Explorando el mercado de las contraseñas robadas

diciembre 31, 2012 § Deja un comentario

No hace mucho, las PCs comprometidas con malware eran aprovechadas para un número limitado de usos fraudulentos, incluyendo el spam, el fraude de click y los ataques de denegación de servicio (DoS). En estos días, los ladrones de computadoras están extrayendo y vendiendo una gama mucho más amplia de datos robados de los sistemas comprometidos, incluyendo contraseñas y credenciales de correo electrónico ligados a una variedad de sitios de venta en Internet.

Este negocio vende credenciales de cuentas
activas de docenas de negocios líderes.

Al frente de esta tendencia están los kits de creación de botnets tales como Citadel, ZeuS y SpyEye, que hacen simple a los criminales el armarse de una colección de computadoras comprometidas. Por defecto, la mayoría del malware bot extrae cualquier contraseña almacenada en el navegador de la PC de la víctima, e interceptará y registrará cualquier credencial enviada en formularios web, tales como cuando un usuario ingresa su número de tarjeta de crédito, dirección, etc. en una tienda de venta en Internet.

Algunos de los datos más valiosos extraídos de las computadoras hackeadas es la información para ingresar (login) al banco. Pero la información de ingreso a sitios no financieros también es valiosa, particularmente para los turbios negocios en linea que recogen y revenden esta información.

Información de ingreso para todo desde Amazon.com hasta Walmart.com está a menudo a la venta ya sea  al por mayor o separada por nombre de negocio -en ciertos foros criminales del bajo mundo. Un delincuente que opera una botnet Citadel de un tamaño respetable (algunos miles de bots por ejemplo) puede esperar acumular rápidamente enormes volúmenes de “logs“, registros de credenciales de usuarios e historial de navegación de las PC de las víctimas. Sin siquiera llegar a eso, encontré varios individuos en foros del bajo mundo web que venden acceso a los logs de su botnet al por mayor; por ejemplo, un usuario de la botnet Andrómeda estaba vendiendo acceso a 6 gigabytes de logs de bot por una tarifa plana de u$s150.

El servicio “Freshotools” vende una variedad
de credenciales hackeadas de tiendas.

Cada vez más, los delincuentes están estableciendo sus vidrieras para vender las credenciales robadas para un paseo de compras completo de establecimientos en Internet. Freshtools, por ejemplo, vende usuarios y contraseñas robadas para cuentas activas overstock.com, dell.com, walmart.com, por u$s2 cada una. El sitio también ofrece cuentas fedex.com y ups.com por u$s5 cada una, sin dudad para permitir esquemas de re-despachos fraudulentos. Las cuentas que vienen con credenciales y su correspondiente cuenta de correo electrónico relacionado con cada sitio pueden conseguir uno o dos dólares más.

Otro sitio ampliamente publicitado en el mercado negro de Internet (ver captura) trafica credenciales para un rango muy amplio de negocios, la mayoría de los cuales se consiguen por u$s2, incluyendo a amazon.com, apple.com, autotrader.co.uk, bestbuy.com, bloomgingdales.com, bol.com, cdw.com, drugstore.com, ebay.co.uk, ebay.com, facebook.com, gamestop.com, gumtree.com, kohls.com, logmein.com, lowes.com, macys.com, mylikes.com, newegg.com, next.co.uk.com, okpay.com, paypal.com, payza.com, runescape.com, sephora.com, skype.com, target.com, toysrus.com, ukash.com, verizon.com, walmart.com, xoom.com y zappos.com. Cuentas en estos negocios que tengan tarjetas de crédito o cuentas de banco relacionadas se venden a mayor precio.

La tienda “Pentagon” vende una gama de
credenciales de tiendas desde u$s1 to u$s5.

