el caso de XP, siempre dentro de carpetas con nombres aleatorios.
Parece que los atacantes provienen de Rusia, puesto que el panel de control se encuentra en un servidor dedicado de este país. Las mafias rusas suelen realizar campañas muy estudiadas y virulentas como la que está protagonizando el Banco de España.
Para protegerse, las recomendaciones son las de siempre: *Usar cuentas limitadas en Windows, (aunque en el caso concreto de este ejemplar, no evita el ataque por completo).Lea el artículo Cuenta Administrador VS Cuenta Limitada, aquí en el foro.
* Actualizar el sistema y los programas.
* Mantenerse informado.
* Actualizar el antivirus.
En realidad, lo novedoso de este ataque radica en los recursos empleados (decenas de correos para maximizar su difusión) y el uso de la imagen de un banco "institucional" y de confianza para atraer a las víctimas. Por desgracia, al margen de este caso, Zbot seguirá dando guerra durante mucho tiempo; su facilidad de uso y sofisticación técnica lo hacen asequible para muchos atacantes y a la vez complicado para que los antivirus puedan detectar las innumerables variables a tiempo.
Gracias a Sergio de los Santos de www.hispasec.com
12/06/10 PHISHING
PHISHING A CLIENTES DE PAYPAL
Un correo trampa con asunto: "AVISO IMPORTANTE:Su servicio en linea se ha suspendido temporalmente" trata de llamar la atención de clientes del famoso portal de pagos on-line www.paypal.com con la única intención de robar claves de acceso a sus cuentas. Correos similares hay miles, la ip del correo proviene de thailandia sin embargo éste está en un perfecto castellano y además sin faltas de ortografía. Nunca siga enlaces de este tipo de correos, en la imagen se muestra la URL donde realmente somos enviados, y es evidente que NO es la url de Paypal.
En la primera imagen observamos que este correo puede llegar a convencer a más de un cliente de Paypal a seguir el enlace para identificarse en www.paypal.com
No es como otros que evidencian errores de ortografía o léxico, tiene una buena traducción a pesar de provenir de Bankog. Sin embargo a poner el ratón encima del enlace muestra una URL que evidencia que no seremos enviados a www.paypal.com
La IP desde donde ha sido enviado el correo-trampa
Localización de la IP
09/06/10 GRAVE VULNERABILIDAD EN ADOBE FLASH
RECOMENDAMOS DEJAR DE USAR ADOBE FLASH INMEDIATAMENTE.
Descubierta una grave vulnerabilidad en Adobe Flash Player 10.0.45.2 y versiones anteriores aplicable a Windows, Macintosh, Linux y también en sistemas operativos Solaris, el caso se agrava por ser authplay.dll el componente afectado el cual se incluye con Adobe Reader y Acrobat 9.x para Windows, Macintosh y los sistemas operativos UNIX . La vulnerabilidad está siendo usada actívamente por delincuentes informáticos.
Comprueba la versión que usas de Flash, puedes hacerlo desde Aquí
No hay fecha para una solución a la vulnerabilidad, según Adobe, sin embargo Adobe ofrece dos soluciones posibles, una para Flash y otra para Acrobat Reader. En el caso de flash puedes descargar e instalar la versión RELEASE CANDIDATE 10.1 la cual no parece ser vulnerable, puedes descargarla Aquí En el caso de Adobe Reader, es recomendable usar otras posibilidades como podría ser eliminar o renombrar el componente afectado (descrito al principio), en este caso no podríamos ver video Flash en un documento PDF, devolviendo un error, pero evitando el exploit y la respectiva descarga de un troyano denominado por TrendLabs como TROJ_PIDIEF.WX el cual podría comprometer cualquier sistema y ponerlo en manos de delincuentes informáticos.
La ruta habitualmente es "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\authplay.dll".
En el mejor de los escenarios, que sería utilizar otro navegador web como Firefox, es suficiente con la instalación de un bloqueador de contenidos en Flash como FlashBlock, muy sencillo de configurar aunque si usas NoScript no debes preocuparte, él solo bloqueará cualquier contenido en flash.
Un correo con asunto: !!!Premio de 100 euros!!! trata de llamar la atención de clientes de la entidad financiera CajaMadrid. El correo trata de dirigir a clientes de CajaMadrid a una web trampa cuyo objetivo no es otro que el robo de claves de acceso a sus cuentas bancarias.
