jump to navigation

ESTAFAS EN LA RED: » Chritsmas Estafing»: Estafas Navideñas 18 de noviembre de 2012

Posted by elblogdeangelucho in Alertas / Noticias, Estafas en la Red.
Tags: , , , , , , , , , , , ,
5 comments

   «Chritsmas Estafing «, curioso nombrecito me he inventado ¿verdad?, pero ya sabéis en esto de los peligros en la red hay que poner nombres «extranjeros» para que se conozcan mejor.

   Poneros cómodos porque os espera una entrada un poco larga, pero creo que el tema lo requiere.

    Ya se pueden ver en los centros comerciales, en los medios de comunicación, en todo tipo de publicidad el comienzo de la campaña navidad 2012.

   ¡Qué bonita es la navidad!, cuantos buenos sentimientos se transmiten. Lamentablemente no siempre es así, y este inicio de campaña navideña sirve de indicador para los cibercriminales para comenzar también sus campañas particulares para lanzar sus cañas de pescar a la red, solo tendrán que esperar que sus presas, los internautas menos precavidos, vean el cebo y piquen el anzuelo. Lo demás será muy sencillo y sobre todo beneficioso para el ciberdelincuente que hará buena caja con estos tipos de campañas.

   ¿Cómo van a llegar a nosotros los cibercriminales en “estas fechas tan señaladas”?

   Pues no van a emplear técnicas nuevas, simplemente van a utilizar la mayor vulnerabilidad que se conoce, me refiero a la propia debilidad de las personas, en este caso la credulidad de los internautas.

   Van a utilizar y combinar distintas técnicas que todos conocemos y ya hemos comentado en este blog. Emplearán técnicas de “hacking humano”, la ingeniería social (ver entrada). Se valdrán de masivas campañas de Spam (ver entrada) para poder acceder a nosotros mediante la conocida técnica del phishing (ver entrada). Lanzarán campañas de malware y virus preparados a medida y al efecto para conseguir sus objetivos.

   Llegarán a nosotros por medio de correos electrónicos, por medios de mensajería a través de las distintas plataformas (telefonía móvil, internet, etc). Utilizarán las socorridas redes sociales, para estos menesteres, por medio de mensajes directos.

   En sus “campañas” intentarán hacer pasar por mensajes legítimos o  notificaciones reales de marcas confiables y conocidas por todos.

   Con estas “cibercampañas” maliciosas, nos propondrán la compra del producto estrella de estas navidades a precios de saldo, nos ofrecerán la participación en los juegos de lotería con premios “supermillonarios”, seremos los agraciados de cualquier tipo de sorteo y recibiremos nuestro “premio con premio” con solo ingresar en una página web y aportemos TODOS nuestros datos personales.

   Todo su éxito se basará en atraer la atención del internauta, mediante la sorpresa puesto que no lo han solicitado, ofreciéndole satisfacer las necesidades que en estas fechas navideñas puedan surgir ante la necesidad de comprar regalos, de tener que viajar, de buscar un lugar de vacaciones, de la necesidad de conseguir un dinero extra. Ofrecerán cualquier cosa que haga bajar la guardia del internauta y permita explotar las principales vulnerabilidades humanas, la curiosidad,  la inocencia, la ambición, la confianza, la generosidad especial en navidad, y sobre todo el desconocimiento.

   La finalidad es conseguir que estos usuarios de la red se conviertan en sus víctimas “clientes” potenciales valiéndose de las necesidades que surgen en navidad.

   Para evitar este tipo de acciones no hay que hacer demasiado, no hay que hacer nada que técnico, siempre lo intento transmitir desde el blog. Simplemente debemos utilizar la lógica y el sentido común y para ello debemos evitar el hacer clic en los enlaces que se encuentran en este tipo de mensajes, y mucho menos regalar nuestros datos privados a cualquiera.

   Los cibercriminales cuentan con nuestra vulnerabilidad “humana” pero si la reforzamos romperemos su cadena y no conseguirán sus fines. Y por supuesto siempre que nos encontremos con este tipo de actividades o campañas debemos reportarlos como spam para romperles a ellos su propia cadena.

   A continuación os detallo algunos ejemplos mediante los cuales los cibercriminales pretenden llegar a nosotros.

Estafas en alojamientos vacacionales

   Son épocas vacacionales y muchos, los más afortunados en los tiempos que corren, posiblemente tengan la intención de disfrutar de unos días de vacaciones familiares. De disfrutar de unos días de ski, o pasar la navidad en lugares paradisiacos lejos de la bajas temperaturas que nos ofrece la navidad.

   Nos van a ofrecer paquetes vacacionales, alquileres, cruceros, y todo ello a precios sin ningún tipo de competencia en el sector turístico.

¿Cómo evitarlo?:

  • Comprobar la legitimidad de las agencias de viajes, o empresas que nos proponen las fantásticas ofertas. Pero siempre debemos hacerlo antes de contratar, en el momento que mandemos la mínima cantidad podemos darla por perdida.
  • En caso de ofrecernos alojamientos hoteleros o en complejos turísticos debemos contactar directamente con ellos para comprobar la autenticidad de la oferta.
  • Nunca debemos proporcionar datos de nuestras cuentas bancarias ni datos personales si no estamos completamente seguros de que lo hacemos a una empresa de confianza y por medios seguros.

Estafas en reservas de viajes

   Para dar mayor credibilidad a su “proyecto” de estafa, los cibercriminales crean páginas webs que aparentemente son los sitios webs de compañías legítimas de gestión de vuelos o cualquier otro tipo de transporte.

¿Cómo evitarlo?:

  • Reservar siempre nuestros vuelos y billetes de viaje a través de agencias de viajes o líneas aéreas, férreas o marítimas legítimas. Accediendo directamente a sus páginas webs, no accediendo mediante clics a los links que nos puedan aparece en un correo electrónico o mensaje que pudiera tener origen desconocido.

