Campaña de Phishing contra Movistar con avisos de factura elevada
Durante los últimos días, se está llevando a cabo una nueva campaña de Phishing suplantando la identidad de Movistar, a través de mail. La campaña se presenta con la excusa de una supuesta factura de importes elevados, buscando generar una respuesta inmediata del destinatario y motivarlo a hacer click en enlaces maliciosos. No se trata de una campaña dirigida únicamente a Telefónica, sino que forma parte de un patrón más amplio de campañas fraudulentas que incluyen también notificaciones falsas sobre multas, deudas con la Agencia Tributaria o cargos inesperados en tarjetas de crédito, entre otras. A continuación se muestra un ejemplo del correo: Si un usuario hace click en el enlace incluido en el correo, será redirigido a una página web creada por los ciberdelincuentes, donde se le presentará la opción de descargar un documento en formato PDF. Una vez descargado el fichero, se observa que se trata de un archivo ZIP que contiene un fichero malicioso en su interior. Al tratar de ejecutar este fichero se nos mostrará un aviso indicando un supuesto error de Adobe Reader. Este tipo de avisos se han utilizado en campañas anteriores de Grandoreiro para engañar a la víctima, haciéndole creer que el motivo por el cual no se muestra la supuesta factura es por un error al procesarla. Si has detectado el fraude Marca como spam y borra el correo. Si tienes dudas consulta en Mi Movistar o a través de nuestros centros de atención oficiales. Si has descargado el pdf y ejecutado Revisa con un antivirus cualquier malware que se haya podido instalar y haz una limpieza No accedas a webs donde tengas que poner tus datos personales. Precaución y consideraciones a tomar en cuenta Verifica la fuente de información. No conteste automáticamente a ningún correo que solicite información personal o datos de tarjeta o bancarios. Verifica que los enlaces que aparezcan visibles en el correo y los que puedan estar en el código son el mismo, situando el puntero del ratón sobre el mismo. No abras archivos que se encuentren en mensajes de correo electrónico que parezcan sospechosos. Presta especial atención a las macros en los documentos ofimáticos (.doc, .xls,…). Habilita únicamente las macros en documentos de confianza. No proporciones nunca contraseñas. Nunca utilices cuentas corporativas (y sus contraseñas) en terceros, como por ejemplo el correo corporativo, ya que esto podría facilitar accesos no autorizados. Se deben utilizar contraseñas con formatos y complejidad diferente para que no puedan ser adivinables. No navegar por sitios potencialmente peligrosos o que sean utilizados para la descarga de Software ilegal. Un saludo Fuentes: https://ontinet.com/blog/protegerse-6/emails-suplantando-a-iberdrola-y-movistar-usados-en-una-nueva-campana-del-troyano-bancario-grandoreiro-4566DECATHLON: Ni bicicletas ni tiendas de campaña... CUIDADO!
Buenas tardes comunidad, Nueva campaña de phishing, este correo me llegó hace menos de 24 horas Lo que hay que hacer, además de extremar el cuidado, es no cansarse de reportar Ni bicicletas ni tiendas de campaña: así funciona la nueva estfa que se hace pasar por Decathlon Conoce a fondo qué es el phishing Avisos Empresas Buena proa!
