jump to navigation

Windows 8 no llega solo, “viene con premio” 5 de noviembre de 2012

Posted by elblogdeangelucho in Alertas / Noticias.
Tags: , , , , , , , , , , , ,
1 comment so far

     

   Hace apenas una semana que vio la luz el nuevo sistema operativo de Microsoft, Windows 8, y ya ha sido blanco de los cibercriminales para atacar a sus usuarios finales.

   Se han detectado dos “vulnerabilidades”, pero en realidad, como siempre, el fallo principal se encuentra en los propios usuarios.

   La primera de las amenazas se nos presenta en forma de troyano que, disfrazándose de antivirus, adopta el nombre de ‘Win 8 Security System’, recordar la entrada “Rogues: los falsos antivirus”. Realmente este falso antivirus es un  troyano denominado TROJ_FAKEAV.EHM. Los ciberdelincuentes, envían a los usuarios un banner de alerta que afirma que un virus ha invadido el sistema. De esta forma, el programa malicioso consigue que las personas instalen una aplicación para eliminarlo del ordenador, que en realidad es el troyano.

    Recordar que este tipo malware nos ofrece como solución,  al “falso problema vírico”,  el pago ede una cierta cantidad de dinero para descargarnos un programa o parche que solucionaria el problema de infección. Además de la propia estafa mediante el pago de esta cantidad, al descargarnos el falso antivirus, que es en realidad el verdadero virus,  el “nuevo inquilino” se encargará de explorar el equipo en busca de contraseñas, cuentas bancarias o información sensible de nuestros equipos. Esta información es utilizada por los ciberdelincuentes con la intención de hacer daño o lucrarse mediante los datos personales y sensibles obtenidos a las víctimas, llegando incluso a traficar con la misma poniéndola a disposición de terceras personas para su utilización con los mismos fines delictivos.

    Por otro lado, además del problema “virico”, parece ser que se encuentra en marcha una nueva campaña de “phishing” aprovechando el lanzamiento de Windows 8. Los ciberdelincuentes,  mediante técnicas de ingeniería social, y haciéndose pasar  por el “equipo de Microsoft Windows 8″, envían correos en los que prometen ‘la descarga gratuita de Windows 8′, tras la visita, de los destinatarios víctimas, a una página web maliciosa donde deben registrarse y aportar todos sus datos personales

   Para evitar todos estos problemas siempre se os recomienda, desde este blog, la necesidad de ser cuidadosos a la hora de abrir los archivos recibidos y emplear la lógica a la hora de seguir las instrucciones plasmadas en cualquier tipo de comunicación de dudosa procedencia.

   Y como siempre os digo…

   Nosotros somos nuestra peor vulnerabilidad, pero también somos nuestro mejor antivirus.

   Nos vemos en la red

X1Red+Segura

Fuentes: muycomputer.com  siliconnews.es  #Internet

INGENIERIA SOCIAL: “El hacking humano” 7 de octubre de 2012

Posted by elblogdeangelucho in Artículos, Seguridad.
Tags: , , , , , , , , , ,
5 comments

 “Sólo hay dos cosas infinitas: el universo y la estupidez humana. Y no estoy tan seguro de la primera…”.

Albert Einstein

           

   En esta entrada os voy a presentar, lo que en mi opinión es, el mayor “agujero” de seguridad que podemos encontrarnos en Internet. Es algo que os vengo diciendo siempre al finalizar mis artículos “Nosotros somos nuestra peor vulnerabilidad, pero también somos nuestro mejor antivirus”. En esta ocasión os voy a hablar de “LA INGENIERÍA SOCIAL”.

   Si hasta ahora hemos sido “poco técnicos” en nuestras entradas, en esta lo vamos a ser menos todavía, puesto que además, como es costumbre, vamos a abordar el tema con un lenguaje lo más sencillo posible para que sea comprensible a todos los lectores del blog.