Estafas aprovechando el espíritu caritativo

   En Navidad muchas organizaciones y ONG,s legítimas aprovechan la buena fe y la caridad de los internautas para conseguir donaciones para sus causas benéficas.

   Los estafadores saben de este espíritu caritativo y por ello intentan aprovecharlo para su propio beneficio lanzando campañas en las que solicitan donaciones de dinero para la compra de alimentos, ropa o para hacer regalos a los niños más necesitados.

   No dudan en imitar campañas legítimas e incluso hacerse pasar por las propias organizaciones.

¿Cómo evitarlo?:

  • Los correos electrónicos que “llevan” a sitios web de caridad pueden utilizar logotipos aparentemente oficiales y utilizar mensajes que los puedan hacer pasar como los genuinos, pero lamentablemente no siempre es así. Si queremos acceder a estos sitios, a los verdaderos, podemos hacerlo accediendo directamente a sus páginas webs no mediante links de desconocidos.
  • Otra forma es poniéndonos directamente en contacto con estas organizaciones para hacer efectivo nuestro aporte.

Estafas en la compra/venta online

   Posiblemente todos hayamos recibido correos electrónicos o mensajes en los que nos ofertan la posibilidad de comprar el producto estrella de la temporada, el smartphone de última generación, el último modelo de videoconsola, o cualquier producto que pueda ser atrayente para el consumidor.

   El precio es inmejorable, pero el “paquete” nunca llega a destino.

¿Cómo evitarlo?:

  • Desconfiemos de los precios excesivamente bajos e inusuales que nos llegue por medio de correos electrónicos o cualquier tipo de mensaje. Los spammer utilizan estas técnicas para llegar a nosotros.
  • Si hemos conseguido encontrar, mediante un anuncio de compra/venta, un vendedor o cliente siempre utilizaremos medios de pago por adelantado o en persona. Los estafadores pedirán utilizar otros tipos de envío de dinero agenos a los cauces normales.
  • La venta de vehículos que se encuentran en Reino Unido con el sistema de conducción europeo es una estafa muy utilizada por ciertas redes de ciberdelincuentes perfectamente organizados.
  • La compra de mascotas, artículos tecnológicos suelen ser también objeto de estafas.

Estafas en la recepción de paquetes “regalo”

   En ocasiones se reciben notificaciones de retirada de cualquier tipo de envió o paquete a nuestro nombre, objeto de algún valioso regalo o premio. Estas notificaciones no llegan del servicio oficial de correos, sino que lo hacen mediante la vía de comunicación de los ciberdelincuentes con los usuarios, el correo electrónico y los mensajes de cualquier tipo.

   Para la retirada de estos falsos envíos siempre es necesario el pago de una cantidad por vías poco seguras.

¿Cómo evitarlo?:

  • Si recibes algún tipo de envío y tienes alguna duda acerca de la autenticidad del mismo, ponte en contacto con la compañía emisora, si es que es una compañía de conocida. Si no lo es ten en cuenta que las formas de contacto que te indiquen en la comunicación también suelen ser parte de la trama delictiva y te engañaran en cuanto a la veracidad del envío.

Tarjeta de Navidad Electrónicas

   En esta época del año no es raro que recibamos todo tipo de felicitaciones navideñas al objeto de hacernos llegar los mejores deseos de nuestra familia, amigos, empresas e incluso de desconocidos. Este tipo de felicitaciones llegan, como siempre, por medio de correos electrónicos, mensajería privada en redes sociales, y de cualquier otro forma en la que un usuario de internet pueda ponerse en contacto con nosotros.

   Normalmente estos mensajes vienen acompañados de archivos de imagen, video e incluso archivos animados de lo mas graciosos y navideños del mundo, incluso de links que nos redireccionan a las páginas webs más acordes a estas fechas y/o próximas a nuestros gustos o aficiones.

   Estos correos no solo traen estos graciosos acompañantes, además suelen traer otro “mensaje” escondido, y no es otro que cualquier tipo de virus o troyanos que al ejecutar el archivo principal hace que se instale en nuestros ordenadores el malware para la obtencición de nuestras credenciales bancarias, accesos a redes sociales e incluso para registrar toda nuestra actividad en el ordenador mediante programas que capturan y registran las pulsaciones del teclado.

¿Cómo evitarlo?:

  • Nunca debemos abrir los correos electrónicos no solicitados, eliminándolos inmediatamente
  • Por muy divertidas que parezcan evitar abrir las e-postales o christmas, incluso si vienen de conocidos y no podemos comprobar si contienen algún tipo de virus, para ello deberemos tener actualizado nuestro antivirus y complementarlo con programas anti-software espía.

Estafas en loterías y premios

   Hay muchos tipos de lotería, sorteos y concursos legales que se anuncian por la red,  sin embargo también los estafadores utilizan este tipo de actividades para llegar a sus víctimas, sobre todo en estas fechas navideñas.

   Estas estafas suelen usar los nombres de las loterías legítimas en cualquier país del mundo o utilizando incluso el nombre de empresas, eventos o personas reales. Por lo general, se nos pedirá pagar ciertas cantidades de dinero al objeto de poder liberar un premio o simplemente para participar en la lotería que nos ofrezcan. Posiblemente os suene de algo las conocidas estafas nigerianas, o Scam 419 (ver entrada)

¿Cómo evitarlo?:

  • Si recibimos una carta, correo electrónico o SMS de un desconocido diciendo que hemos ganado una lotería, a la que nunca hemos jugado….malo lo más probable es que sea una estafa y tenemos que ignorarla, por muy grande que nos parezca el premio.

Estafas en ofertas de falsos empleos

   Según INTECO cerca del 25 por ciento de los fraudes en internet provienen de supuestas ofertas de trabajo, según Inteco.

   En estas fechas en las que se acrecentan la necesidades económicas, muchos se lanzan a la desesperada por internet para buscar trabajo. Los «ciberestafadores» lo saben e intentan facilitarnos la labor contactándo directamente con nosotros vía correo electrónico o cualquier otro tipo de mensajería.