Estos negocios son apenas un ejemplo del concepto que vengo intentando de difundir en los lectores acerca de los muchos y múltiples usos de una PC hackeada. Una de las ideas que intento comunicar con el tráfico de una PC hackeada es que casi todos los aspectos de una computadora hackeada y de la vida online del usuario puede ser y ha sido convertido en mercancía. Si tiene valor y puede ser vendido, puede estar seguro que hay un servicio o producto ofrecido en el mercado negro ciber-criminal para hacerlo dinero. Una vez más, no he encontrado hasta ahora una excepción a esta regla.

Traducción: Raúl Batista – Segu-Info
Autor: Brian Krebs
Fuente: Krebs on Security

Anuncios

Argentina: atacaron la página web de Defensa y prometen difundir información confidencial (Argentina)

diciembre 30, 2012 § 1 comentario

Como se veía la página según el cache de Google.
(Ahora está caida. 22:50hs)

Delincuentes, supuestamente peruanos, defacearon la página web del Ministerio de Defensa, coincidiendo con días difíciles en la cartera que dirige Arturo Puricelli, cuyo relevo se especula es próximo. Los intrusos afirman que han accedido a información confidencial que difundirán próximamente.

A las 19:40 hora argentina sigue defaceada la página web del Ministerio de Defensa argentino.
Un grupo supuestamente peruanos tomaron control del sitio web del Ministerio de Defensa de la Argentina y anunciaron la próxima difusión de información clasificada.

Esto ocurre en días en que comienza a especularse con el relevo del ministro de Defensa, Arturo Puricelli, y de una competencia por quién será su relevo, si eso sucediera.

También de una tensa situación luego de que Puricelli no pudo ‘cargarse’ al subjefe del Ejército, general César Milani, quien por ahora sigue siendo quien manda en esa cartera, poniendo en entredicho la continuidad del general Luis Alberto Pozzi como jefe del Estado Mayor ‘verde’.

Además, Puricelli no pudo cumplirse al vicealmirante Daniel Martín la promesa de que se anunciaría su ascenso a almirante.

Es decir, la situación se encuentra muy agitada entre los uniformados y áreas de influencia.
Los hacktivistas del grupo “LulzSecPeru”, identificados como “desh501” y “Cyber-rat” colocaron un isologo de su organización en la homepage del citado ministerio argentino.

Asimismo, difundieron una lista del personal que labora en dicho ministerio, extraído de los servidores del sitio web “como demostración de que efectivamente lo hicieron. Se ignora qué información confidencial pueden haber obtenido por esa vía y si el Ministerio de Defensa tan devaluado puede realmente tener algún dato de interés, pero eso es lo que han afirmado.”

Según las declaraciones del área de sistemas del MINDEF, tenian un sistema imposible del vulnerar cosa que resultó lo contrario. El acto no debe ser tomado como terrorista, fue por el simple hecho de demostrar que el sistema era totalmente vulnerable. Los documentos contienen material muy sensible con CLASIFICACIÓN SECRETA, compra de armamento (aeronaves, submarinos, fusiles)“, precisó el mensaje dejado por LulzSecPeru en su cuenta Twitter.

En unas horas liberaremos documentos secretos del Ministerio de Defensa Argentina“, tuiteraron los hacktivistas en su cuenta @LulzSecPeru.

Lo que han difundido como prueba de su intrusión:


CLASSIFICATION : SECRET - TOP SECRET
LEAKED DOCUMENTS : 500+
FILETYPES : DOC , PDF , JPG , XLS
DESCRIPTION :

According to statements by the DEPARTMENT OF ARGENTINA DEFENSE the computer systems area say they had a system impossible to hack, thing turned otherwise.

The event should not be taken as terrorism, was for the simple fact to prove that the system was totally vulnerable.

The documents contain highly sensitive material rated SECRET (aircraft, submarines, guns).

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

WinRar File password:@reqaxecHAfreWU+hega*42_ejE45!e4RekEspU*hAprumabr@w@UFvecr5Nu=es5as3ey?P5a5=92uzUdRadevecru5ubarEvAr3

FILE 1:
https://anonfiles.com/file/2af17e13dad77255cf511dab6e37e4fc archivos.rar (18MB)  - War Submarines, Radars.