Un supuesto pago de 105 Euros por fidelidad a la entidad financiera es la excusa que usan para tratar de estafar a clientes de la entidad Cajamadrid. Como se muestra en la imagen el correo ha sido enviado desde Brasil.
Desconfiar de correos similares, no acceder a bancos desde enlaces de correos electrónicos y eliminar el correo no deseado sin tan siquiera abrirlo son normas imprescindibles si no queremos ser víctimas de estafas phishing.
La IP desde donde ha sido enviado el correo-trampa
Localización de la IP
16/05/10 MALWARE EN REDES SOCIALES
"Sexiest Video Ever" en Facebook
Websense Security Labs nos alerta ante mensajes en facebook utilizados por delincuentes informáticos para propagar malware entre los usuarios de su red social.
Un nuevo malware se está abriendo camino en Facebook a través de mensajes que tratan de llamar la atención entre los usuarios de su red social.
"Sexiest Video Ever" traducido "El video más sexy".
Una captura de la imagen:
Cuando un usuario hace click sobre el video es invitado a permitir a una aplicación acceder a su perfil, una vez realizado esto nos indican que tenemos que instalar un falso reproductor de videos en flash actualizado para ver el video, enviándonos en realidad un archivo .EXE malicioso
Se trata de malware que recopila información de tus hábitos en Facebook, hablamos de datos privados del perfil de usuario, una vez instalada la aplicación mostrará a tus amigos el cartel "Sexiest Video Ever", tratando de propagarse de unos usarios a otros.
Debemos de estar alerta ante este tipo de malware, no haga click sobre cualquier cosa que trate de llamarle la atención, en este caso si denegamos el permiso de acceso a nuestro perfil, estaremos seguros.
Para evitar casos similares existe una aplicación realizada expresamente para Facebook, que te permitirá protegerte de mensajes no deseados, la aplicación llamada Defensio puede descargarla en este enlace:
http://defensio.com/
Consejos sobre la red social Facebook 7 Cosas que se deben dejar de hacer en facebook de inmediato:
Usar una contraseña (password) débil o fácil de adivinar
Evite nombres o palabras simples que pueda encontrar en el diccionario, aun si le pone números al final. En vez de eso, mezcle letras con mayúsculas y minúsculas, números y símbolos. Una contraseña debe tener al menos 8 caracteres. Una técnica buena es insertar números o símbolos a la mitad de una palabra, como esta variante de la palabra “casas”: ¡cA27sAs!
Listar su fecha de nacimiento completa en su perfil
Es un objetivo ideal para los ladrones de identidad, que podrían usarlo para obtener más información sobre usted y potencialmente acceder a sus cuentas de banco o de crédito. Si ya ingresó su fecha de nacimiento, vaya a la página de su perfil de usuario y haga click en Info tab (la pestaña de información) y luego a Edit (Editar información). Bajo la sección de Información Básica, escoja mostrar solamente el mes y el día y no el año de su cumpleaños, o mejor, no ponga nada.
No aprovechar controles de privacidad útiles
Para casi todo en su perfil de usuario en Facebook, usted puede limitar el acceso a sus amigos, amigos de sus amigos o a usted solamente. Puede restringir acceso a sus fotos, fecha de nacimiento, creencias religiosas, e información de su familia, entre otras cosas. Usted puede otorgar sólo a ciertas personas o grupos acceso a fotos por ejemplo, o bloquear este acceso a algunas personas en particular. Considere no dejar información de contacto, como su teléfono o su dirección, ya que probablemente no quiera que nadie tenga acceso a esa información de cualquier forma.
Incluir el nombre de sus hijos en la descripción de una foto
No use el nombre de un niño en la etiqueta o título de las fotografías. Si alguien más lo hace, borre el nombre haciendo click en Remover la etiqueta (Remove Tag). Si su hijo no está en Facebook y alguien más incluye su nombre en una foto, pídale a esa persona que quite el nombre de su hijo.
Mencionar que va a salir de viaje
Eso es lo mismo que poner un anuncio que dice “no hay nadie en casa” en la puerta. Espere a estar de regreso en casa para decirles a todos lo increíble que fue su vacación, y no sea muy claro al respecto de las fechas de cualquier viaje que haga.