   La estafa más habitual es la que el puesto de trabajo que ofrecen conlleva un pago por adelantado de pequeñas cantidades, para gastos administrativos, envío de documentación o para formación. Pero finalmente el contrato nunca llega.

   Otra técnica, la más peligrosa, consiste en hacer creer al usuario que ganará mucho dinero actuando como mediador en transacciones económicas internacionales. Un negocio atractivo puesto nuestro «jefe» nos enviará una cantidad de dinero a nuestra cuenta corriente, llegando a rondar los 3000 €uros. De esta cantidad nos quedaremos con el 10% como forma de pago por nuestro trabajo, que consistirá en transferir el dinero a terceras personas a través de plataformas de transacciones dinerarias.

   Efectivamente, es más grave de lo que a priori parece, si accedemos a los solicitado puesto que nos estamos convirtiendo en colaboradores necesarios para la comisión de un delito de blanqueo de capitales, esta figura es denominada “mula” o “mulero” y está penada por la ley.

   Como ya os he comentado en otras entradas, la ignorancia de la ley no exime de su cumplimiento, y la culpabilidad exige imputabilidad, o dicho de otra manera, en caso de aceptar este tipo de propuestas de “negocio” NO PODREMOS ALEGAR JAMÁS EL DESCONOCIMIENTO DE LA LEY Y PODRÍAN CONDENARNOS, INCLUSO CON PENAS DE PRISIÓN, POR UN DELITO DE BLANQUEO DE CAPITALES.

¿Cómo evitarlo?:

  • No aceptar ninguna oferta de trabajo que suponga hacer transferencias bancarias de ninguna clase
  • No aceptar ningún tipo de trabajo en la que nos propongan transferir dinero, que previamente nos han remitido, a terceras personas.
  

Espero que la entrada no os haya parecido muy pesada, pero como véis la temática lo requería.

   Si queréis hacer un buen regalo de navidad, y siguiendo con el lema de este blog de Informando y Educando por una red mas segura,  podeis «transmitir» este mensaje a vuestro círculo, a lo mejor evitáis algún disgustillo innecesario a alguno de vuestros contactos que no se encuentre tan informado como vosotros  😉

   Y de paso les podéis transmitir lo que siempre os digo…

    Nosotros somos nuestra peor vulnerabilidad, pero también nuestro mejor antivirus

Por cierto…. «Hacking Christmas» pero como siempre os digo, con lógica y sentido común siempre

Nos vemos en la red…

X1Red+Segura

El cibercrimen no entiende de crisis. 14 de noviembre de 2012

Posted by elblogdeangelucho in Alertas / Noticias.
Tags: , , , , , , , ,
3 comments

   Uno de cada 5 adultos ha sido víctima de ciberdelitos en Internet

   Desde este blog se pretende, como sabéis, concienciar de los peligros de la red para disfrutar de forma segura de lo bueno que nos ofrece Internet. Estoy convencido  de que no es una cuestión de saber más o menos informática, eso es otra «historia», pero de lo que si estoy seguro es de que para «navegar» con las máximas garantías es importante, siempre lo digo, el que conozcamos los peligros que nos acechan en Internet.

Hablamos de spam, phishing, pharming, estafas, fraudes, etc, etc, etc, pero todo se engloba en una única «actividad» , la ciberdelincuencia, de la que cualquiera de nosotros, y sin excepción, podemos ser víctimas si no tomamos medias de protección.

Según una Encuesta Mundial sobre seguridad 2011 realizada en 78 países. El 25% de las empresas encuestadas han sufrido ciberataques en el último periodo de doce meses lo cual es un porcentaje preocupantemente alto, pero según los expertos es aún peor la respuesta de las corporaciones ante esta situación pues no tienen lineas de defensa o protocolos establecidos para ello.

Este porcentaje se traduce en que una de cada cuatro empresas ha sufrido ciberataques en los últimos doce meses pero y a pesar de ello, la mayoría no tiene planes para responder ante lo que pueda suceder si son víctimas del cibercrimen.

Si a nivel empresarial el preocupante el indice de impacto que tiene la ciberdelincuencia, lo es también el que se refleja a nivel usuario de Internet.

Un Estudio sobre Cibercrimen realizado por  Symantec, y en el que se extraen datos de una muestra de 13.000 internautas adultos en 24 países, refleja que 1 de cada 5 internautas adultos ha sido víctima de al menos un ciberdelito. El estudio también desvela nuevos métodos de cibercrimen basados en las redes sociales y los dispositivos móviles.

Una de las principales conclusiones de este informe es la afirmación de que el cibercrimen está en auge. Así la cifra de víctimas de fraudes on-line asciende a 556 millones al año, lo que se traduce en 1,5 millones de usuarios afectados al día. Según Roberto Testa, Consumer Iberia Marketing de Symantec, el número de víctimas ha crecido con respecto al año pasado, aunque se ha reducido el impacto medio de los cibercriminales sobre el usuario. De esta forma, los ataques son dirigidos a un número mayor de internautas pero con una repercusión económica mucho menor, ya que en muchos casos el fradue no supera un euro. A esto Testa añade que los cibercriminales buscan el anonimato y el lucro en sus acciones, más que la fama y notoriedad demandada hace unos años.

Además de esta conclusión, el estudio de Symantec revela la vulnerabilidad de los dispositivos móviles y las redes sociales. Teniendo en cuenta que 2 de cada 3 de los adultos utilizan el dispositivo móvil para acceder a Internet y que 8 de cada 10 han creado un perfil en una red social, la tendencia del cibercrimen se dirige a este público objetivo para realizar cualquier tipo de fraude. Además, el 31% de usuarios móviles recibieron un mensaje de texto de un desconocido para hacer clic en un enlace o marcar un número para escuhar un mensaje de voz, y dos tercios de los usuarios móviles no usan una solución de seguridad para su móvil. En relación a las redes sociales, 4 de cada 10 usuarios de redes sociales han sido víctimas del cibercrimen y una sexta parte de estos usuarios han sufrido el hackeo de su perfil y se han hecho pasar por ellos.

