Phishing en dispositivos móviles: ¿es más fácil?

noviembre 11, 2013 § Deja un comentario

El phishing es ya una de las “viejas” estafas en Internet. Aunque el concepto en los noventa, no fue hasta principios de esta década que se popularizó, justo cuando se popularizó la banca online. Desde entonces, se han intentado utilizar diferentes técnicas para mejorar la estafa, pero en esencia sigue funcionando de manera muy similar a sus comienzos. ¿Qué han aportado los smartphones y las tables a las técnicas de phishing?

El phishing tradicional intentó disimularse a sí mismo con diferentes técnicas más o menos elaboradas. Durante un tiempo intentaron utilizar siempre dominios muy parecidos a los que intentaban suplantar. Luego aprovechaban JavaScript para ocultar la barra del navegador (Internet Explorer 6) con la URL real del banco, superponiendo una imagen emergente en el punto exacto para que se confundiera con el propio navegador (algo parecido se hizo en iOS en 2010). Experimentaron con diferentes vulnerabilidades en el navegador para que el “ancla” en HTML simulara la URL real, pero realmente te llevara a otra web al hacer click sobre un enlace. Otras técnicas que se observaron durante un tiempo fueron los phishings bajo SSL. Finalmente, el phishing de hoy no se diferencia en exceso del de hace 10 años. Pero han aparecido nuevas plataformas que se utilizan para consultar webs. El navegador tradicional en el sistema de escritorio ya no es el único objetivo. ¿Qué oportunidades ofrecen estos dispositivos a los atacantes?

Contenido completo en fuente original Eleven Path

10 Claves para evitar ser víctima de un robo a su cuenta bancaria

octubre 16, 2013 § Deja un comentario

Las tecnologías cambian, pero los cibercriminales encuentran la manera de robar credenciales bancarias de los usuarios, ya sea a través de campañas de phishing, SMS o por teléfono. Sin embargo, hay formas de prevenirlo.

La clave es reconocer cuándo el comportamiento de una institución no es el esperable o correcto. Con ese fin, ESET presenta 10 acciones que un banco nunca llevará a cabo, a diferencia de un ciberatacante:

1. Mandar un SMS pidiendo detalles para confirmar si se trata del cliente correcto. Si bien puede suceder que un banco mande mensajes de texto, por ejemplo para confirmar una transacción hecha desde una computadora, nunca solicitará contraseñas ni información personal a través de ese medio. Ante la sospecha de un posible intento de engaño, se recomienda no hacer clic en enlaces ni llamar a los teléfonos indicados.

LA NUEVA TÉCNICA DE CIBERATAQUE A LAS COMPAÑÍAS

2. Decir que en 24 horas se cerrará la cuenta a menos que se tome una acción. Muchos mensajes legítimos de un banco son marcados como “urgentes”, particularmente aquellos relacionados a la sospecha de un fraude. Pero cualquiera que contenga un plazo estimado para realizar una acción debe ser leído con cautela. Los cibercriminales necesitan ser rápidos, ya que sus sitios se pueden bloquear o cerrar al ser descubiertos, por lo que necesitan que el usuario haga clic sin pensar. En cambio, los bancos sólo quieren ponerse en contacto con el cliente, y generalmente no ponen plazos tan firmes.

¿ES USTED UN CIBERCRIMINAL ENCUBIERTO Y NO SE HA DADO CUENTA?

3. Mandar un link a una “nueva versión” de la aplicación para home ranking. Los bancos no distribuyen aplicaciones de esta manera, y siempre pueden ser descargadas desde las tiendas oficiales. Por ejemplo, el troyano bancario llamado Hesperbot descubierto recientemente por ESET, usa un sitio falso para que los usuarios ingresen su número de celular y se instale una aplicación maliciosa que traspasa los sistemas de seguridad.

SEGURIDAD: EL MAL USO DE RECURSOS AMENAZA A LA RED CORPORATIVA

4. Usar acortadores de enlaces en un email. Los cibercriminales utilizan una variedad de trucos para que un sitio malicioso parezca “real” en un email que pretende ser de una entidad bancaria. Uno de los más clásicos es el uso de acortadores de enlaces. Por tal motivo, ESET recomienda no hacer clic en links acortados, ya sean provenientes de un email o de un SMS. En cambio, se debe ir al sitio web legítimo del banco directamente desde el navegador.