FILE 2:
https://anonfiles.com/file/4d8bba80068a4660c98631efad566b12 archivos2.rar (55MB) - Classifieds Documents

DEPARTMENT OF ARGENTINA DEFENSE DATABASE:

https://anonfiles.com/file/aa64bdd1b0a2014f4e92f439fc70193d fulldatabase.rar (55MB) - Database Dump > USERS, PASSWORDS, NAMES, SECRETS

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

MINDEF STAFF LIST (high rank):
...
...
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
$ uname -a
Linux apus 2.6.37-gentoo #2 SMP Mon Feb 14 20:10:59 ART 2011 x86_64 QEMU Virtual CPU version 0.14.1 GenuineIntel GNU/Linux

$ pwd
/var/www/www.mindef.gob.ar/pub/

$ ls -la
total 784
drwxr-xr-x 34 root      root    4096 Dec 27 12:35 .
drwxr-xr-x  5 root      root    4096 May 21  2012 ..
...
...

$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
...
...
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Greetz by Lulzsecperu

Fuente: Urgente24

Atacantes aprovechan falla de día-0 en Internet Explorer

diciembre 30, 2012 § Deja un comentario

Los atacantes están irrumpiendo dentro de computadoras con Microsoft Windows usando una vulnerabilidad  recientemente descubierta en Internet Explorer, advierten expertos de seguridad. En tanto esta falla parece haber sido usada principalmente en ataques dirigidos hasta ahora, la vulnerabilidad podría comenzar a ser usada de forma más amplia su se incorporara en kits comerciales de software criminal que se vende en el bajo mundo.

En un artículo publicado en el blog el viernes, el proveedor de seguridad FireEye de Milpitas California dice que el sitio web para el Council on Foreign Relations fue comprometido y manipulado para explotar una falla anteriormente no documentada de IE8 para instalar software malicioso en las PC vulnerables usadas para navegar el sitio.

Según FireEye, el ataque usa Adobe Flash para explotar una vulnerabilidad en la última versión (completamente actualizada) de IE8. El gerente del grupo de respuesta de comunicaciones de Microsoft, Dustin Childs, dijo que la vulnerabilidad parece existir en versiones anteriores de IE.

“Estamos investigando activamente los informes de un pequeño problema dirigido que afecta a Internet Explorer 6-8”, dijo Childs en una declaración por correo electrónico. “Tomaremos las acciones apropiadas para ayudar a mantener protegidos a nuestros clientes una vez que completemos nuestro análisis. Las personas que usan Internet Explorer 9-10 no están impactadas”.

Como señala FireEye, este es otro ejemplo de un ataque “watering hole“, el cual involucra comprometer el sitio web legítimo blanco del ataque que se supone de interés o frecuentado por los usuarios finales que pertenecen a organizaciones que los atacantes quieren infiltrar. A comienzos de año, escribí  acerca de ataques de día cero similares contra visitantes de sitios web del National Democratic Institute, The Carter Center, y Radio Free Europe.

Traducción: Raúl Batista – Segu-Info
Autor: Brian Krebs
Fuente: Krebs on Security

Nuevo menú de Facebook gestiona fácilmente la privacidad del usuario

diciembre 29, 2012 § Deja un comentario

Hace una semana, Facebook introdujo algunos cambios en pos de mejorar la privacidad de los usuarios de esta red social. El objetivo de la compañía es que se pueda gestionar de forma más sencilla el acceso de terceros a la información del usuario como fotografías, publicaciones, etc.

En esta línea también se mejoró la herramienta “Registro de actividad” con el fin de que el usuario pueda visualizar rápidamente qué cosas ha estado compartiendo y con quiénes. Por otro lado, ahora resulta más sencillo bloquear a personas con las que no se desea mantener contacto y los mensajes personales son filtrados para separar aquellos importantes (de personas conocidas) de otros provenientes de extraños o que tuvieran una alta probabilidad de ser spam. En este post analizaremos algunos de estos cambios y cómo pueden ayudar a proteger la información del usuario. Primero es importante mencionar que todos estos parámetros y herramientas están agrupados en un mismo menú denominado “Accesos directos de privacidad”. El icono de acceso tiene forma de candado y puede ser abierto desde la parte superior derecha del sitio tal como puede observarse en la siguiente captura:

¿Quién puede ver mis cosas?

