FBStalker y GeoStalker, herramientas para analizar tu vida privada

noviembre 18, 2013 § Deja un comentario

Yo sé qué si estáis leyendo esta entrada en este blog teneis en especial consideración la seguridad informática y sois extremadamente cuidadosos con la configuración de la privacidad de vuestras cuentas como la de Facebook… pero has de saber que sólo necesitas tener un amigo “descuidado” para abrir el camino hacia una gran cantidad de información sobre tu vida privada.

Con FBStalker y GeoStalker, herramientas de inteligencia de código abierto (OSINT) para minería de datos, se facilita mucho este proceso y, como comentamos, es posible aprovecharse de uno sólo de tus amigos imprudentes para conseguir tener mucha información sensible y un auténtico esquema de tu vida personal.

Estas herramientas fueron presentadas (PDF) por Keith Lee y Jonathan Werrett de SpidersLabs en la última conferencia Hack in the Box en Kuala Lumpur. Ambos demostraron cómo utilizar Facebook Graph con otras fuentes como LinkedIn, Flickr, Instagram y Twitter para recolectar información sobre una objetivo, como lugares y sitios web visitados con regularidad, el trabajo, la escuela o los amigos on-line y mostrar los datos en Google Maps.

En nuestro ejemplo lo probaremos en Kali Linux (32 bit). Para ello, empezaremos instalando Chrome y su driver correspondiente:

wget http://95.31.35.30/chrome/pool/main/g/google-chrome-stable/google-chrome-stable_27.0.1453.93-r200836_i386.deb
dpkg -i google-chrome-stable_27.0.1453.93-r200836_i386.deb

Continuar leyendo en fuente original HackPlayers

Rosario: La Justicia investiga 30 estafas por #phishing a clientes bancarios

julio 25, 2013 § 2 comentarios

La Justicia rosarina investiga unas 30 denuncias por estafas informáticas presentadas por clientes bancarios que padecieron la sustracción de fondos de sus cuentas tras divulgar, sin saberlo, su clave a un “estafador” [N. del E.]. La maniobra, denominada técnicamente “phishing”, comenzaba con el envío de un correo electrónico apócrifo con el diseño del banco donde se le solicitaba modificar la clave, pero previamente instaba a colocar la clave en uso. A partir de allí se efectuaban transferencias a otras cuentas por distintos valores, que fueron de los 2.000 hasta los 15 mil pesos. Ayer, la Fiscalía logró individualizar a uno de los estafadores.

En diálogo con La Capital, el fiscal Marcelo Vienna, titular de la Oficina Judicial de Causas con Imputados No Individualizados, contó que desde febrero a la fecha su repartición recibió “unas 30 denuncias por el delito que se conoce como phishing, con el mismo patrón de estafa a los damnificados”.

Modus operandi. De acuerdo a lo denunciado, los damnificados recibieron un correo electrónico que parecía provenir del banco donde poseían alguna cuenta a la vista (caja de ahorro o cuenta corriente). El mail, apócrifo, “era muy verosímil, tenía el mismo diseño, la misma plataforma, tipografía y resolución que la verdadera entidad bancaria”, remarcó ayer el fiscal.
Allí se le informaba al cliente que su clave para operar a través de home-banking había caducado y debía ingresar una nueva para seguir utilizando el sistema.

“El tema es que previo a ingresar la nueva clave, los estafadores pedían el ingreso de la clave que supuestamente estaba por expirar, que se hacía a través de una ventana complementaria y ahí tomaban los datos para cometer el delito informático”, precisó Vienna.

Una vez con los datos de la clave en su poder, los estafadores efectuaban transferencias a otras cuentas del país. Los montos denunciados “fueron muy variados, desde los 2.000, pasando por los 9.000 hasta 15 mil pesos. En ningún caso hemos recibido denuncias de cifras más abultadas”, dijo el fiscal.

El representante del Ministerio Público confió a este diario que “varios damnificados reportaron ser clientes de un mismo banco, el Santander Río, aunque también hubo otras entidades mencionadas. Por esa razón nos comunicamos con esta entidad porque ellos también son víctimas de esta modalidad delictiva, ya que puede afectar su reputación en materia de seguridad bancaria”.

Investigación. Vienna reconoció que “no es sencillo determinar a quién fue a parar la plata”. Si bien interviene en la transacción una Clave Bancaria Uniforme (CBU), “la cuenta de recepción del dinero en muchos casos estaba a nombre de personas o sociedades fantasmas con domicilios inexistentes”.

Además, la sustracción del monto transferido de parte de los estafadores era, en varios casos, inmediata. “Nuestra investigación se concentra en la figura penal de la estafa, el resarcimiento que puede reclamar el cliente al banco y la ruta del dinero ya es un tema de otro fuero”, aclaró el fiscal.