Dejar que lo encuentren las máquinas de búsqueda
Para evitar que cualquier desconocido pueda acceder a su página, vaya a la sección de Búsqueda (Search) de los controles de privacidad de Facebook y seleccione Sólo amigos (Only Friends) para los resultados de búsqueda de Facebook. Asegúrese que el recuadro para los resultados de búsqueda pública (Public search results) no ha sido marcado.
Permitir a los menores usar Facebook sin supervisión
Aunque Facebook limita su membresía a personas de 13 años o mayores, hay niños menores que lo usan. Si usted tiene un hijo pequeño o adolescente en Facebook, la mejor forma de supervisarlo es convirtiéndose en uno de sus amigos en línea. Use su correo de e-mail como el contacto de la cuenta de su hijo para que sea usted quien reciba notificaciones y pueda monitorear sus actividades. “Lo que ellos tal vez piensen que no tiene importancia, puede ser algo muy serio”, opina Charles Pavelites, un agente especial de supervisión en el Centro de quejas de delitos en Internet (Internet Crime Complaint Center). Por ejemplo, una niña que pone un comentario “Mi mamá no tarda en llegar a casa, tengo que lavar los platos” todos los días a la misma hora, está revelando demasiada información sobre las actividades regulares de ir y venir de los padres.
El mensaje de correo electrónico no deseado contiene un archivo adjunto llamado Skype Tookbar For Outlook.zip, el fichero malicioso está diseñado para engañar a usuarios confiados, de hecho se trata de un troyano tipo puerta trasera que tiene una detección muy baja entre los antivirus.
Recuerde que debe evitar leer correo Spam, nunca abra adjuntos a dichos correos y menos aún siga los enlaces que muestran, en este caso se trata de un troyano que (de momento) aún no es detectado por muchos motores antivirus.
19/03/2010 UTILIDADES GRATUITAS QUE AUMENTAN LA SEGURIDAD DE SU PC
Panda USB Vaccine – Version 1.0.1.4
Utilidad gratuita ofrecida por Panda, evita la ejecución automática de cualquier aplicación desde un dispositivo USB o CD/DVD, en el caso Vodafone mostrado en el tema anterior, hubiera evitado la ejecución automática (en cualquier ordenador windows) del archivo AUTORUN.EXE.
En Panda Research Blog nos siguen llegando datos cada vez más sorprendentes sobre el caso Vodafone y la Red Mariposa, todo parece indicar que cualquiera que haya comprado un terminal Magic HTC de Vodafone en Europa unas semanas antes o después del 1 de marzo 2010, debería comprobar su PC y la tarjeta microSD del HTC. Más información (En inglés):
Fallo en el control de calidad de Vodafone permite que la red botnet Mariposa sea distribuida entre sus usuarios.
Panda Research Blog nos avisa de un fallo en el control de calidad de una compañía tan importante como Vodafone, precísamente el nuevo terminal móvil HTC Magic con el nuevo sistema operativo de Google Android ha sido vendido por la compañía en algunos paises Europeos con malware, precísamente un cliente Bot Mariposa que infecta cualquier ordenador al que se conecta el terminal móvil, via USB.
Cuando conectamos el teléfono al PC vía USB, Panda Antivirus Cloud nos avisa de un autorun.inf y autorun.exe maliciosos, infectando evidentemente a cualquier ordenador que se conectara, via USB:
Un rápido análisis del malware revela que es un cliente bot Mariposa; administrado por el grupo de hackers españoles "DDP Team".
Los ervidores que trata de conectar vía UDP para recibir instrucciones son: mx5.nadnadzz2.info mx5.nadnadzz2.info
mx5.channeltrb123trb.com mx5.channeltrb123trb.com
mx5.ka3ek2.com mx5.ka3ek2.com
Una vez infectado se puede ver el malware "llamando a casa" para recibir más instrucciones, probablemente para robar todas las credenciales del usuario y enviarlos al autor del malware:
13/02/2010 Phishing
Hackers usan web oficial del Ministerio de educación para hacer phishing a clientes de Paypal
Hoy la web oficial del ministerio de educación ha sido atacada por delincuentes informáticos con objetivos phishing, en este caso a los clientes del famoso portal de pagos www.paypal.com. Es un caso bastante grave, datos de millones de españoles pueden estar en manos de delincuentes informáticos. El ministerio de educación suspende en seguridad informática, penoso.
Aquí mostramos una captura del sitio web del ministerio con un mensaje del hacker:.