Noticias de Seguridad a nivel mundial: boletín nº 132
Fuga de información en Cloud Web Application Firewall de Imperva Incapsula Waf es el nombre por el que se conoce al servicio de WAF en Cloud de la empresa Imperva. Funciona como un CDN diseñado para mitigar ataques de denegación de servicio distribuidos y proteger ante otro tipo de amenazas. Chris Hylen, su CEO, ha anunciado que el pasado 20 de agosto, un tercero notificó a la compañía sobre la brecha, que exponía información sobre la base de datos de clientes de Incapsula hasta el 15 de septiembre de 2017. Esta información incluía direcciones de correo y contraseñas cifradas de un subconjunto de usuarios registrados antes del 15 de septiembre de 2017. Las claves de API y certificados SSL para este grupo de clientes quedaron expuestos. Todavía no se conocen los detalles sobre el incidente, si fue fruto de un ataque dirigido o el resultado de componentes mal configurados. La compañía ha iniciado una investigación para aclarar lo sucedido y ha notificado la brecha a las entidades reguladoras pertinentes. Continúa navegando en https://unaaldia.hispasec.com/. Cómo hacer ataque de mensajes sms falsos o bombardeo sms Un riesgo de ciberseguridad relevante es el envío de mensajes de texto falsos. Al registrarse en una aplicación, en ocasiones es necesario enviar su número de teléfono para obtener una contraseña de un sólo uso (OTP) para completar el registro en el servicio; acorde a especialistas en curso de hacking ético, un hacker podría usar una técnica de spam SMS para irritar o molestar a un objetivo. El bombardeo de SMS es una técnica para enviar mensajes falsos a cualquier número de teléfono móvil. Este ataque requiere de un script que contiene las API de SMS Gateway; utiliza API de SMS de diferentes puertas de enlace de SMS. Según expertos en hacking ético del IICS, los bombarderos SMS utilizan diferentes puertas de enlace. Los proveedores de puerta de enlace SMS brindan servicios de reenvío, enrutamiento y almacenamiento de mensajes entrantes. Para enviar mensajes utilizando la puerta de enlace SMS, conéctate con los centros SMSC. Continúa navegando en https://noticiasseguridad.com/. Planta nuclear ucraniana conectada a Internet para minar criptomonedas Las autoridades ucranianas están investigando una grave violación de seguridad en una planta de energía nuclear, después de que unos empleados conectaran parte de su red interna a Internet para el minado de criptomonedas. La investigación está siendo dirigida por el Servicio Secreto ucraniano (SBU) y es de máximo nivel al considerar el incidente como una violación de secretos de estado debido a la clasificación de las centrales nucleares como infraestructura crítica. Los investigadores también están examinando si los delincuentes podrían haber utilizado las plataformas de minería como pivote para ingresar a la red de la planta de energía nuclear y recuperar información de sus sistemas, como datos sobre las defensas y protecciones físicas de la planta. El incidente tuvo lugar en julio en una planta de energía nuclear cerca de la ciudad de Yuzhnoukrainsk. Agentes del SBU confiscaron computadoras y equipos específicamente construidos para la minería de criptomonedas, instalados en las oficinas administrativas de la planta. Los equipos estaban especialmente fabricados para esta actividad, con un chasis metálico que alojaban partes básicas de una computadora, además de fuentes de alimentación y sistemas de refrigeración adicionales para mantener en funcionamiento hasta seis tarjetas gráficas AMD Radeon RX 470, principales encargadas del proceso. Varios empleados han sido acusados por su participación en esta operación. Continúa navegando en https://www.muyseguridad.net/ Actualiza tus dispositivos cisco, el parche para corregir una vulnerabilidad crítica ya está disponible A pesar de ser una de las compañías de tecnología más importantes del mundo, Cisco no deja de ser vulnerable a algunas fallas de seguridad en sus diversos productos. En esta ocasión, especialistas en forense digital reportaron el hallazgo de una seria vulnerabilidad en los dispositivos de la compañía que ejecutan el sistema operativo IOS XE. Identificada como CVE-2019-12643, esta es una vulnerabilidad presente en el contenedor del servicio virtual REST API para Cisco IOS XE que de ser explotada permitiría a los actores de amenazas esquivar la autenticación en un dispositivo comprometido. Dadas sus características, la falla cuenta con un puntaje de 10/10 en la escala del Common Vulnerability Scoring System (CVSS). Acorde a los expertos en forense digital, la falla existe debido a una verificación inapropiada en un área de código que opera el servicio de autenticación REST API. Los productos más afectados por esta vulnerabilidad son los enrutadores de Cisco, principalmente ASR 1000 Series Aggregation Service Router, Cisco Cloud Services Router 1000V y Cisco Integrated Services Virtual Router. En su investigación, los expertos afirman que esta falla puede ser explotada por un atacante remoto no autenticado enviando solicitudes HTTP diseñadas especialmente al sistema comprometido. Esto resultará en la exposición de un identificador de tokens de usuarios autenticados. Continúa navegando en https://noticiasseguridad.com/. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 106