Al respecto, abogados del foro local apuntaron que “si bien es probable que los bancos se presenten en las causas civiles como terceros ajenos, hay jurisprudencia donde se los ha condenado a resarcir a sus clientes por no haber advertido sobre posibles estafas o bien no perfeccionar sus dispositivos de seguridad” contra el phishing.

Atención. Para el fiscal “se trata de un tipo de delito relativamente novedoso, que cada vez está sumando más denuncias y obliga a los clientes a estar atentos a los supuestos avisos de los bancos”.

En paralelo, para Vienna esta nueva modalidad delictiva obliga a los bancos “a mejorar sus mecanismos de comunicación con los clientes y también exige a la propia Justicia perfeccionar su articulación entre distintas jurisdicciones provinciales, incluso en contacto con el fuero federal, para evitar que este tipo de situaciones se repitan”.

Esa articulación entre distintos estamentos del Poder Judicial permitirá, según Vienna, “que en caso de producirse una estafa, a partir de la denuncia de un damnificado actuar con celeridad y tratar de dar con la cuenta destinataria o bien con el estafador”.

Fuente: La Capital

Los siete pecados capitales de la ingeniería social

junio 3, 2013 § Deja un comentario

Puede ser que uno no esté consciente que hay una escala de siete pecados capitales está relacionados con la ingeniería social. Los ataques de ingeniería social más mortíferos son los que tienen las tasas de éxito más grandes, a menudo aproximándose al 100%. ¿Cuál es el secreto de esos ataques?, ¿cómo llegan a hacerlo tan bien?

Sus propias observaciones le muestran que las personas son muy diferentes. Algunas siempre son entusiastas y deseosas de aprende algo nuevo. Otras son más conservadoras pero corteses con sus compañero de trabajo.  Un poquito más abajo de esta escala están las personas que parecen siempre estar aburridas con sus vidas y entonces al final son aquellos quienes justamente no se preocupan y están básicamente apáticos con todo.

Los ingenieros sociales exitosos determinan primero en que parte de la escala se ubican sus blancos, y luego seleccionan un ataque que pueda tener el más alto grado de éxito con aquella persona, intentando asemejar la mirada sobre la vida de su víctima.

Esta escala de vicios puede ser encarada tanto por el lado positivo como por el negativo. Uno puede llamarle tanto credulidad o puede llamarle confianza, avaricia o interés propio, pero como aquí hablamos de pecados, no atendremos a las etiquetas negativas.

Aqui hay siete ataques de ingeniería social que espero sean un buen ejemplo de cada uno de los pecados capitales, noten sin embargo que hay solapamientos y que las cosas no siempre son un caso claro. Al fin y al cabo ¡estamos tratando con seres humanos!

Curiosidad:
El atacante deja olvidado una memoria USB junto al lavatorio en el restaurant del piso donde están las oficinas ejecutivas y sus asistentes administrativos. Está claramente marcado “Actualización de Salarios 1er Trimestre”.  La memoria USB tiene un malware modificado que se autoinstala y llama a casa desde cualquier PC en donde sea conectado. Este ataque fue 90% efectivo.

Cortesía:
El atacante se enfoca en el CEO de la compañía a la que tiene como objetivo. Hace su investigación, encuentra que el CEO tiene un familiar batallando con el cáncer y que participa activamente en una organización benéfica de lucha contra el cáncer. El atacante se hace pasar por alguien de esa organización, le pide al CEO su respuesta sobre una campaña de recaudación de fondos y adjunta un PDF infectado. Misión cumplida, la PC del CEO es capturada y pronto también caerá la red. Y por supuesto mantener la puerta abierta para un extraño con sus manos ocupadas llenas de cajas es un ejemplo clásico que todos conocemos de como montarse a cuestas de otro.

Credulidad
Los atacantes identifican a los gerentes adecuados de dos sucursales distintas de su banco objetivo. Compran un dominio que se parece mucho al del banco. Falsifican los correos de los ejecutivos del banco y envían correos falsos al gerente autorizando una transacción. Entraron con un cheque falsificado y una identificación falsificada, y salieron caminando con 25.000 en efectivo … varias veces!

Codicia
¿Sabe que las estafas Nigerianas 419 actuales usan la palabra ‘Nigeria’ a propósito para calificar a los objetivos con que se enfrentan? Ahora es utilizada como un filtro para eliminar gente y agarrar a los incultos que son suficientemente codiciosos como para arriesgarse a responder por la jovencita huérfana de 26 años que tiene $12.500.000 en el banco, y que necesita alguien que la cuide y la ayude a transferir esos fondos.