Desde la primera opción es posible establecer quién podrá ver las próximas publicaciones. Seleccionando “Amigos” se impide que los usuarios desconocidos y aquellos clasificados en la lista “Con acceso restringido” puedan visualizar determinados contenidos. En este punto es importante destacar la importancia de mantener en la lista de amigos solo a personas confiables.

Google reformula la relación entre Chrome y sus extensiones

diciembre 29, 2012 § Deja un comentario

Google ha anunciado que, con la llegada de Google Chrome 25 para Windows, realizará una serie de reformas en el funcionamiento de las extensiones de Chrome para evitar que los cibercriminales las sigan utilizando con fines maliciosos.

Las versiones anteriores a la 25 de Chrome permitían que se instalen extensiones de aplicaciones de forma automática, modificando el registro sin pedir permiso al usuario para realizar los cambios. “Esta característica fue concebida con la intención de que los usuarios puedan optar por la inclusión a Chrome de una extensión útil como parte de la instalación de otra aplicación”, explicó Peter Ludwig, portavoz de Google. “Por desgracia, terceras personas han estado abusando de ella y utilizándola para instalar extensiones en Chrome en silencio, sin avisar a los usuarios como es debido”.

Es por eso que, a partir de la versión 25 de Chrome, se cancelará la instalación automática de extensiones. Además, se mostrará un listado de todas las extensiones instaladas hasta la fecha y se le pedirá al usuario que seleccione cuáles quiere mantener activas. Chrome bloqueará todas las demás.

Google también hará una limpieza de su tienda de aplicaciones “Chrome Web Store” donde, entre las legítimas, se camuflan aplicaciones que instalan malware, roban información a los usuarios y realizan todo tipo de actividades maliciosas. Google “analizará cada extensión que se suba a la Web Store y desactivará a aquellas que considere maliciosas”, aseguró Ludwig.
Fuentes:Chrome 25 Will Disable ‘silently Installed’ Extensions CIO
Google blocks silent Chrome extension installation The H Online
Google to scan Chrome extensions, bans auto-install The Register

Autor: Gabriela Villarreal
Fuente: Viruslist.com

El Gran Hermano vigila los exámenes en línea

diciembre 28, 2012 § Deja un comentario

¿Cómo se puede saber si un estudiante en línea ha hecho sus deberes? Usando cámaras web para supervisarlo.

El auge de la educación en línea ha creado un puesto de trabajo que no existía hace unos años: supervisor de exámenes a distancia. Y ProctorU, una empresa de rápido crecimiento fundada en 2009, ha contratado ya a más de 100.

Sentados frente a ordenadores en las oficinas de ProctorU en Hoover (Alabama) o Livermore (California) en Estados Unidos, los supervisores utilizan cámaras web y software para compartir pantallas con el que observar a distancia a los estudiantes cuando hacen un examen o completan una tarea en línea. Los supervisores vigilan para asegurarse de que los estudiantes no hagan trampa.

Es una idea simple que podría resultar crucial para la expansión de la educación en línea. Durante los últimos años, varias universidades importantes, incluyendo Harvard, Stanford y el MIT (Instituto de Tecnología de Massachusetts), han comenzado a ofrecer cursos gratuitos a cualquier persona interesada. Después de atraer a cientos de miles de estudiantes, estos ‘masivos cursos en línea abiertos’ (MOOC en sus siglas en inglés), están intentando averiguar la mejor forma de determinar que los alumnos estén realmente completando el curso y aprobando los exámenes.

Eso será se importancia vital puesto que el hecho de poder ofrecer a los estudiantes resultados ‘certificados’, además de un curso certificado, será probablemente clave para asegurar que los MOOC sean financieramente sostenibles.