Lo más grave, como nos avisan desde www.internautas.org es la instalación en el servidor del ministerio de una web que suplanta la identidad de www.paypal.com, aquí una captura del ataque:
12/02/2010 Phishing
Web-trampa que suplanta la identidad de BBVA
Desde www.phisthank.com nos alertan ante una web-trampa que tratando de suplantar la identidad de la entidad financiera española BBVA trata de obtener claves de clientes de banca on-line de la entidad mediante técnicas phishing.
Aquí mostramos una captura del sitio web trampa donde comprobamos que es una web que trata de suplantar la identidad de la entidad financiera BBVA.
Aquí los detalles del aviso donde se muestra la web-trampa, recomendamos no visitar nuca las páginas fraudulentas, suelen aprovechar fallos en ordenadores no parcheados en su totalidad:
Recordamos que nunca deben entrar a la web de su banco desde enlaces recibidos de correos electrónicos o de otro tipo, elimine el correo Spam o no deseado sin tan siquiera abrirlo(fuente de troyanos bancarios). Escriba directamente la web de su banco en su navegador, mantenga su sistema operativo completamente actualizado e instale un antivirus-firewall y manténgalos actualizados.
09/02/2010 REDES SOCIALES
Quizá seas más transparente de lo que crees...
¿Es posible que tus compañeros de trabajo conozcan lo que pasa por tu cabeza? ¿Y que tu jefe sepa lo que opinas de él? Si no configuras bien la privacidad de tu red social, puede que seas más transparente de lo que crees.
La Oficina de Seguridad del Internauta
(OSI) es un servicio del Gobierno Español para proporcionar la información y el soporte necesarios para evitar y resolver los problemas de seguridad que pueden afectarnos al navegar por Internet.
OSI es un servicio de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información puesto en marcha por el Instituto Nacional de las Tecnologías de la Comunicación (INTECO).
Si quieres comentar algo sobre esta noticia, no dudes en acceder al foro: Foro www.visa-club.com
04/02/2010 Fallo de seguridad en Microsoft Internet Explorer
Afecta a todas las versiones del navegador Internet Explorer
Tan solo con entrar en una página manipulada para explotar esta vulnerabilidad, podría permitir al atacante acceder a los ficheros del sistema afectado con los mismos permisos que el usuario activo del sistema. Recomendamos NO USAR cuentas de usuario con permisos de administrador, use cuentas limitadas.
Aunque actualmente no hay una actualización de seguridad para esta vulnerabilidad, si que se puede mitigar en gran medida el problema, para ello debemos activar las opciones de seguridad de Internet explorer:
Habilitar el modo protegido en Internet Explorer.
Fijar el nivel de seguridad en la Zona Internet a Alto, teniendo en cuenta los distintos escenarios de trabajo.
Utilizar cuentas de usuario limitadas
.
Otra forma de evitar esta vulnerabilidad es, hasta que se publique la actualización de seguridad y en la medida de lo posible, utilizar un navegador que no tenga este problema.
SISTEMAS AFECTADOS:
Windows 2000 SP4
Windows XP SP2, SP3 y x64 SP2.
Windows Server 2003 SP2, x64 SP2 e Itanium
.
Windows Vista SP1, SP2, x64, x64 SP1 y x64 SP2
.
Windows Server 2008 SP2, x64, x64 SP2, Itanium e Itanium SP2.
Windows 7 y x64.
Windows Server 2008 R2 x64 e Itanium.
Internet Explorer 5.01 SP4 para Windows 2000 SP4.
Internet Explorer 6 SP1 para Windows 2000 SP4.
Internet Explorer 6 en Windows XP SP2, SP3 y x64 SP2.
Internet Explorer 6 en Windows Server 2003 SP2, 2003, SP2 para Itanium y x64 SP2.
Internet Explorer 7 en Windows XP SP2, SP3 y x64 SP2.
Internet Explorer 7 en Windows Server 2003 SP2, Itanium SP2 y x64 SP2.
Internet Explorer 7 en Windows Vista, SP1, SP2, x64, x64 SP1 y x64 SP2.
Internet Explorer 7 en Windows Server 2008 SP2, Itanium e Itanium SP2, x64 y x64 SP2.
Internet Explorer 8 en Windows XP SP2, SP3, x64 SP2.