5. Mandar un servicio postal a retirar una tarjeta de crédito. Una nueva forma de estafa que consiste en decir que un servicio postal pasará a retirar la tarjeta de crédito “defectuosa”, para lo cual se pedirá el número de PIN como confirmación. La forma legítima de reemplazar una tarjeta es instruir al usuario para destruirla, y enviarle una nueva por correo.

6. Llamar al teléfono fijo y pedir que el cliente vuelva a llamar para confirmar que es el banco. Esta es otra nueva forma de engaño, que consiste en llamar al cliente para avisarle que se han detectado transacciones fraudulentas en la cuenta. Los cibercriminales intentarán probar la legitimidad cortando la comunicación y pidiéndole al usuario que llame nuevamente al número oficial de la entidad bancaria. Pero en realidad reproducen un sonido de marcado, y cuando el cliente disca el número, se comunica con la misma persona, que pasará a pedir detalles de la tarjeta de crédito y contraseñas.

7. Mandar un email a una nueva dirección sin avisar. Si el banco se contacta con el usuario a una cuenta diferente a la brindada anteriormente, se debe tener en cuenta la posibilidad de que sea un intento de engaño. Lo recomendable es tener una cuenta de correo destinada solamente a las comunicaciones con la entidad, y no publicarla en ningún lado, de manera que sea altamente probable que los mails recibidos allí sean realmente del banco.

8. Usar un sitio web no seguro. Un sitio legítimo correspondiente a una entidad bancaria debe mostrar el típico candado en la barra de direcciones, que significa que es un sitio seguro.

9. Solicitar la desactivación de la solución de seguridad. Un banco no solicitará deshabilitar el software de seguridad para ingresar a su plataforma o realizar alguna transacción. En caso de que esto suceda, se recomienda comunicarse inmediatamente con la entidad financiera para verificar el comportamiento sospechoso.

10. Mandar un mensaje con una dirección en blanco. Cualquier mensaje proveniente de un banco debe estar dirigido a quien corresponde, tanto en el cuerpo como en el encabezado. Es importante chequear que el email esté destinado a la dirección de correo del cliente, y no a algo genérico como “Lista de clientes”.

Autor: EQUIPO MÉXICO
Fuente: CIO América Latina

Phishers usan malware en una app falsa de Facebook

octubre 13, 2013 § Deja un comentario

Los phishers introducen frecuentemente aplicaciones falsas para darle una nueva presentación a sus engaños de phishing. Veamos una nueva app que están impulsando los phishers. En el caso de esta estafa, los phishers intentan robar las credenciales de ingreso pero su forma de robo de información no es solo mediante el engaño de phishing. Su táctica también incluye el uso de malware para recoger información confidencial del usuario. El sitio de phishing simula la pagina de ingreso de Facebook y fue alojado en un sitio de alojamiento gratuito.

Figura 1: El sitio de phishing que simula la apariencia de la página de ingreso de Facebook

El sitio de phishing alardea que la aplicación permitirá a los usuarios ver la lista de personas que vieron su página de perfil. El sitio ofrece dos opciones para activar la app falsa. La primer opción era descargando el software que contiene el malware y la segunda ingresando las credenciales de usuario e ingresando en Facebook. Un mensaje en la página de phishing alienta a los usuarios a descargar el software que supuestamente enviaría notificaciones al usuario cuando alguien visite su perfil de Facebook. Si se cliquea el botón de descarga, aparece la ventana de descarga de archivo. El archivo tiene contenido malicioso detectado por Symantec como Infostealer . Por otro lado, si se ingresan las credenciales de usuario, el sitio de phishing redirige a la página real de Facebook.
Symantec analizó el malware y encontró que se comporta de la siguiente manera:

  1. El malware consiste en dos ejecutables que realizan ambos la misma acción.
  2. Los archivos son añadidos a la clave RUN del registro, que los ejecuta luego de cada reinicio.
  3. El malware establece un keylogger para registrar todo lo que tipee la víctima.
  4. Entonces, verifica si hay conectividad Internet haciendo ping a http://www.google.com. Si hay conectividad, el malware enviará toda la información reunida a la dirección de correo del atacante.
  5. Symantec observó que la dirección de correo no fue válida por 3 meses y que por lo tanto el malware no puede enviar actualizaciones a al atacante en este momento.