Inconsciencia
La inteligencia de los ejércitos americanos e israelíes crearon el malware Stuxnet que saboteó la centrífugas iraníes de enriquecimiento de uranio en Natanz. Fue llevado a cabo mediante un sencillo ataque USB a uno de sus científicos. El Mossad deslizó una memoria USB al científico que luego la enchufó en el laptop en su casa, fue a trabajar y allí conectó el laptop en la red interna de Natanz. La ingeniería social salteó ese barrera gracias a un científico que debería haber sabido más.

Timidez
Alguien parecido a Brad Pitt se acerca a la recepción interna del departamento de recursos humanos de una multinacional francesa con oficinas en Boston. Se disculpa efusivamente de haber llegado unos minutos tarde y muestra un papel con manchas de café. Explica que volcó café en su curriculum y si la recepcionista “por favor con azúcar” puede imprimirle una copia nueva para su entrevista? Le entrega una memoria USB, la tímida recepcionista no lo confronta por las políticas de la compañía de no permitir dispositivos extraños en la red, rápidamente le imprime una nueva copia y le devuelve el USB. El joven desaparece hacia el baño y la red de esta manera fue tomada.

Apatía
P: ¿Que es lo más útil para la ingeniería social, la ignorancia o la apatía?
R: No lo sé y no me importa.

Los tres empleados de un departamento de despachos reciben todos el mismo correo de phishing genérico de UPS que les aparece en sus bandejas de entrada más o menos al mismo tiempo. Ninguno de ellos se toma el tiempo de pasar el cursor sobre el enlace y ver que en realidad lleva a un sitio de Eslovaquia con ‘.cz’ al final. Más aún, ninguno de ellos asoma de su cubículo para advertirle a los demás. Dos de ellos hacen clic en el enlace e infectan su PC con un apestoso malware que requiere que se reinstale por completo sus equipos.

Como pueden ver el genio está fuera de la lámpara. El cibercrimen ha incorporado el concepto de ingeniería social y están usándolo. Así que, ¿que hacer?

Publicar y distribuir una política de seguridad integral.
Comprender que la política es el inicio para enfrentarse con el problema.
Reconocer que no hay implementación efectiva de una política que no incluya algún grado de capacitación.
Ser realista. La capacitación no significa hacer de los usuarios unos expertos en seguridad. Significa enseñarles todo lo que necesitan saber para usar de forma segura las computadoras.

Reconocimiento a David Harley, Kevin Mitnick, Chris Hadnagy, SANS, y muchos otros. Para mayor información y enlaces útiles sobre Ingeniería Social vea la página de Wikipedia y un gran artículo de David Harley en el sitio de cluestick.

Traducción: Raúl Batista – Segu-Info
Autor: Stu Sjouwerman
Fuente: Blog KnowBe4

Bill Gates ofrece U$S5000 en Facebook (¡NO!)

abril 15, 2013 § 1 comentario

Bill Gates puede ser un millonario, pero tiene cosas mejores que hacer que repartir su dinero en efectivo con gente que simplemente comparte una foto de él en Facebook. Sin embargo, cerca de 400.000 personas en Facebook compartieron esta imagen del fundador de Microsoft, obviamente modificada con Photoshop:

Hey Facebook,

As some of you may know, I’m Bill Gates. If you click that share link, I will give you $5,000. I always deliver, I mean, I brought you Windows XP, right?

Nadie va a recibir ningún dinero por compartir la imagen. En esta ocasión, el mensaje es inofensivo pero se podría engañar a los usuarios para hacer clic en un vínculo peligroso o para instalar aplicaciones dañinas. Cuanto más se comparte material como el de arriba, más posibilidad existe de que su cuenta sea comprometida.

Cristian de la Redacción de Segu-Info

Once formas de aplicar Ingeniería Social

febrero 22, 2013 § Deja un comentario

Un paella no es una simple suma de ingredientes mezclados, ya que el resultado final depende también del cocinero y de cómo perciben el plato los comensales. Tampoco podemos cometer la ingenuidad de considerar la ingeniería social como una simple suma de trucos para influir nuestro comportamiento, nuestra visión de la realidad y las relaciones sociales. Otro motor que impulsa los cambios sociales son los descubrimientos.

Sabemos que la ingeniería social ha estado en nuestras vidas desde los albores de lahumanidad y que evidentemente la tecnología añadida a la experiencia han ampliado la diversidad y el abanico de posibilidades.

Los ingenieros sociales llaman vectores a cada actuación o acción realizada con objeto de influir en nuestro comportamiento y la realidad que percibimos para conseguir algo de nosotros.

En nuestro modelo de la paella los vectores vendrían a ser los ingredientes, la cocción, el tiempo necesario y todas las instrucciones de la receta incluyendo la reacción esperada por parte de los comensales, y el cocinero representaría el rol del ingeniero social.