Por su parte, Symantec recomienda medidas básicas para proteger la información personal como cerrar siempre la sesión, comprobar enlaces antes de compartir y un mayor nivel de seguridad en las redes sociales. Además de señalar la importancia de las contraseñas, considerándolas una parte crítica en la seguridad de Internet.

Sin embargo, este estudio también revela que la mayoría de los usuarios de internet tienen hábitos de seguridad en Internet que les ayudan a protegerse frente a cualquier ataque. De este modo, son conscientes de borrar correos sospechosos, contar con una solución de antivirus básica y no abrir archivos adjuntos.

Symantec cuenta con 300 millones de clientes en el mundo y comercializa en España los sistemas de seguridad Norton 360, Norton Antivirus y Norton InternetSecurity.

   Algunos de los datos más relevantes del estudio de Symantec son:

  • Cada segundo, 18 adultos son víctimas de ciberdelitos: es decir, más de un millón y medio de víctimas cada día en todo el mundo.
  • Las pérdidas medias a nivel mundial por víctima son de 152 euros en costes financieros directos.
  • En los últimos 12 meses, cerca de de 556 millones de adultos en el mundo han experimentado algún ciberdelito, cifra que supera a la población total de la Unión Europea.
  • El 46% de los internautas adultos han sido víctimas del cibercrimen en los últimos 12 meses.
  • Uno de cada cinco adultos (21%) ha sido víctima o bien de cibercrimen en redes sociales o a través del dispositivo móvil, y el 39% de los usuarios de redes sociales han sido víctimas de cibercrimen social.
  • El 15% de los usuarios de redes sociales informa que alguien ha accedido sin permiso a su perfil y se han hecho pasar por ellos.
  • El 10% afirma que han sido víctimas de enlaces fraudulentos en las redes sociales.
  • El 44% utiliza una solución de seguridad para que los proteja de amenazas en la redes sociales.
  • El 49% utiliza la configuración de privacidad para controlar qué información comparten y con quién.
  • Casi un tercio (31%) de los usuarios de móviles recibieron un mensaje de texto de alguien que no conocían pidiendo que accedieran a un determinado enlace o marcasen un número desconocido para escuchar un mensaje de voz.
  • El 27% de los internautas adultos ha recibido un mensaje diciéndoles que su contraseña del correo electrónico había sido cambiada.

   Creo que con estos datos tan alarmantes serán los protagonistas de mi próxima entrada en la que intentaré tratar el tema «La ciberdelincuencia y los internautas»

   Si, sé que soy un «cansino» pero creo que es algo que no debemos olvidar…

   Nosotros somos nuestra peor vulnerabilidad, pero también somos nuestro mejor antivirus

   Nos vemos en la red

X1Red+Segura

Fuentes: ciberdelitos.blogspot.com.es  pcactual.com  conecti.ca #opinionpersonal

Phishing y Twitter, ¡el «agujero» perfecto! 8 de noviembre de 2012

Posted by elblogdeangelucho in Alertas / Noticias.
Tags: , , , , , ,
add a comment

«Hey, someone is spreading nasty rumors about you»

   Con esta frase suelen comenzar los mensajes  directos que se están recibiendo últimamente vía Twitter y redes sociales en general.

   A priori, este mensaje directo no tiene porque ocasionar ningún problema, viene de uno de nuestros contactos y además nos está previniendo de que alguien está “propagando falsos rumores por la red sobre nosotros”. ¡Si es nuestro contacto, es nuestro amigo!, ¿verdad?

¡¡¡Error!!!

   Precisamente ese es el error, el “bug”, del que se valen los cibercriminales. En el mensaje nos aparece un link acortado que nos llevará hasta el “origen” de nuestro problema. En principio es allí donde vamos a poder contestar a nuestra pregunta, ¿quién y por qué nos está difamando?, pero nuestro problema queda lejos de unos simples comentarios.

   El Link, en realidad, nos lleva a una página controlada por los “malos” , al acceder a la página nos pedirá que ingresemos nuestro usuario y contraseña de Twitter,  una vez que ingresemos nuestros datos nos aparecerá una pantalla de error, el típico “Error 404”, que nos redireccionará nuevamente a la página real de Twitter. Pero nuestra cuenta ya habrá sido “robada”.

   Si piensas que has podido ser víctima de este tipo de acción deberías considerar la posibilidad de cambiar tu password de acceso por otro, y con la mayor seguridad posible.

   No estaría de más que también comentes a tu contacto que está distribuyendo este tipo de mensajes maliciosos, y que debería “hacérselo” ver por un buen antivirus para cortar la difusión de los mismos.

   Páginas como «safego» o «Virus Total» nos permiten detectar estos links páginas con «premio», pero ya sabéis que la mejor defensa es la utilizacion de la…¡¡¡LÓGICA!!!

   Este tipo de “técnicas de phishing” son utilizadas también en redes sociales como Facebook.

   Cada día estoy más convencido.

   Nosotros somos nuestra peor vulnerabilidad, pero también somos nuestro mejor antivirus.

   Nos vemos en la red

X1Red+Segura

Fuente: abc.es , siliconnews.es

CIBERCONSEJO: Si eres «Ciberempresario» blinda tu puerta de entrada 7 de noviembre de 2012

Posted by elblogdeangelucho in Alertas / Noticias, Ciberconsejos, Seguridad.
Tags: ,
add a comment

   Si tienes una página web desde la que ofreces y vendes tus productos, gestionas datos personales de los usuarios o clientes de tu página, o simplemente tienes un servidor de empresa y es «accesible» desde internet, deberías prestar la máxima atención y securizar tu «ciberempresa» o página web.

   Una mala securización de tu empresa o página web podría terminar con un grave problema para ti y para tus clientes, que tienen el derecho de tener sus datos personales protegidos, y tu la obligación de protegerlos. Además estás dejando, con una seguridad nula, la puerta abierta para que los cibercriminales hagan el «agosto» contigo.