   Como sabéis  los contenidos de este blog siempre están encaminados a la seguridad en la red por parte de cualquier tipo de usuario, pero esencialmente para los más vulnerables, muchos pensaréis que los más vulnerables son los menores y adolescentes, y ciertamente lo son, porque es sabido que las consecuencias de su vulnerabilidad pueden llegar a ser nefastas y que, como ya vimos en entradas anteriores, los ciberdepredadores utilizan la Ingeniería Social para acceder a la información de los menores. Pero en este caso no me refiero únicamente a ellos, vulnerables en internet podemos llegar a serlo todos, incluso los más preparados técnicamente, porque todos podemos ser víctimas de técnicas de Ingeniería Social si no prestamos la suficiente atención.

   La Ingeniería Social no es algo nuevo, como casi ninguna de las actividades delictivas llevadas a cabo por ciberdelincuentes. Las estafas mediante las llamadas “Cartas Nigerianas” ya pretendían beneficiarse de nuestra inocencia llegando a nuestros buzones postales antes de la existencia de Internet, de todos es conocido el llamado “Timo de la Estampita” que popularizó la actriz Lina Moran en la película “Le llamaban la madrina” en la que demostraba cómo se llevaba a efecto este timo. Pues bien estas “estrategias” de engaño simplemente utilizan ahora las nuevas tecnologías

   Según Wikipedia “Ingeniería Social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos”.

   Mi traducción es que la Ingeniería Social es el arte de manipular a la gente para que hagan lo que uno quiere, tal como dar contraseñas e información relativa a su privacidad, seguridad, del lugar donde trabaja o de cualquier sistema informático o red.

¿Qué es la Ingeniería Social?

   El lobo con piel de cordero. Para empezar deciros que en la Ingeniería Social entra en juego, únicamente, la capacidad humana para engañar a otros individuos, equiparable a un “Caballo de Troya” como citan en Hackstory en el artículo de Mercè Molist sobre el tema http://hackstory.net/Ingenier%C3%ADa_social

   Podría decirse que la Ingeniería Social es un conjunto de acciones y técnicas que influyen en la conducta de las personas y dirigidas para conseguir información sobre ellas. Es una práctica estrechamente relacionada con la comunicación entre las personas y que algunos llegan a definir como el arte de conseguir de un tercero cualquier dato que pudiera ser utilizado por un atacante.

   El objetivo de “el Ingeniero Social” es ganarse la confianza de la otra persona con el único fin de engañarla y/o manipularla mediante técnicas de persuasión. Su secreto no es preguntar, realmente, sino la forma de hacer la pregunta, en definitiva podría definirse como “yo te digo lo que tú quieres oír y tú me cuentas lo que yo quiero saber”.

   Un ejemplo de ingeniería social podría ser (algo que intentaron realmente conmigo y que es tan común últimamente generalmente por competencia desleal entre empresas de telefonía), mediante una llamada telefónica alguien se hace pasar por nuestra compañía telefónica, nos pregunta si estamos contentos con el servicio recibido, nos dice que confirmemos nuestro domicilio para verificar que están hablando realmente con el titular de la línea. Llegan a decirnos que para comprobar que son quien realmente dicen no tenemos más que darles el número de nuestro D.N.I y ellos nos contestarán con la letra del mismo (esta letra se obtiene simplemente con una fórmula que asocia y relaciona el número del DNI O NIF con la letra a través de la suma de los diferentes dígitos que contiene) o sea algo que todos podríamos hacer con esa fórmula. Pues con este tipo de artimañas pueden llegar, y de hecho lo hacen, a conseguir toda nuestra información, incluso nuestra información bancaria.

   El éxito de este tipo de técnicas, que como veis no tienen mucho que ver con la informática,  se refuerza con el aprovechamiento de las “vulnerabilidades humanas” y me refiero a la curiosidad, a la inocencia, a la ambición, a la confianza, y sobre todo al desconocimiento.