Dirijamos nuestra atención a qué se debe nuestro interés por estos vectores … ¿A quien no le gustaría saber qué demonios está pasando? ¿Cómo la clase media ha sido empobrecida en las sociedades occidentales en unos pocos años? ¿Cómo es que se ha globalizado la pobreza y ciertos banqueros ni siquiera saben en qué gastar sus obscenas bonificaciones y han multiplicado meteóricamente su riqueza personal? Y en España, ¿como hemos llegado a estos niveles de corrupción y depredación social en el plano político y de las cajas de ahorro?

Contenido completo en fuente original El Parnasillo

El falso rumor sobre la privacidad de Facebook

enero 11, 2013 § Deja un comentario

En los últimos meses, Facebook se ha visto inundado de mensajes en cadena de usuarios que piden a sus “amigos” llevar a cabo una serie de acciones para evitar que sus fotos y comentarios sean vistos por extraños.

El texto es falso y los métodos que aconseja no tienen ningún efecto distinto al de hacerle creer a los usuarios que están protegiendo su información

Se trata de un “hoax“, o engaño, que circula en la red social en inglés desde 2010 y ahora cobra fuerza en español.

El mensaje

El mensaje en cadena sugiere que “con los recientes cambios en Facebook, el ‘público’ ahora puede ver las actividades de cualquier muro”.

Explica que esto “sucede automáticamente cuando nuestros amigos hacen clic en “me gusta” o escriben comentarios” en alguna foto nuestra, permitiendo que sus amigos (desconocidos nuestros) puedan verla.

Pero la mentira no acaba ahí. El mensaje da una serie de instrucciones precisas para “evitar” que nuestras fotos sean vistas por extraños.

“Coloca el puntero del ratón por encima de mi nombre (sin hacer clic), aparecerá una ventana, ahora mueve el ratón en “Amigos” (también sin hacer clic), luego a “Configuración”, haz clic aquí y una lista aparecerá. QUITA la palomita en “Comentarios y Me gusta”, y también en “Fotos””, señala el mensaje.

Lo que ocurre

Ni Facebook está permitiendo que nuestra información sea vista por extraños, ni se necesita aplicar la maniobra sugerida para evitarlo.

Cada vez que los usuarios hacen un like (“Me gusta”) o escriben un comentario, tienen que revisar cuál es la privacidad del mensaje en el que están comentando. Si es una foto que alguien compartió sólo con sus amigos, entonces sólo sus amigos verán sus comentarios.

Si es una foto que compartieron con todo el “Público”, entonces todo el público verá su comentario.
Pero incluso si el mensaje esta abierto a cualquiera, no significa que toda la gente podrá ver en automático sus fotos; sólo leerán su comentario y verán su nombre.

Facebook lo aclara en su página de ayuda:
“Recuerda que tus comentarios y tu uso del botón ‘Me gusta’ son visibles únicamente para las personas que puedan ver la publicación original. Un amigo tuyo que no puede ver la foto no verá la historia en la información instantánea acerca de tu comentario”.

No es la primera vez – ni probablemente la última – que se inventan y circulan mensajes falsos en cadena sobre las políticas de privacidad de Facebook.

Uno de los más conocidos aseguraba que la red social estaba planteando violar los derechos intelectuales de los usuarios.

El rumor prueba nuevamente que no todo lo que circula en la red es cierto.

Fuente: BBC Mundo

Detalles de una estafa en Internet

enero 7, 2013 § 2 comentarios

Detalles interesantes de una estafa en el Marketplace de Amazon. Vale la pena leerlo, por recomendación de Bruce Schneier:

La mayoría de las estafas usan un “gancho” para provocar una reacción. La idea para que esto sea así es que, si uno reacciona, ellos tienen control sobre uno. Si uno se toma el tiempo de detenerse y pensar más a fondo las cosas, uno recobra el control y usualmente descubre la estafa. Algunos “ganchos” usuales generan: urgencia, incertidumbre, sexo, miedo, indignación, enfado. En este caso se trata de urgencia, incertidumbre y miedo. Al fijar un precio tan bajo, aumentan la urgencia, ya que uno teme perderse la oferta. Luego lo combinan diciéndome que hubo un error en el despacho, intentando hacerme cree que son incompetentes y, que si actuo rápido, podría aprovecharme de su error.

El segundo correo resalta la urgencia, intentando que les pague rápido. No contesto, pero si lo hubiera hecho, el siguiente paso de una estafa como esta sería endulzarme la oferta si actuo inmediatamente, a menudo presumiendo de enviarme mi inexistente cámara con un artículo de regalo (como un celular) por envío nocturno si les doy de inmediato la información de pago.

Por supuesto, si les diera mi información de pago, vaciarían mi cuenta, y si fueran un grupo grande de estafadores, comenzarían a usar mi cuenta para traficar dinero robado.

Traducción: Raúl Batista – Segu-Info
Fuente: Blog de Bruce Schneier

¿Dónde estoy?

Actualmente estás explorando la categoría ingeniería social en Seguridad Informática.