   Está al orden del día el «robo» de datos personales y confidenciales de las bases de datos de «sites» o servidores de grandes compañías y organizaciones. Estos datos confidenciales de usuarios, así como la información «sensible» de la propia empresa,  son utilizados para la realización de algún tipo de fraude, incluso extorsiones en algunos casos a la propia empresa.

   El robo de información sensible y confidencial y su posterior divulgación puede acarrear demandas con graves «consecuencias» económicas de acuerdo a lo estipulado en la Ley Orgánica de Protección de datos de carácter personal (LOPD) (Ley Orgánica 15/1999, de 13 de diciembre)

   Existe la falsa creencia de que sólo las empresas que desarrollan actividades relacionadas con las Nuevas Tecnologías, Internet, etc. están obligadas a cumplir las obligaciones que impone la Ley de Protección de Datos . Pero esta ley es de obligado cumplimiento para TODAS las personas físicas o jurídicas que posean datos de carácter personal de personas físicas

   «Por dato de carácter personal se entiende cualquier información referida a personas físicas (no jurídicas) identificadas o identificables: Nombre y apellidos, dirección, teléfono, DNI, número de la seguridad social, fotografías, firmas, correos electrónicos, datos bancarios, edad y fecha de nacimiento, sexo, nacionalidad, etc.

   El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.»

MORALEJA: Pon un experto en seguridad informática en tu «ciberempresa».

Nos vemos en la red

X1Red+Segura

FUENTE: crear-empresas.com  Internet #opinionpersonal

INGENIERIA SOCIAL: “El hacking humano” 7 de octubre de 2012

Posted by elblogdeangelucho in Artículos, Seguridad.
Tags: , , , , , , , , , ,
5 comments

 “Sólo hay dos cosas infinitas: el universo y la estupidez humana. Y no estoy tan seguro de la primera…”.

Albert Einstein

           

   En esta entrada os voy a presentar, lo que en mi opinión es, el mayor “agujero” de seguridad que podemos encontrarnos en Internet. Es algo que os vengo diciendo siempre al finalizar mis artículos “Nosotros somos nuestra peor vulnerabilidad, pero también somos nuestro mejor antivirus”. En esta ocasión os voy a hablar de “LA INGENIERÍA SOCIAL”.

   Si hasta ahora hemos sido “poco técnicos” en nuestras entradas, en esta lo vamos a ser menos todavía, puesto que además, como es costumbre, vamos a abordar el tema con un lenguaje lo más sencillo posible para que sea comprensible a todos los lectores del blog.

   Como sabéis  los contenidos de este blog siempre están encaminados a la seguridad en la red por parte de cualquier tipo de usuario, pero esencialmente para los más vulnerables, muchos pensaréis que los más vulnerables son los menores y adolescentes, y ciertamente lo son, porque es sabido que las consecuencias de su vulnerabilidad pueden llegar a ser nefastas y que, como ya vimos en entradas anteriores, los ciberdepredadores utilizan la Ingeniería Social para acceder a la información de los menores. Pero en este caso no me refiero únicamente a ellos, vulnerables en internet podemos llegar a serlo todos, incluso los más preparados técnicamente, porque todos podemos ser víctimas de técnicas de Ingeniería Social si no prestamos la suficiente atención.

   La Ingeniería Social no es algo nuevo, como casi ninguna de las actividades delictivas llevadas a cabo por ciberdelincuentes. Las estafas mediante las llamadas “Cartas Nigerianas” ya pretendían beneficiarse de nuestra inocencia llegando a nuestros buzones postales antes de la existencia de Internet, de todos es conocido el llamado “Timo de la Estampita” que popularizó la actriz Lina Moran en la película “Le llamaban la madrina” en la que demostraba cómo se llevaba a efecto este timo. Pues bien estas “estrategias” de engaño simplemente utilizan ahora las nuevas tecnologías

   Según Wikipedia “Ingeniería Social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos”.

   Mi traducción es que la Ingeniería Social es el arte de manipular a la gente para que hagan lo que uno quiere, tal como dar contraseñas e información relativa a su privacidad, seguridad, del lugar donde trabaja o de cualquier sistema informático o red.

¿Qué es la Ingeniería Social?

   El lobo con piel de cordero. Para empezar deciros que en la Ingeniería Social entra en juego, únicamente, la capacidad humana para engañar a otros individuos, equiparable a un “Caballo de Troya” como citan en Hackstory en el artículo de Mercè Molist sobre el tema http://hackstory.net/Ingenier%C3%ADa_social

   Podría decirse que la Ingeniería Social es un conjunto de acciones y técnicas que influyen en la conducta de las personas y dirigidas para conseguir información sobre ellas. Es una práctica estrechamente relacionada con la comunicación entre las personas y que algunos llegan a definir como el arte de conseguir de un tercero cualquier dato que pudiera ser utilizado por un atacante.

   El objetivo de “el Ingeniero Social” es ganarse la confianza de la otra persona con el único fin de engañarla y/o manipularla mediante técnicas de persuasión. Su secreto no es preguntar, realmente, sino la forma de hacer la pregunta, en definitiva podría definirse como “yo te digo lo que tú quieres oír y tú me cuentas lo que yo quiero saber”.

   Un ejemplo de ingeniería social podría ser (algo que intentaron realmente conmigo y que es tan común últimamente generalmente por competencia desleal entre empresas de telefonía), mediante una llamada telefónica alguien se hace pasar por nuestra compañía telefónica, nos pregunta si estamos contentos con el servicio recibido, nos dice que confirmemos nuestro domicilio para verificar que están hablando realmente con el titular de la línea. Llegan a decirnos que para comprobar que son quien realmente dicen no tenemos más que darles el número de nuestro D.N.I y ellos nos contestarán con la letra del mismo (esta letra se obtiene simplemente con una fórmula que asocia y relaciona el número del DNI O NIF con la letra a través de la suma de los diferentes dígitos que contiene) o sea algo que todos podríamos hacer con esa fórmula. Pues con este tipo de artimañas pueden llegar, y de hecho lo hacen, a conseguir toda nuestra información, incluso nuestra información bancaria.