Una imagen PNG es suficiente para vulnerar un Android Como se informó la semana pasada, una falla crítica de seguridad permite que algunos móviles con determinadas versiones del sistema operativo Android 7.0 a 9.0 estén expuestos a infectarse, simplemente abriendo un archivo de imagen PNG. Google informó de las vulnerabilidades a través de sus boletines CVE-2019-1986, CVE-2019-1987, y CVE-2019-1988, y ya transmitió especialmente sobre esto a los fabricantes que usan esos sistemas operativos. Según explican en el boletín de febrero, basta con utilizar un archivo en formato .PNG para poder atacar un teléfono inteligente o una tableta. No se ha especificado el "diseño" de este tipo de archivos en formato PNG, para evitar que sea aprovechado el fallo de seguridad, pero con ellos se puede ejecutar código arbitrario con privilegios sobre el sistema. Los dispositivos que reciben actualizaciones directas de la compañía, que son los Pixel y Android One, tienen que haber recibido ya este parche de seguridad que soluciona el importante problema relacionado con las imágenes en formato PNG. Sin embargo, otros muchos dispositivos con las versiones afectadas no recibirán nunca la actualización que acaba de ser liberada por la compañía. Por eso, Google ha decidido omitir los detalles del problema de seguridad con la intención de evitar que los atacantes puedan aprovechar el fallo y atacar a los usuarios. Más información en https://www.zdnet.com/ Glovo hackeada: los clientes denuncian el cobro de pedidos que no han realizado Tras las polémicas en torno a los problemas con sus repartidores, ahora se enfrenta a la denuncia por parte de decenas de clientes que aseguran que Glovo ha sido hackeada. A lo largo del fin de semana los usuarios de la app notaron que el acceso a su perfil ha quedado bloqueado por un cambio de contraseña y al restaurarla se han dado cuenta que su email y cuentas bancarias muestran cargos producidos desde Egipto en la app, además de que su nombre de usuario ha cambiado, así como la localización y el idioma. El reporte de que la app de Glovo ha sido hackeada se ha producido en España, Perú, Argentina e Inglaterra. Hasta el momento, Glovo no ha ofrecido un comunicado oficial sobre esta brecha de seguridad que sus usuarios en varios países han informado, sin embargo al ponernos en contacto con la agencia de prensa de Glovo, nos han asegurado que los hackers no han tenido acceso a los datos de las tarjetas de sus clientes, ya que esa información se gestiona por medio de una plataforma externa. En cualquier caso, la recomendación general es que por el momento y hasta que esta situación se resuelva, debes actualizar los datos de tu cuenta en Glovo: asegura que tu número telefónico sea el correcto y cambia la contraseña utilizando un código seguro y que sea único para esta app. Más información en https://marketing4ecommerce.net/ Ciberdelincuentes vacían tus cuentas con los códigos de un solo uso La autentificación de doble factor es un método muy utilizado por las instituciones financieras de todo el mundo para mantener a salvo el dinero de sus clientes: ya sabes, esos 4 o 6 dígitos que recibes del banco y que tienes que introducir para aprobar una transacción. Normalmente, los bancos envían contraseñas de un solo uso a través de mensajes de texto. Por desgracia, los SMS son uno de los métodos más débiles de implantación de la 2FA, ya que pueden ser interceptados y eso es lo que acaba de suceder en el Reino Unido. Los cibercriminales pueden acceder a tus mensajes de distintas formas y una de las más extravagantes es explotando un error en el SS7, un protocolo utilizado por las compañías de telecomunicaciones para coordinar el envío de mensajes y llamadas. A la red SS7 no le importa quién envía la solicitud, por tanto, si los ciberdelincuentes consiguen acceder, la red seguirá sus comandos como si fueran legítimos para dirigir los mensajes y llamadas. El procedimiento es el siguiente: primero, los cibercriminales obtienen el usuario y contraseña de la banca online, probablemente a través de phishing, keylogger o troyanos bancarios. Entonces, inician sesión en la banca online y solicitan una transferencia. Actualmente, la mayoría de los bancos solicitan una confirmación adicional y envían un código de verificación a la cuenta del propietario. Si el banco realiza esta operación a través de SMS, ahí es cuando los ciberdelincuentes explotan la vulnerabilidad SS7: interceptan el mensaje e introducen el texto, como si tuvieran tu teléfono. Los bancos aceptan la transferencia como legítima, ya que la transacción se