   Si hablamos de Ingeniería Social estamos obligados a hablar de uno de los ingenieros sociales más famosos de los últimos tiempos,  Kevin Mitnick (conocido como “El Condor” sus “hazañas” lo llevaron a ser calificado por algunos como el hacker más famoso del mundo o incluso, como el más peligroso y más buscado por el FBI.), y quien asegura que la ingeniería social se basa en estos cuatro principios:

  1. Todos queremos ayudar.
  2. El primer movimiento es siempre de confianza hacia el otro.
  3. No nos gusta decir No.
  4. A todos nos gusta que nos alaben.

El bien y el mal de la Ingeniería Social

(gracias al aporte de Andrew Reyes @Telecobydefault)

   La Ingeniería Social suele ser utilizada para hacer el mal en la red y conseguir, con estas técnicas, infomación sensible de otros usuarios, pero no siempre es así, también puede ser utilizada para el bien, es más, normalmente así lo hacemos, utilizamos ciertos “truquillos” de Ingeniería Social para hacer cosas buenas.

   Un buen ingenier@ social no persigue engañar directamente a las fuentes de información que son objeto de tal, sino que simplemente se realiza una tarea de manera encubierta, por lo que ésto no implica directamente, mentir a una persona, por ejemplo. Es por eso que resulta menos evidente su detección.

   Al igual que existe el uso de la ingeniería social para la obtención de información que podría ser usada para perjudicar a aquellas personas que la facilitaron, también existe la “cara B”. La ingeniería social puede ayudar a realizar acciones, qué, de manera encubierta, beneficien a las personas que facilitan la información para que estas acciones tomen lugar. Valga de ejemplo, la manipulación que sufrimos por parte de familiares, cuando en nuestro día de cumpleaños, de manera encubierta nos hacen visitar un sitio determinado, para posteriormente encontrarnos con nuestros amig@s, que nos esperan para la celebración.

¿Qué tiene que ver la Ingeniería Social con la seguridad en Internet?

   Nuestros sistemas informáticos pueden disponer de los antivirus más potentes  y tener instalados los mejores cortafuegos, además podemos disponer del mejor sistema de encriptación para nuestra información confidencial y privada, pero todo eso no sirve de nada si no aseguramos la “puerta de entrada” a todo, me refiero a nosotros mismos, al usuario del sistema

   El principio que sustenta la ingeniería social es el que en cualquier sistema “los usuarios son el eslabón débil”, y en Internet no va a ser diferente.

   El principal objetivo de la seguridad informática es asegurar los datos que guardan nuestros ordenadores, o sistemas informáticos, ya sean privados o profesionales, y que estos permanezcan alejados de cualquier “intruso” en nuestro sistema.

   En cuanto a la seguridad de la información en empresas hay que tener en cuenta que una gran parte de las intrusiones en los sistemas informáticos se realizan utilizando datos que se obtienen de sus usuarios mediante diferentes métodos y con la intervención de personas especialmente entrenadas, los ingenieros sociales.

   En la red, un “Ingeniero Social” puede hacerse pasar por nuestro banco, por alguien a quien incluso podríamos conocer en realidad,  un compañero de trabajo,  un cliente, y a quién podríamos revelar alguna de nuestras confidencias.

   Seguro que muchos habréis recibido correos electrónicos en el que se os comunicaba que vuestro banco había sufrido algún tipo de problema y por ello surgía la necesidad que accedieses con vuestras credenciales para subsanar y enmendar el fallo, por supuesto os facilitan el acceso mediante un acceso directo a vuestra Banca Online, por supuesto es una copia casi exacta del banco real. Incluso en ocasiones recibís ese correo sin ser usuarios de esa entidad bancaria.

   En todos los casos se sigue una misma pauta: la posibilidad de alcanzar algo deseable (acceso a datos confidenciales, conseguir dinero, evitar la desconexión del teléfono, etc.)

Otros casos reales podrían ser:

  • Una página web o programa que nos proporciona el historial de conversaciones de nuestros contactos, o simplemente quien nos ha suprimido como contactos de nuestro cliente de mensajería preferido. Para obtener esta información solo tenemos que acceder a dicha web con nuestro usuario y password. Et voilà!!!
  • Un banco nos dice que hemos recibido una cierta cantidad de dinero, y para poder disponer de ese dinero debemos acceder a una página web con nuestras credenciales bancarias. Et voilà!!!
  • Nos ha tocado la lotería (aunque no hayamos jugado) somos multimillonarios y para hacerlo realidad solo tenernos que pagar, en concepto de tasas, una insignificante cantidad de dinero en comparación con el premio. Et voilà!!!