   El éxito de este tipo de técnicas, que como veis no tienen mucho que ver con la informática,  se refuerza con el aprovechamiento de las “vulnerabilidades humanas” y me refiero a la curiosidad, a la inocencia, a la ambición, a la confianza, y sobre todo al desconocimiento.

   Si hablamos de Ingeniería Social estamos obligados a hablar de uno de los ingenieros sociales más famosos de los últimos tiempos,  Kevin Mitnick (conocido como «El Condor» sus «hazañas» lo llevaron a ser calificado por algunos como el hacker más famoso del mundo o incluso, como el más peligroso y más buscado por el FBI.), y quien asegura que la ingeniería social se basa en estos cuatro principios:

  1. Todos queremos ayudar.
  2. El primer movimiento es siempre de confianza hacia el otro.
  3. No nos gusta decir No.
  4. A todos nos gusta que nos alaben.

El bien y el mal de la Ingeniería Social

(gracias al aporte de Andrew Reyes @Telecobydefault)

   La Ingeniería Social suele ser utilizada para hacer el mal en la red y conseguir, con estas técnicas, infomación sensible de otros usuarios, pero no siempre es así, también puede ser utilizada para el bien, es más, normalmente así lo hacemos, utilizamos ciertos «truquillos» de Ingeniería Social para hacer cosas buenas.

   Un buen ingenier@ social no persigue engañar directamente a las fuentes de información que son objeto de tal, sino que simplemente se realiza una tarea de manera encubierta, por lo que ésto no implica directamente, mentir a una persona, por ejemplo. Es por eso que resulta menos evidente su detección.

   Al igual que existe el uso de la ingeniería social para la obtención de información que podría ser usada para perjudicar a aquellas personas que la facilitaron, también existe la “cara B”. La ingeniería social puede ayudar a realizar acciones, qué, de manera encubierta, beneficien a las personas que facilitan la información para que estas acciones tomen lugar. Valga de ejemplo, la manipulación que sufrimos por parte de familiares, cuando en nuestro día de cumpleaños, de manera encubierta nos hacen visitar un sitio determinado, para posteriormente encontrarnos con nuestros amig@s, que nos esperan para la celebración.

¿Qué tiene que ver la Ingeniería Social con la seguridad en Internet?

   Nuestros sistemas informáticos pueden disponer de los antivirus más potentes  y tener instalados los mejores cortafuegos, además podemos disponer del mejor sistema de encriptación para nuestra información confidencial y privada, pero todo eso no sirve de nada si no aseguramos la “puerta de entrada” a todo, me refiero a nosotros mismos, al usuario del sistema

   El principio que sustenta la ingeniería social es el que en cualquier sistema «los usuarios son el eslabón débil», y en Internet no va a ser diferente.

   El principal objetivo de la seguridad informática es asegurar los datos que guardan nuestros ordenadores, o sistemas informáticos, ya sean privados o profesionales, y que estos permanezcan alejados de cualquier “intruso” en nuestro sistema.

   En cuanto a la seguridad de la información en empresas hay que tener en cuenta que una gran parte de las intrusiones en los sistemas informáticos se realizan utilizando datos que se obtienen de sus usuarios mediante diferentes métodos y con la intervención de personas especialmente entrenadas, los ingenieros sociales.

   En la red, un “Ingeniero Social” puede hacerse pasar por nuestro banco, por alguien a quien incluso podríamos conocer en realidad,  un compañero de trabajo,  un cliente, y a quién podríamos revelar alguna de nuestras confidencias.

   Seguro que muchos habréis recibido correos electrónicos en el que se os comunicaba que vuestro banco había sufrido algún tipo de problema y por ello surgía la necesidad que accedieses con vuestras credenciales para subsanar y enmendar el fallo, por supuesto os facilitan el acceso mediante un acceso directo a vuestra Banca Online, por supuesto es una copia casi exacta del banco real. Incluso en ocasiones recibís ese correo sin ser usuarios de esa entidad bancaria.

   En todos los casos se sigue una misma pauta: la posibilidad de alcanzar algo deseable (acceso a datos confidenciales, conseguir dinero, evitar la desconexión del teléfono, etc.)

Otros casos reales podrían ser:

  • Una página web o programa que nos proporciona el historial de conversaciones de nuestros contactos, o simplemente quien nos ha suprimido como contactos de nuestro cliente de mensajería preferido. Para obtener esta información solo tenemos que acceder a dicha web con nuestro usuario y password. Et voilà!!!
  • Un banco nos dice que hemos recibido una cierta cantidad de dinero, y para poder disponer de ese dinero debemos acceder a una página web con nuestras credenciales bancarias. Et voilà!!!
  • Nos ha tocado la lotería (aunque no hayamos jugado) somos multimillonarios y para hacerlo realidad solo tenernos que pagar, en concepto de tasas, una insignificante cantidad de dinero en comparación con el premio. Et voilà!!!

   Pues bien, estas acciones aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, en este caso de la inocencia y credulidad del internauta.

   Este “arte de engañar” puede ser utilizado por cualquiera, normalmente por creadores de malware y ciberdelincuentes que buscan que un usuario revele su contraseña de acceso a un determinado sistema o cualquier otro tipo de información sensible.

   Imagen aportada por Jose Moruno Cadima (@sniferl4bs en twitter) http://sniferl4bs.blogspot.com.es

¿Cómo podemos evitar ser víctimas de Ingeniería Social?

   Simplemente tenemos que “analizar” la situación, no es necesario ser expertos en nada, solo debemos hacernos algunas preguntas lógicas como si nuestro banco se pondría en contacto con nosotros de esa manera, o el motivo que nos toque un premio de la lotería si no hemos jugado.