ha autorizado dos veces: con tu contraseña y con el código de un solo uso. Por tanto, el dinero acaba en manos de los delincuentes. Más información en https://latam.kaspersky.com/ Alemania prohíbe que WhatsApp e Instagram compartan datos con Facebook sin consentimiento Facebook vuelve a encontrarse con un nuevo obstáculo interpuesto por las autoridades alemanas y en este caso el obstáculo afecta a la línea de flotación de su negocio de recopilación de datos. La Oficina Federal Antimonopolio de Alemania ha anunciado la prohibición a la red social de recopilar datos a través de terceros, lo que significa que, por ejemplo, no podrá recopilar los datos generados mediante el botón de «Me gusta», los llamados «likes», una práctica que tacha de «abusiva» e «injusta para la competencia». Las autoridades de la competencia alemanas basan su decisión en el hecho de que Facebook desempeña una posición dominante en el mercado y en la valoración de que está abusando de ella. Facebook ha comunicado que tiene previsto recurrir la decisión ante la Justicia y se juega mucho en ese recurso, porque el caso podría sentar un precedente europeo, vinculando por primera vez en la jurisprudencia la protección de datos con la defensa de la competencia. Más información en https://www.abc.es/tecnologia/redes/ Rusia se desconectará del internet mundial Acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, el gobierno de Rusia estaría considerando la posibilidad de desconectarse de Internet a nivel global por un breve periodo de tiempo, todo como parte de una prueba de ciberseguridad. Esto implica que los datos enviados y recibidos entre individuos y organizaciones rusas permanecerán en las redes de ese país, en lugar de ser enrutados de forma trasnacional. Una ley que está por ser aprobada podría ser el motivo principal por el que el gobierno ruso contempla esta opción, reportan los expertos en seguridad en redes. En esta ley se establece que se deberán realizar todas las modificaciones técnicas necesarias para operar de forma independiente. Para implementar el proyecto denominado Programa de Economía Digital, se requiere que los proveedores de servicios de Internet en Rusia se aseguren de poder operar en caso de que un ataque extranjero aísle las redes rusas. Países miembros de la Organización del Tratado del Atlántico Norte (OTAN) acusan continuamente al gobierno ruso de promover actividades de ciberguerra, por lo que ya han amagado con imponer sanciones por este proyecto. Se espera que la prueba se realice a comienzos del mes de abril, aunque se desconoce la fecha exacta. Más información en https://noticiasseguridad.com Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 112
Simbad: el phishing se cuela en los simuladores de Google Play Gmail, de Google, es uno de los principales servicios que usan este método de inicio de sesión, 206 aplicaciones y más de 150 millones de descargas. Este es el alcance de SimBad, una nueva campaña de adware que según investigadores de Mobile Threat de CheckPoint está haciendo estragos en la Google Play Store. Como ha explicado la compañía de seguridad, la mayoría de las aplicaciones afectadas son simuladores de juego (de ahí SimBad) y en su configuración más "sencilla" muestra en el terminal del usuario infectado innumerables anuncios (adware) fuera de la aplicación, que ralentizan y llegan a volver inutilizable cualquier teléfono móvil. No es este el único problema. Una vez instaladas, puede resultar complicado eliminar las aplicaciones afectadas del terminal. Las actividades que SimBad puede desarrollar se dividen en 3 grupos: mostrar anuncios, phishing y exposición de datos a otras aplicaciones. Más información en https://www.muyseguridad.net/. Hackers están comprometiendo cuentas de Office 365 y G Suite usando protocolo Imap Acorde a especialistas en ciberseguridad, en colaboración con un hacker ético del Instituto Internacional de Seguridad Cibernética, los hackers maliciosos están mostrando especial interés en el abuso de protocolos legítimos para incrementar la frecuencia y efectividad de los ataques de fuerza bruta. La conducta abusiva se ha enfocado principalmente en el protocolo IMAP (Protocolo de Acceso a Mensajes de Internet), que se encarga de pasar por alto la autenticación multi factor y las opciones de bloqueo para inicios de sesión sin éxito. Según el hacker ético, esta nueva campaña de ataques de fuerza bruta plantea un enfoque diferente para desplegar el ataque que utiliza la combinación de los nombres de usuario y contraseña. Gracias a un análisis realizado a una muestra de más de 100 mil inicios de sesión no autorizados en distintas plataformas, los investigadores llegaron a conclusiones como: El 70% de los usuarios han sido atacados por hackers maliciosos al menos una vez. Al menos el 40% de los usuarios tienen una de sus cuentas en línea comprometida. 