EdX, la asociación de educación digital entre el MIT y Harvard, cree que puede cobrar a los estudiantes aproximadamente 100 dólares (77 euros) si desean obtener un certificado de finalización oficial. Otros MOOC, como Udacity (con fines de lucro) y Coursera, tienen la esperanza de obtener ingresos conectando a sus mejores estudiantes con reclutadores y empresarios.

Con esto en mente, edX, Coursera y Udacity están trabajando con la editorial de educación Pearson para que los estudiantes de cursos en línea puedan hacer exámenes en un centro de pruebas dirigido por Pearson. Estos centros están localizados en más de 100 países. Pero incluso una red así de generalizada no logrará llegar a cada futuro estudiante.

Más de 200 universidades y escuelas técnicas han contratado a ProctorU para administrar exámenes que los estudiantes puedan tomar en los mismos ordenadores en los que se siguieron los MOOC, aunque ProctorU también supervisa exámenes de clases tradicionales. “Casi cada clase cuenta con un componente en línea”, indica Don Kassner, director general de ProctorU. “Y algunas de estas escuelas se están dando cuenta de la dificultad logística de programar a 350 estudiantes en una clase y hacer un examen final”.

¿Quiénes son estos nuevos profesionales?

Muchos de los supervisores contratados por ProctorU son estudiantes universitarios. Reciben 75 centavos por hora por encima del salario mínimo (lo que significa que ganan 8,75 dólares a la hora en California y 8 en Alabama, 6,75 y 6,16 euros respectivamente) y consiguen un aumento de 1 dólar por hora después de un período de evaluación de 90 días. Un supervisor debe vigilar y responder a las preguntas de un máximo de cinco o seis examinados a la vez, por lo que Kassner señala que trata de contratar a personas con capacidad probada para hacer más de una tarea al mismo tiempo, como por ejemplo ávidos jugadores de videojuegos o personas que hayan trabajado en restaurantes.

La supervisión de exámenes ofrece grandes oportunidades a nivel mundial, señala Franklin Hayes, que ha administrado exámenes para la compañía desde 2011 y también realiza las funciones de director de relaciones con los medios. Además de supervisar a estudiantes universitarios en sus dormitorios y apartamentos, ha supervisado exámenes de soldados en Afganistán, así como a personas que necesitan aprobar cursos de certificación para pavimentación de carreteras. Una vez un oficial de policía inició sesión para tomar un examen de certificación profesional desde el ordenador portátil en su coche patrulla.

Los supervisores también deben estar preparados para verle el trasero, o algo peor, a algunos examinados. Hay quienes no pueden resistirse y se exponen ante el supervisor en el otro extremo de la videoconferencia. “Una de las cosas que les decimos a nuestros supervisores es que ‘van a ver algunas cosas que no desearían ver'”, asegura Kassner.

¿Qué funciones tienen?

Tal vez porque la relación supervisor-estudiante es mayor de lo que podría ser incluso en un aula universitaria tradicional, lo de hacer trampas parece ser algo poco común. Los supervisores presentan un ‘informe de incidente’ a la escuela de un estudiante si detectan algo inapropiado, que podría incluir desde un corte sospechoso de la conexión a Internet, que alguien entre en la habitación del estudiante, o que el estudiante eche un vistazo a un libro de texto. Kassner señala que solo se crean informes de incidente en siete de cada 1.000 exámenes.

A veces el trabajo de un supervisor es el de recordar a los estudiantes que no pueden consultar Google. Los examinados ven al supervisor al inicio de los exámenes, pero son libres de minimizar la ventana de videoconferencia en sus pantallas para no sentirse observados. Cuando el supervisor se vuelve invisible, no es raro que los estudiantes se olviden y abran una nueva pestaña en el navegador web.