   Pues bien, estas acciones aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, en este caso de la inocencia y credulidad del internauta.

   Este “arte de engañar” puede ser utilizado por cualquiera, normalmente por creadores de malware y ciberdelincuentes que buscan que un usuario revele su contraseña de acceso a un determinado sistema o cualquier otro tipo de información sensible.

   Imagen aportada por Jose Moruno Cadima (@sniferl4bs en twitter) http://sniferl4bs.blogspot.com.es

¿Cómo podemos evitar ser víctimas de Ingeniería Social?

   Simplemente tenemos que “analizar” la situación, no es necesario ser expertos en nada, solo debemos hacernos algunas preguntas lógicas como si nuestro banco se pondría en contacto con nosotros de esa manera, o el motivo que nos toque un premio de la lotería si no hemos jugado.

   En resumidas cuentas las mejores herramientas para protegerse de los ataques de ingeniería social son:

  • El sentido común y la Lógica
  • La Educación
  • La Información

   Identificar los ataques de Ingeniería Social es primordial para poder disfrutar de Internet de forma más segura, por eso os pongo unos pequeños consejos:

  • Nunca revelar mediante mail o cualquier otro medio de comunicación nuestros datos personales (como claves de acceso, números de tarjetas de crédito, cuentas bancarias, etc.).
  • Prestaremos atención a los enlaces que nos lleguen de correos electrónicos que no sean de nuestra confianza y nos soliciten información personal y privada
  • Como se suele decir nadie regala duros a pesetas, por lo que deberemos desconfiar de cualquier tipo de comunicación en la que nos ofrezcan posibilidad de ganar dinero con facilidad.
  • Cuando accedamos a nuestro sistema de banca online deberemos verificar que estamos haciéndolo a la página correcta y no en una página simulada o copiada, normalmente accederemos mediante “https” (Hypertext Transfer Protocol Secure, que  es una combinación del protocolo HTTP  y protocolos criptográficos. Se emplea para lograr conexiones más seguras en la WWW, generalmente para transacciones bancarias o de pagos o cada vez que se intercambie información sensible en Internet).

Hoy más que nunca tiene sentido lo que siempre os digo…

Nosotros somos nuestra peor vulnerabilidad, pero también somos nuestro mejor antivirus

Nos vemos en la red

X1Red+Segura

Fuentes: ticsconsulting.es , hackstory.net  , es.paperblog.com  , Andrew Reyes @Telecobydefault, internet, #opinionpersonal

Phishing: Robos por internet 11 de mayo de 2012

Posted by elblogdeangelucho in Estafas en la Red.
Tags: , , , , ,
4 comments

El phishing o robo de identidad es un tipo de ingeniería social que intenta conseguir, mediante engaños, datos personales del usuario, ya sean datos bancarios números de tarjeta de crédito, contraseñas, datos de cuenta u otro tipo de información.

Los autores de estos fraudes son unos artistas del engaño, con conocimientos técnicos informáticos elevados, utilizan el envío masivo de mensajes de cualquier tipo y de forma indiscriminada (SPAM), redireccionan a las víctimas a sitios Web falsos que emulan páginas reales utilizando mensajes de correo electrónico falsos y últimamente incluso mensajería tipo WhatsApp, normalmente piden que hay que ingresar nuestros datos para actualizarlos, como mera comprobación, o para acceder a un nuevo servicio.

El enlace que nos facilitan emulando la página web verdadera, aunque parezca que apunta al servidor real, redirige hacia otro servidor controlado por el atacante que simula ser el original, normalmente imitando su diseño y contenido, aunque los datos que introduzcamos en él se enviarán al phisher.

¿Qué buscan?