Internet Explorer 8 en Windows Server 2003 SP2 y x64 SP2.
Internet Explorer 8 en Windows Vista, SP1, SP2, x64, x64 SP1 y x64 SP2.
Internet Explorer 8 en Windows Server 2008 SP2, x64 y x64 SP2.
Internet Explorer 8 en Windows 7 y x64.
Internet Explorer 8 en Windows Server 2008 R2 x64 e Itanium.
Las vulnerabilidades podrían provocar los siguientes efectos:
-Terminación de la aplicación
-Ejecución remota de código.
-Acceso a información del usuario
Recuerde usar siempre cuentas de usuario limitadas,aquí un ejemplo:
03/02/2010 Parche de seguridad para iPhone e iPod Touch
Si eres usuario de iPhone e iPod Tourch actualízalo inmediatamente a la última versión.
Apple ha publicado un parche de seguridad para arreglar algunos fallos de seguridad de sus productos iPhone e iPod Touch con versiones del software de sistema anteriores a la 3.1.3
El nuevo software representa una actualización menor y principalmente corrige un problema con el indicador de carga de la batería en los modelos 3GS, algunos problemas con la apertura de ciertas aplicaciones de terceras partes y un problema concreto que produce cuelgues inesperados cuando se utiliza el teclado Kana japonés.
La Solución consiste en actualizar lo antes posible a través de iTunes, ya que se trata del único lugar donde se encuentran disponibles estas actualizaciones:
Las vulnerabilidades podrían provocar los siguientes efectos:
-Terminación de la aplicación
-Ejecución remota de código.
-Acceso a información del usuario
El software tiene un tamaño de 228,1 Mb.
Las vulnerabilidades solucionadas son las siguientes:
-CoreAudio (CVE-2010-0036), desbordamiento de búfer sobre ficheros mp4 manipulados.
-ImageIO (CVE-2009-2285), desbordamiento de búfer en el manejo de ficheros TIFF.
-Recovery Mode (CVE-2010-0038), corrupción de memoria producida por mensajes de control de ciertos dispositivos USB.
-WebKit (CVE-2009-3384), múltiples validaciones de entrada sobre accesos FTP y (CVE-2009-2841) problemas con elementos multimedia sobre HTML 5.
25/01/2010 Actualización de seguridad para Real Player
Si eres usuario de Realplayer, actualízalo inmediatamente a la última versión.
RealNetworks ha publicado actualizaciones de Real Player 10 y 11 en plataformas Windows, Mac y Linux ya que se ve afectado por hasta once vulnerabilidades de seguridad.
Las vulnerabilidades corregidas consisten en diferentes desbordamientos de búfer en distintos puntos del reproductor: En el ASM Rulebook, en un archivo GIF, en la codificación de bloque http, en el procesamiento de archivo IVR, códec SIPR, en el análisis de SMIL o en el tratamiento de temas (skins) entre otros.
RealNetworks ha publicado versiones actualizadas del reproductor disponibles para descarga desde: Para Windows XP, Vista o Windows 7:
http://client-software.real.com/free/windows/installer/stubinst/stub/ rp12/R51ESR/RealPlayerSPGold_es.exe
Para RealPlayer Enterprise:
http://www.realnetworks.com/support/login.html
Para Mac OS X:
http://spain.real.com/realplayer/mac/?lang=es
Aquí mostramos un sitio web que trata de suplantar la identidad de la entidad financiera española Cajamadrid, en esta ocasión nos lo muestran desde www.phishtank.com, uno de los mejores sitios web de lucha contra el fraude on-line.
Nunca baje la guardia ante este tipo de estafas, elimine todo el correo spam sin tan siquiera abrirlo y jamás acceda a su cuenta bancaria desde buscadores o enlaces de otro tipo, escriba la dirección de su entidad financiera en su navegador directamente.
Detalles del ataque phishing: www.phishtank.com/phish_detail.php?phish_id=910729
01/10/2009 TROYANOS BANCARIOS
Troyanos bancarios capaces de falsificar el saldo de nuestra cuenta bancaria para evitar ser detectado.
Nos informan del descubrimiento de una familia de troyanos bancarios muy peligrosos, hablamos de troyanos capaces de modificar el balance o saldo que visualizamos desde ordenador infectado. Todo para evitar que el cliente de banca on-line descubra el saldo real de su cuenta bancaria.