   En resumidas cuentas las mejores herramientas para protegerse de los ataques de ingeniería social son:

  • El sentido común y la Lógica
  • La Educación
  • La Información

   Identificar los ataques de Ingeniería Social es primordial para poder disfrutar de Internet de forma más segura, por eso os pongo unos pequeños consejos:

  • Nunca revelar mediante mail o cualquier otro medio de comunicación nuestros datos personales (como claves de acceso, números de tarjetas de crédito, cuentas bancarias, etc.).
  • Prestaremos atención a los enlaces que nos lleguen de correos electrónicos que no sean de nuestra confianza y nos soliciten información personal y privada
  • Como se suele decir nadie regala duros a pesetas, por lo que deberemos desconfiar de cualquier tipo de comunicación en la que nos ofrezcan posibilidad de ganar dinero con facilidad.
  • Cuando accedamos a nuestro sistema de banca online deberemos verificar que estamos haciéndolo a la página correcta y no en una página simulada o copiada, normalmente accederemos mediante “https” (Hypertext Transfer Protocol Secure, que  es una combinación del protocolo HTTP  y protocolos criptográficos. Se emplea para lograr conexiones más seguras en la WWW, generalmente para transacciones bancarias o de pagos o cada vez que se intercambie información sensible en Internet).

Hoy más que nunca tiene sentido lo que siempre os digo…

Nosotros somos nuestra peor vulnerabilidad, pero también somos nuestro mejor antivirus

Nos vemos en la red

X1Red+Segura

Fuentes: ticsconsulting.es , hackstory.net  , es.paperblog.com  , Andrew Reyes @Telecobydefault, internet, #opinionpersonal

Confirmado, el «Ransomware» (Virus de la Policía) cabalga con el F.B.I. 28 de septiembre de 2012

Posted by elblogdeangelucho in Alertas / Noticias.
Tags: , , , , , , , , , , ,
add a comment

  

   Supongo que recordáis una entrada en la que os comentaba que el Ransomware, «conocidíííííísimo» virus de la Policía, de la Sgae, del Ukash, a quién en una reciente entrada me atreví a ·rebautizarle como «Virus Mortadelo» por sus múltiples disfraces, y que estaba «cabalgando» de nuevo haciéndose pasar por el Federal Bureau of Intelligence (F.B.I) estadounidense.

   Ver entradas :

El “virus de la Policía” cabalga de nuevo, ahora con el FBI

ALERTA: El virus de la Policía no descansa, solo cambia de disfraz

.

   Pues bien, parece ser que no estaba muy equivocado, hoy aparece la noticia en la página oficial del F.B.I

¿Que no entendeís inglés? no os preocupeís, ¡yo tampoco!, pero ya sabeís que en este blog nos dedicamos a la «traducción» y en este caso contamos con la colaboración inestimable del que todo lo sabe, del «oráculo», de Google que lo tengo «grabado» en mi ordenador.

TRADUCCIÓN CON TRADUCTOR DE GOOGLE

«Los residentes de Tennessee del Este continúan denunciando incidentes sobre la estafa de Internet relativa al REVETON ransomware. REVETON es un visus informático es instalado en un equipo  cuando un usuario visita un sitio web comprometido. Una vez instalado, el ordenador se bloquea mientras se visualiza una advertencia de que el FBI o el Departamento de Justicia ha identificado la computadora como implicada en actividades criminales.

   El mensaje falso aconseja al usuario a pagar una «multa» por medio de un servicio de dinero mediante una tarjeta de prepago, que se desbloqueará el ordenador. Los usuarios se ven amenazados con acciones penales si no realizan  el pago.

   Esto es una estafa para obtener dinero. Las multas resultantes de la actividad criminal son evaluados y tratados por el sistema judicial. El FBI nunca exigirá el pago para desbloquear un equipo.

   Cualquiera que sea víctima de esta estafa debe presentar una denuncia en el  Internet Crime Complaint Center en http://www.ic3.gov. Incluso han conseguido limpiar su equipos, este malware puede permanecer en el sistema y capturar información personal, crear nuevos riesgos de fraude. Las víctimas pueden ponerse en contacto con un profesional de la informática para eliminar el malware de la computadora infectada.»  

   Ver fuente de la noticia en http://www.fbi.gov/knoxville/press-releases/2012/internet-scam-warning-reveton-ransomware?utm_source=twitterfeed&utm_medium=twitter

   Bueno pues como se suele decir en los medios de comunicación «pofesionales»…. les seguiremos informando… 😉 , pero mientras tantes no os olvideis que…

Nosotros somos nuestra peor vulnerabilidad pero también nuestro mejor antivirus.

Nos vemos en la Red

X1Red+Segura

Fuente: http://www.fbi.gov

Seguridad Básica en la Red (II): Pautas sobre Protección de Privacidad a seguir en la red 23 de septiembre de 2012

Posted by elblogdeangelucho in Seguridad.
Tags: , , , ,
add a comment

   La privacidad de nuestros datos personales es importante y por ello debemos protegerla, por nuestra propia seguridad y la de terceros. 

   En las distintas entradas de este blog ya quedaron claros los riesgos a los que estamos expuestos si hacemos públicos nuestros “bienes más preciados” en la red, que son los relativos a nuestra privacidad.

   Para evitarlos es aconsejable seguir unas pautas básicas de protección de nuestra privacidad.