La finalidad principal del phishing es el obtener nuestras credenciales bancarias o datos personales, que son utilizados posteriormente para la comisión de distintas fechorías, en las que nos convertimos en víctimas fáciles si no ponemos las medidas de seguridad adecuadas para evitar el engaño.

Los datos personales utilizados los utilizan para acceder con nuestra propia identidad:

  • En nuestras cuentas de correo, para continuar la cadena de envíos a nuestros contactos o para envíos de correos desde nuestra identidad con fines……
  • En nuestros perfiles en redes sociales, para hacerse pasar por nosotros con fines….
  • En nuestros servicios de banca online, la verdad que aquí no se el fin que persiguen 😥 €€€
  • Para abrir nuevas cuentas en nuestro nombre
  • Para obtener documentos oficiales mediante el uso de nuestra identidad.

¿Cómo podemos detectar este tipo de mensajes?

  • Los phishers pueden simular empresas legítimas, y utilizan correos electrónicos que también simulan a la empresa “clonada” para solicitar información personal e inducir a los destinatarios a responder a través de sitios Web maliciosos.
  • Los phishers utilizan el engaño para tentar a los destinatarios a responder.
  • Los sitios de robo de identidad parecen sitios legítimos, ya que tienden a utilizar las imágenes de copyright de los sitios legítimos.
  • Las solicitudes de información confidencial por correo electrónico o mensajería instantánea, por lo general, no son legítimas.
  • Pueden pedir que realice una llamada telefónica. Las estafas de suplantación de identidad (phishing) telefónicas le indican que llame a un número de teléfono en el cual una persona o una unidad de respuesta de audio esperan para conseguir su número de cuenta, su número de identificación personal, su contraseña u otros datos personales valiosos.
  • Los mensajes fraudulentos generalmente no están personalizados y es posible que compartan propiedades similares, como detalles en el encabezado y en el pie de página.
  • Todo tipo de mensaje de correo electrónico que solicita información bancaria es probablemente una estafa de suplantación de identidad. La mayoría de los bancos legítimos no requerirán esta información vía correo electrónico.

¿Qué debo hacer si creo haber respondido a una estafa de suplantación de identidad?

Siga estos pasos para minimizar todos los daños si sospecha que ha respondido a una estafa de suplantación de identidad con información personal o financiera o que ha ingresado esta información dentro de un sitio web falso.

  • Cambie las contraseñas o PIN en todas sus cuentas en línea que podrían estar comprometidas, según su opinión.
  • Presente una alerta de fraude en sus informes crediticios. Hable con su banco o consejero financiero si no se siente seguro acerca de cómo realizar este paso.
  • Póngase en contacto directo con el banco o el comerciante en línea. No siga el vínculo que aparece en el correo electrónico fraudulento.
  • Si sabe de alguna cuenta a la cual se obtuvo acceso o que fue abierta de manera fraudulenta, ciérrela.
  • Revise sus estados bancarios y de tarjeta de crédito con regularidad por mes con el fin de descubrir cargos o solicitudes sin explicación que usted no inició.

Desgraciadamente, los usuarios suelen caer en este tipo de engaños muy fácilmente, por diversas razones y variadas ayudándose básicamente en una falta de conocimiento por parte de los usuarios del funcionamiento de este tipo de engaños/estafas/robos de identidad.

Por tanto, la mayoría de medidas técnicas que se tomen, ya sea desde el navegador mediante avisos, uso de certificados,… no sirven para casi nada.

Es necesario apostar por una educación de los usuarios ante el uso de este tipo de servicios, de forma que estos sean conscientes de los riesgos que toman a la hora de navegar por Internet y de introducir sus datos tan libremente.

El consejo más importante que se puede dar para evitar el phishing es no pulsar nunca en enlaces sospechosos, y menos todavía facilitar nuestros datos personales o credenciales de acceso de forma gratuita para evitarnos más de un problema

Emplead la lógica y sobre todo no olvidéis que..

Vosotros mismos sois vuestra peor vulnerabilidad pero también vuestro mejor antivirus

Fuente: Internet