Se ha detectado una familia de troyanos que, además de todas las técnicas habituales que usa el malware 2.0 para pasar desapercibido, falsea el balance del usuario víctima una vez ha sido robado. Así, el afectado no puede detectar la falta de dinero en su cuenta a menos que analice un extracto por algún otro medio que no sea su propio ordenador, o le sea devuelto algún recibo.
Es común hoy en día que los troyanos inyecten campos adicionales en las páginas de los bancos para "capturar" la tarjeta de coordenadas o las contraseñas secundarias que permiten el movimiento del dinero. Es común que se salten restricciones de todo tipo impuestas por los bancos (teclados virtuales, ofuscación, OTP...), destinadas a detener su avance. Casi todos tienen técnicas de ocultación sofisticadas que hacen que a pesar de los esfuerzos de las casas antivirus, no sean detectados en su mayor parte. La mayoría también ofusca su código para dificultar el análisis de los investigadores... Lo que no es tan común es que los troyanos, al robar, falseen el balance de las cuentas del usuario, para que el usuario no detecte que el dinero ha sido traspasado a otro lugar.
La técnica que utiliza esta muestra observada es la misma que se suele usar para monitorizar qué página está siendo visitada e inyectar los campos. Esto habitualmente se realiza a través de BHO (Browser Helper Objects) en Internet Explorer. Los BHO, al tener completo control sobre el DOM (Document Object Model) de la página, pueden eludir entre otras restricciones el cifrado, e inyectar en las páginas los campos que estimen oportuno. Ocurre de forma totalmente transparente y sobre la página real al ser visitada por un sistema troyanizado. Este mismo método se utiliza para falsear el balance real de la cuenta. Así, el usuario no percibe que está siendo robado. El troyano también se cuida de no dejar la cuenta en números rojos, para evitar igualmente ser detectado.
Cuanto más tiempo pase desapercibido el robo para la víctima, más veces podrá transferir pequeñas cantidades y pasar así también desapercibido para el banco. Los bancos, hoy en día, tienen sistemas de alerta que avisan al usuario cuando se detectan movimientos que se salen del patrón habitual de su usuario. Esto empezaba a ser un problema para ciertos troyanos que realizaban grandes transferencias, pues los bancos advertían al usuario víctima de una posible estafa. Con estos métodos consiguen no hacer sonar ninguna alarma ni en el usuario ni en su banco.
Se ha informado de la difusión de este malware en toda Europa. Algunos lo han llamado URLZone, aunque parece una variante de SilentBanker. El método de infección (esto sí es habitual) suele ser la visita a páginas web legítimas infectadas, que intentan aprovechar diferentes vulnerabilidades del navegador o del sistema operativo Windows para ejecutar código y realizar su función.
Recuerde que toda buena práctica en materia de seguridad comienza con un sistema operativo completamente actualizado, evite siempre sistemas operativos sin su correspondiente licencia original.
Acceso al informe completo del troyano, junto a ejemplos reales de modificación de saldos bancarios en Máquinas troyanizadas: Cybercrime Intelligence Report
Gracias a Sergio de los Santos de www.hispasec.com
27/09/09 DELINCUENCIA EN LA RED
Delincuentes informáticos utilizan noticias de máxima actualidad para distribuir malware.
En este caso una noticia de máxima relevancia, la polémica de una foto del presidente español Zapatero con sus hijas en la Casa Blanca, ha sido utilizada por delincuentes informáticos para posicionar sitios web maliciosos en buscadores, en este caso Google. Hablamos de páginas web preparadas para distribuir malware tan solo con visitar el sitio web.
En el caso que alguien acceda a la web trampa (marcada en rojo en la imagen) mostrará un mensaje en pantalla de un supuesto antivirus el cual (en inglés) nos avisa de un potencial riesgo de actividad vírica en nuestro PC. En caso de pulsar aceptar nos mostrará un supuesto scan en nuestro ordenador el cual lejos de vigilar la seguridad de nuestro equipo, invadirá nuestro pc de software malicioso.
Recuerde, mantenga su ordenador completamente parcheado con todas las actualizaciones instaladas junto a un antivirus y firewall actualizados, en casos como este bloquearán la ejecución de javascript malicioso evitando la descarga silenciosa de malware.
!! No visite los enlaces maliciosos mostrados, recuerde que su pc puede quedar expuesto tan solo con visitar el sitio web trampa !!
