Editado 08-01-2021 8:58
El phishing bancario se multiplica por tres para los usuarios de Android
Los ataques phishing financieros están aumentando considerablemente durante los últimos tiempos. La firma de análisis y seguridad Kaspersky ha informado que los ataques de troyanos bancarios ha aumentado un 16% año tras año entre sus usuarios. Pero lo peor de todo, es que este incremento se ha observado sobre todo en usuarios de Android, que han visto como estos ataques se han triplicado respecto al año anterior.
Kaspersky llegó a detectar casi 900.000 ataques de phishing bancario a nivel mundial en 2018, lo que representa un aumento del 16% en comparación con 2017.
Una vez que el usuario ingresa sus credenciales a través de una aplicación o software de tipo bancario, sus datos de acceso van a parar a un servidor externo accesible por los ciberdelincuentes que ya contarían con su información bancaria para poderle vaciar la cuenta.
Mientras que Rusia y Alemania representaron casi el 43% de todos estos ataques bancarios, el aumento se ha visto también en el resto del mundo. No obstante, países como la India, Italia, Vietnam y Estados Unidos representan casi el 20% de todos los ataques bancarios. Más información en https://www.ticbeat.com
Aumentan los ataques de phishing y de fuerza bruta contra aplicaciones cloud
Proofpoint ha publicado su estudio “Cloud Application Attack Snapshot: Q1 2019”, que desvela que el número de ataques a aplicaciones en la nube de organizaciones globales han aumentado en un 65% entre septiembre de 2018 y febrero de 2019. Nigeria es el principal país de procedencia de estos ataques, con un 40% de las amenazas, seguido de China que acumula un 26% de los ataques. Según Proofpoint, entre los sectores más atacados destaca el ámbito educativo, donde los estudiantes resultan muy vulnerables debido a su naturaleza de usuario remoto.
En este tipo de ataques se emplean técnicas de fuerza bruta junto a inteligencia para descifrar contraseñas, además de sofisticados métodos de phishing con los que atraer a las víctimas para que hagan clic y revelen sus credenciales de autenticación de aplicaciones en la nube como Microsoft Office 365 y Google G Suite. Una vez que consiguen acceder, los atacantes suelen avanzar posiciones dentro de la organización, desplazándose de forma lateral, a través de mensajes internos de phishing para infectar a otros usuarios, obtener información confidencial y desviar fondos de forma fraudulenta.
Los ataques de fuerza bruta a aplicaciones cloud son ataques de tipo spray a contraseñas IMAP, que se producen cuando los ciberdelincuentes intentan detectar contraseñas comunes o recientemente filtradas entre muchas cuentas diferentes al mismo tiempo, siendo la técnica más popular y extendida a la hora de comprometer cuentas de Microsoft Office 365. De hecho, más del 25% de los usuarios de Office 365 examinados ha experimentado inicios de sesión no autorizados y un 60% ha sido objetivo de los ciberdelincuentes de forma activa. La tasa de éxito de estos ataques ha sido del 44% durante el primer trimestre de 2019. La mayoría de estos ataques de fuerza bruta proceden de China (53%), Brasil (39%) y Estados Unidos (31%). Más información en https://www.itreseller.es/seguridad/
Sitios de e-commerce impactados con malware para robar tarjetas de crédito
La cantidad de sitios de comercio electrónico infectados con malware continúa incrementando. Acorde a una investigación revelada por un hacker ético del Instituto Internacional de Seguridad Cibernética, al menos siete sitios (que cuentan con más de medio millón de visitantes al mes) han sido infectados con una nueva variante de malware de robo de tarjetas de pago de los clientes.
Fila.co.uk, uno de los sitios comprometidos, habría sido infectado desde noviembre pasado; acorde al hacker ético, la compañía no había sido capaz de eliminar el malware de sus sistemas hasta hace un par de días. Los otros sitios comprometidos identificados hasta ahora son:
jungleeny.com, forshaw.com, absolutenewyork.com, cajungrocer.com, sharbor.com, getrxd.com.
El hacker ético mencionó que la información robada es enviada a un dominio que ha estado activo desde mayo pasado, así que es probable que el malware (apodado OGM) haya estado activo desde entonces. OGM comprime el skimmer en un espacio diminuto y permanece inerte cuando detecta que se activan las protecciones antivirus del equipo comprometido. Más información en https://noticiasseguridad.com/
Fuga masiva de datos en Gearbest: cambia ya tu contraseña
Una nueva brecha de seguridad ha desatado el “pánico en los mercados”. La compañía afectada en este caso ha sido Gearbest, una de las plataformas chinas de comercio electrónico más populares en países como España.
Como indican en TechCrunch, un servidor mal configurado en la CPD de la empresa asiática ha provocado que millones de datos de usuarios y clientes se hayan estado filtrando en Internet desde hace semanas. Tan mal configurado estaba, que ni siquiera estaba protegido con contraseña.
Entre los datos que ya circulan por la Red, se encuentran perfiles de usuario, órdenes de compra, correos electrónicos contraseñas y sí, también información sobre los distintos métodos de pago empleados.
En estos momentos Gearbest se encuentra entre las 250 mayores webs del mundo y cuenta con clientes como Asus, Huawei, Intel o Lenovo. Más información en
El Ministerio de Defensa español detecta una intrusión en su red activa desde diciembre
El Ministerio de Defensa español ha puesto en manos de la fiscalía una intrusión en su red general de operaciones detectada tras descubrir una pieza de malware insertada en la misma.
El incidente está en fase inicial de investigación. En él están trabajando el Mando de Ciberdefensa, el Centro de Sistemas y Tecnologías de la Información y las Comunicaciones (CESTIC) y el Centro Criptológico Nacional (CCN). Ya se han tomado las medidas preventivas concurrentes, chequeos y cambio de claves de acceso.
Aunque la red atacada (WAN PG) es la usada para propósito general, no está clasificada y sobre ella no circula información secreta, el asunto es de la suficiente relevancia porque la red “es la que se utiliza en el día a día” y sí maneja otra información sensible, conectando más de 50.000 usuarios del Ministerio, Estado Mayor y los tres ejércitos, sirviendo servicios de telefonía, correo o accesos Internet.
La gravedad del hecho radica que el virus estaría presente en la red desde finales de diciembre, según informa ElPaís, insertado por un ciberataque que se sospecha de origen extranjero, aunque no se descarta “ayuda” interna. El ciberataque habría sido detectado por una operadora militar. Más información en https://www.muyseguridad.net/
Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad.
¡Hasta la próxima semana!