Los supervisores pueden verlo a través del software de pantalla compartida que los examinados tienen que ejecutar en sus equipos. “Podemos intervenir y decir: ‘Por favor, cierra esa pestaña. La mayoría de las veces, la gente se lo toma bien y la cierra”.

Fuente: Centro de Innovación BBVA

Las prácticas más utilizadas por los ciberdelincuentes

diciembre 28, 2012 § Deja un comentario

Cada año, el departamento de especialistas en seguridad tecnológica de  la Policía Nacional realiza un breve ranking sobre los principales intentos de engaño, los cuales se eligen por ser los más utilizados y peligrosos. Este “Top” lo realizan los miembros de la Brigada de Investigación Tecnológica (BIT), en base a las miles de denuncias, consultas y peticiones de ayuda de los internautas a través de los canales telemáticos de la Policia durante el año.
Fraudes vinculados a una web social y búsqueda de gangas

  1. Fraudes en la compraventa o webs de alquiler entre particulares. En los últimos años no dejan de crecer los anuncios en webs de compraventa o alquiler entre particulares y entre ellos, los intentos de fraude (hasta que, en su mayoría, son retirados por los equipos de control de calidad del proveedor de servicios) en supuestas gangas ofertadas en los productos más demandados: gadgets tecnológicos y smartphones, coches de segunda mano, alquileres en supuestas fantásticas viviendas muy céntricas o apartamentos vacacionales muy atractivos, todos con supuesta apariencia de auténticas gangas.
  2. Ofertas de trabajo falsas para sacar dinero a los que buscan empleo. La fuerte demanda de empleo hace que desaprensivos traten de beneficiarse fraudulentamente de ellos. Peticiones de dinero por adelantado “para el temario o cursos previos del puesto a desempeñar” o “para cerrar los trámites de contratación”; pedir que se llamen a un teléfono de alto coste o redireccionarle en segundas instancia a ese tipo de números y alargar la supuesta llamada de recopilación de datos o entrevista de trabajo hasta el máximo posible.
  3. Virus para estafar al internauta haciéndose pasar por la Policía Nacional, la SGAE, la AEPD (malware). Este año se han extendido mucho (sobre todo, a través de las páginas de descargas y en links acortados distribuidos masivamente con técnicas de ingeniería social) virus que se hacen pasar por la Policía Nacional española, la Sociedad General de Autores de España o la Agencia Española de Protección de Datos. El virus es muy dañino y bloquea el ordenador, inventándose una supuesta multa de 100 € por haber detectado pornografía infantil en el disco duro (hecho que no sería sancionable, sino delito, por vía penal) o archivos que violan la propiedad intelectual o la Ley Orgánica de Protección de Datos. Se pide el pago a través de medios no rastreables y el usuario, una vez ha abonado, ve que el ordenador no recupera el normal funcionamiento y que ha sido víctima de este engaño.
  4. Phishing sobre cuentas en redes sociales y de correoContinúa el phishing (tratar de obtener las claves de usuario del internauta para luego obtener beneficios fraudulentos con esos datos) bancario y el engaño más novedoso este año, de enviar SMS para solicitar los datos de la tarjeta de crédito, para desbloquearla, por supuestos motivos de seguridad. Pero también hay intentos de robo de cuentas en redes sociales y correos, para luego utilizarlas para realizar spam comercial en nombre de una fuente de confianza del internauta y, lo que es peor, para la distribución de malware.
  5. Fraude para suscribirte -o promover el envío de- SMS Premium y llamadas a teléfonos de alta tarificación. Los ganchos utilizados son varios: desde supuestos paquetes que no se han recogido (inexistentes, claro está) a supuestas llamadas de personas que no tienen saldo y requieren contactar con ellos a través de esos medios, falsos premios -gadgets o dinero- en concursos en los que, curiosamente, no se ha participado o mensajes ambiguos de supuestas personas recién separadas y que quieren tomar un café.

Autor: María Guilarte
Fuente: MuyComputerPro.com

¿Dónde estoy?

Actualmente estás viendo los archivos para diciembre, 2012 en Seguridad Informática.