13/09/09 TROYANOS ADJUNTOS EN CORREOS SPAM.
Nunca abra ficheros adjuntos a correos electrónicos no esperados. Aquí un ejemplo de un troyano adjunto a un correo Spam.
Detectamos otro envío masivo de correos electrónicos cuya intención no es otra que instalar algún que otro troyano en nuestro ordenador, en este caso se trata de un correo con asunto:"Shipping confirmation for order 6366." cuyo fichero adjunto: "D1bbe0be3.zip" contiene el troyano en cuestión que en este caso lo denominan D1bbe0be3.EXE con una longitud de 38400 bytes, siendo ya detectado por varios motores antivirus.
Este tipo de correos tiene como objetivo la descarga del archivo adjunto y la ejecución del troyano, para ello el cuerpo del correo nos habla de una supuesta compra que hemos hecho y para consultar datos sobre la transacción nos indican que descarguemos el archivo adjunto y lo ejecutemos.
Pueden comprobar el resultado del análisis del troyano, dando positivo en 16 de 41 motores antivirus:
Datos del troyano analizado:
Nombre: D1bbe0be3.EXE
MD5 : a116263af70b39acf8bbcbe7c37dfb63
SHA1 : fadf65b6d86f0926e0b33430498524967980c8ad
SHA256: 336d3f1393c22e91fa3ff02837125701809ba92b4f3b195094295b9b6f8c5e82
17/08/09 ALGO MÁS QUE UN GENERADOR DE CLAVES PARA WINDOWS 7.
Generadores de claves de windows 7 (Keygen) fraudulentos, capaces de tomar el control de su PC.
Advertimos del peligro que supone utilizar el generador de claves como el que aparece en la imagen, hablamos de malware capaz de tomar el control de su equipo.
Coincidiendo con la salida a fabricación y distribución a través de fabricantes de equipos del esperado Windows 7,el cual verá la luz al público el próximo 22 de octubre, se está detectando algún que otro generador de claves (keygen) para windows 7 cuyo objetivo no es otro que infectar su equipo.
Hoy día podemos ver como Internet se encuentra plagado de software privado, software de pago, etc. Pero también podemos observar como para todos estos programas (o casi todos), disponemos del parche o número de serie correspondiente, capaz de eliminar limitaciones y proporcionar un software completo, evitando con ello el desembolso económico y en muchos casos poniendo en peligro la subsistencia de empresarios y programadores.
Prácticamente podemos considerar que el precio del uso de los keygen hoy en día supone poner en terceras personas el control de nuestro equipo y el precio puede llegar a ser muy alto, en el caso de usuarios de banca on-line incluso el robo de claves de acceso a cuentas bancarias.
ANTIVIRUS ON-LINE
Analiza tu Pc con al menos dos Antivirus On-Line, aquí tienes todos los que hay disponibles en internet.
Entre las respuestas (más técnicas) a los síntomas de un PC secuestrado podremos enumerar el riesgo al robo de información, la utilización de recursos del equipo (procesador, memoria) y por ende, la ralentización del sistema, la disminución de velocidad de Internet, etc. De todas formas, es posible que un usuario se vea afectado más profundamente por una infección de botnet, y para ejemplificar ello les contaré el caso de Matt.
Un despiste tan clásico y aparentemente inocente como olvidarse de poner en copia oculta las direcciones de correo electrónico puede acabar resultando mucho más costoso de lo esperado. Numerosas empresas españolas ya han tenido que enfrentarse a una multa de entre 600 y 3.000 euros (aunque legalmente podría llegar a los 60.000 euros) por revelar datos privados de sus clientes o de personas que les habían facilitado su e-mail con fines informativos.
SISTEMAS AFECTADOS:
El nuevo software representa una actualización menor y principalmente corrige un problema con el indicador de carga de la batería en los modelos 3GS, algunos problemas con la apertura de ciertas aplicaciones de terceras partes y un problema concreto que produce cuelgues inesperados cuando se utiliza el teclado Kana japonés.
Las vulnerabilidades corregidas consisten en diferentes desbordamientos de búfer en distintos puntos del reproductor:
Coincidiendo con la salida a fabricación y distribución a través de fabricantes de equipos del esperado Windows 7,el cual verá la luz al público el próximo 22 de octubre, se está detectando algún que otro generador de claves (