15 de cada 10 mil cuentas de usuario activas han sido comprometidas con éxito. El principal objetivo de los hackers es desplegar campañas de phishing interno para generar persistencia en los sistemas de la organización atacada. El phishing interno es mucho más difícil de detectar que el externo, mencionó el experto en hacking ético. Los hackers tratarán de conseguir acceso de inicio de sesión a las cuentas en la nube de las víctimas, además dependerán de la campaña de phishing interno para propagar la infección de los sistemas. Más información en https://noticiasseguridad.com/seguridad-informatica/. Descubierta una vulnerabilidad en LTE que permite espiar llamadas Malas noticias para los usuarios de redes LTE. Tal y como publican varios medios, un grupo de investigadores de Corea del Sur, acaba de hacer público un informe en el que se identifican nada menos que 36 nuevas vulnerabilidades, en uno de los protocolos de comunicaciones inalámbricas más utilizados del mundo. Entre las reportadas, destacan algunas que permiten “manipular” antenas móviles, traduciéndose en la posibilidad de bloquear llamadas entrantes en un dispositivo, desconectar a usuarios de una red determinada, mandar SMS con malware a los usuarios que se conecten a la antena, e incluso, escuchar conversaciones privadas. No es esta la primera vez sin embargo, que un grupo de investigadores descubre vulnerabilidades de este calado en el protocolo de comunicaciones LTE. Como indican en ZDNET, se han reportado problemas similares en 2015, 2016, 2017 y 2018. ¿Por qué no se han subsanado? Básicamente por que aunque es cierto que algunas se han parcheado, la mayor parte de los esfuerzos se han centrado en el desarrollo y puesta en marcha del nuevo protocolo 5G, que nace de cero para entre otras muchas cosas, acabar con los problemas de seguridad (sin mucho éxito de momento). Para descubrir los problemas de lo que ya parece ser un protocolo más que vulnerable, los investigadores utilizaron el “fuzzing“, una técnica que consiste en inyectar una gran cantidad de datos aleatorios en una aplicación y analizar el output que produce para tratar de identificar anomalías que, en realidad, podrían ser bugs. Más información en https://www.muyseguridad.net/. Glitchpos, el malware que roba números de tarjetas de crédito de puntos de venta Especialistas en ciberseguridad en colaboración con un hacker ético del Instituto Internacional de Seguridad Cibernética reportan la aparición de una nueva variante de malware diseñada para interceptar números de tarjetas de pago; el malware ha estado circulando por algunos foros de hackers maliciosos. El malware, conocido como GlitchPOS, está disponible para su compra en algunos foros de hacking alojados en dark web. Este software malicioso fue detectado por primera vez en febrero y el número de hackers que lo han comprado o usado aún es desconocido. Acorde a los investigadores, este malware cuenta con un diseño funcional y es muy fácil de utilizar; “no se requieren conocimientos avanzados de hacking para ejecutar GlitchPOS”. Los atacantes han estado desplegando el malware a través de un email malicioso, disfrazándolo como un videojuego muy simple. El malware está protegido por un packer desarrollado en VisualBasic, mismo que descifra una biblioteca (la carga útil del malware) cifrada con el packer UPX. “Cuando se descifra la carga útil, se ejecuta GlitchPOS, que captura la memoria del sistema de punto de venta”. Más información en https://noticiasseguridad.com/ Ransomware piewdiepie: archivos encriptados hasta que el youtuber alcance los 100 millones de suscriptores Los suscriptores al canal de YouTube de PewDiePie han decidido tomar medidas drásticas para que el famoso creador de contenido se consolide como el usuario con más suscriptores de la plataforma de vídeos, mencionan expertos de la escuela de hackers éticos del Instituto Internacional de Seguridad Cibernética. Según se ha reportado, algún usuario desconocido desarrolló una variante de ransomware que cifra los archivos de las víctimas y sólo serán descifrados cuando el creador de contenido alcance los 100 millones de suscriptores. Acorde a los instructores de la escuela de hackers éticos la herramienta en cuestión, conocida como PewCrypt, es un ransomware basado en Java que ha cifrado miles de archivos. Aunque esta no es la peor parte; en diciembre pasado fue descubierta una nueva variante de ransomware relacionado con esta campaña, sólo que en esta ocasión el software maligno bloquea los archivos y no cuenta con un modo de recuperación, por lo que las víctimas pierden su información para siempre. Conocido como el ransomware PewDiePie, esta es una versión modificada y mal escrita del popular ransomware ShellLocker, reportan los expertos de la escuela de hackers éticos. El ransomware PewDiePie nunca almacena las claves de cifrado de las víctimas, por lo que los archivos comprometidos permanecerán bloqueados para siempre. Más información en https://noticiasseguridad.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!