  • En Internet debéis proteger no solo vuestra propia privacidad, sino que también debéis respetar y proteger la información de terceros, no difundiéndola y haciéndola pública sin su conocimiento y consentimiento.
  • Cuando nos demos de alta en una red social, página web, blog, etc., debemos leer la política de privacidad que el sitio nos ofrece, estableciendo los límites sobre quien puede tener acceso a nuestros datos y limitando lo que puede ser público o privado, evitando con ello que cualquier usuario pueda tener acceso a nuestra privacidad.
  • Los datos o señas que hagamos públicos no permitirán a desconocidos nuestra identificación. Para ello, en el caso de los “nicks” que utilicemos no darán pistas sobre datos privados como edad, lugar de residencia, etc., creando con ello una verdadera “identidad digital”.
  • En nuestras publicaciones no aportaremos información confidencial o privada que no queráis que recaiga en manos de terceros, al igual que no lo haríais en vuestra “vida real”.
  • Si difundís imágenes o videos evitar que este hecho delate vuestra privacidad si los compartís en “zonas públicas” de la red, y por supuesto que no delaten la identidad y privacidad de terceras personas. Una fotografía puede aportar más información que la que se ve a simple vista e incluso aportar información que realmente no se ve (información oculta en el propio archivo que podría incluso “delatar” el lugar geográfico exacto desde donde se hizo la fotografía”

Ya sabéis lo que os digo siempre

Nosotros mismos somos nuestra peor vulnerabilidad, pero también somos nuestro mejor antivirus

Nos vemos en la red

ALERTA: El virus de la Policía no descansa, solo cambia de disfraz 19 de septiembre de 2012

Posted by elblogdeangelucho in Alertas / Noticias, Seguridad.
Tags: , , , , , , ,
2 comments

   Esta noticia la he leído en InfoSpyware una de mis principales fuentes de información en cuanto a malware en la red, y que os recomiendo que tengáis entre vuestros favoritos, para mí un referente de X1Red+Segura, y además porque os ayudará a estar más seguros en la red.

   Yo sé que a los seguidores, si es que hay alguno, de este blog, no les pillará de sorpresa esta noticia, puesto que deberían tener ya la lección bien aprendida para no caer en estos “engaños”

   El tema es que un viejo conocido vuelve a la carga,  en esta ocasión, y dada la confianza que ya tenemos con el, le voy a bautizar yo como “El virus Mortadelo” 😉 en memoria al famoso personaje creado por Francisco Ibañez y que aparece en los comics “Mortadelo y Filemón”. Evidentemente el nuevo nombre de este “amigo” es por su capacidad para disfrazarse de cualquier cosa.

   Supongo que ya os imaginareis que me refiero al archiconocido malware “Ransomware”, del que existen varias entradas en este blog (ver entradas), conocido como el “Virus de la Policía”, “Virus de la SGAE”, “Virus de la Gendarmería Francesa”, “Virus del FBI”, etc, etc, etc.

   Ya vimos, en entradas anteriores, concretamente en su versión “FBI”, que los cibercriminales habían cambiado su “modus operandi” con “el virus Mortadelo” 😉 combinándolo con un troyano bancario, el “Citadel”. (ver entrada)

   Pués bien, en esta nueva entrega los malos vuelven a utilizar la “combinatoria”, en este caso combinan a nuestro “amiguito” con un rogue, Recordaréis que los rogues son falsos antivirus  que se hace pasar por uno conocido para infectar nuestros equipos (ver entradas sobre rogues).

   En esta ocasión, y no es la primera vez que lo hace según nos informó ya InfoSpyware, el ransomware se camufla con un rogue emulando al antivirus gratuito de MICROSOFT, el Microsoft Security Essentials te ayuda a protegerte de virus, spyware y otros software malintencionados.

   Os reproduzco a continuación la entrada a InfoSpyware donde nos informa de esta nueva cara de nuestro “Mortadelo” y que podéis ver en

http://www.infospyware.com

 

   Microsoft Security Essentials es uno de los antivirus gratuitos más populares y no es nada nuevo que aparezcan versiones falsas de este (como ya hemos comentado anteriormente) que intenten engañar a los usuarios incautos.

   En este caso nos encontramos con un nuevo espécimen que tiene la particularidad de que aparte de ser un “Falso Antivirus” disfrazado como ‘Microsoft Security Essentials’ (MSE), utiliza técnicas de Ransomware secuestrando el sistema, alegando que este será bloqueado por razones de seguridad y solo podrá ser liberado a cambio la compra de un ‘módulo especial’ que obviamente es parte del timo.

Recordemos el ransomware es un tipo de virus informático (malware) que se caracteriza por secuestrar el acceso al sistema o archivos a cambio de un pago y de los que hemos venido hablando mucho @InfoSpyware debido al famoso “Virus de la Policía”

 Características del Fake MSE Alert:

 Propagación: A diferencia de sus primos ransomwares, este No se aprovecha de ninguna vulnerabilidad conocida o desconocida de JAVA y requiere si la ejecución de un archivo para infectar el sistema en primera instancia, como lo hacen la mayoría de los falsos AVs.

 Scareware: Su mensaje de alerta en lugar de ocupar toda la pantalla, se abre en forma de ventana emergente, simulando así las ventanas de alerta de ‘Microsoft Security Essentials’ en donde alerta que su sistema será bloqueado por razones de seguridad, mostrando además una seria de supuestos archivos infectados que dice son por visitar sitios webs pornográficos o infectados. Ver imagen de arriba.

 Estafa. Avisa a la víctima que podrá liberar su sistema, luego de enviar un pago a través Paysafecard o Ukash, para poder añadirle un ‘módulo especial’ para limpiar el sistema de esos malwares (algo que obviamente no existe y es parte del timo.) Ver imagen de abajo:

 

Bloqueos: No bloquea el acceso al ‘Task Manager’ ni al reinicio en ‘Modo Seguro’ del sistema.

 Eliminación: Su eliminación es relativamente sencilla, simplemente quitando esta llave del registro y su archivo: O4 – HKCU/../Run: [SkypePM] C:/Documents and Settings/Local Settings/Application Data/Skype/SkypePM.exe

 Detección. Al momento de enviar la muestra provista por el investigador francés (@Xylitol) a  VirusTotal, solo 24/42 AVs lo detectaron como malware, e irónicamente el verdadero ‘Microsoft Security Essentials’  no lo pudo detectar 😦 cuac!

   Deciros que la propia página de InfoSpyware aporta información para eliminar el «Ransomware».

   También podéis volver a «visitar» las entradas de este blog en la que se habla de la desinfección de nuestro querido amigo «Virus Mortadelo»

Desinfección de Rasomware

Siempre os lo digo

   Nosotros mismos somos nuestra peor vulneabilidad pero también nuestro mejor antivirus

Nos vemos en la red

X1Red+Segura