Si los usuarios caen víctimas del sitio de phishing ingresando sus credenciales, los phishers habrán robado su información con propósitos de robo de identidad.

Se aconseja a los usuarios de Internet seguir las mejores prácticas para evitar ataque de phishing:

  • Verificar la URL en la barra de dirección cuando ingresa en su cuenta y asegurarse que pertenece al sitio al cual quiere ingresar.
  • No hacer clic a enlaces sospechosos en mensajes de correo
  • No brindar ninguna información personal en páginas o ventanas emergentes 
  • Asegurarse que el sitio web está cifrado con certificado SSL viendo el ícono del candado, “https” o la barra de dirección verde cuando ingresa información personal o financiera.
  • Usar software de seguridad integral, que lo proteja de estafas de phishing y otras estafas en redes sociales.
  • Tener cuidado cuando cliquea en enlaces atractivos enviados por correo electrónico o publicados en redes sociales.

Shell PHP y Python en servidores vulnerados (I)

agosto 23, 2013 § 1 comentario

Como vimos en el post sobre Phishing a MercadoPago y Banco Francés, un par de delincuentes tomaron el control de un servidor para alojar las páginas falsas de los sitios mencionados y además almacenar los datos personales y de tarjetas robados.

Ahora continuaremos analizando, los otros archivos que fueron encontrados en el servidor vulnerado, correspondiente a Shell PHP y Python.

El primero de varios archivos encontrados corresponde a una Shell PHP típica, que permite subir, descargar y modificar archivos en el servidor vulnerado, un FreeBSD en este caso:

Esta Shell no tiene nada de extraño y simplemente se puede señalar que su código está codificado y ofuscado para “evitar” su detección y análisis aunque de todos modos el archivo es detectado por algunos antivirus (18/46), motivo por el cual siempre hay que instalar un antivirus en Linux y BSD, no sólo en Windows.

A continuación procederemos a decodificar el archivo. Analizando la primera parte del mismo se ve lo siguiente:

Es fácil ver que la primera y última parte de la cadena enviada a la función “preg_replace” corresponde a código hexadecimal, por lo que procedemos a decodificarlo y pasarlo a formato string.

preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'7b1tVxs50jD8OXvO9R9Er3fanhhjm2

...
...
...

toyadLX6Dl6tDg3WxVxFoHhkj6Yn/xc='\x29\x29\x29\x3B",".");

Lo que decodificado corresponde a:

65 76 61 6C 28 67 7A 69 6E 66 6C 61 74 65 28 62 61 73 65 36 34 5F 64 65 63 6F 64 65 28 --> eval(gzinflate(base64_decode(

Ahora ya sabemos que la cadena está comprimida con GZ/ZLIB y posteriormente codificada en Base64 por lo que es sencillo revertir el proceso (con gzinflate(base64_decode()) o crear una pequeña aplicación que permita obtener el código fuente original del archivo PHP.

Luego de desofuscar el código, el resultado es el siguiente:

Paradójicamente, el archivo decodificado es detectado por menos antivirus (13/46) que la versión comprimida.

Así como esta Shell PHP, el servidor contenía otra Shell Python, mucho más interesante y poderosa que analizaremos en detalle en la próxima entrega.

Cristian de la Redacción de Segu-Info

#Phishing a #MercadoPago roba más de 60 usuarios válidos

agosto 23, 2013 § 1 comentario

En las últimas horas hemos recibido al menos una decena de denuncias relacionadas a correos falsos de Mercado Pago y Banco Francés alojados en un sitio argentino.

En el caso de Mercado Pago el asunto del correo falso es “Cuenta Suspendida” y es el siguiente:

En el caso del Banco Francés el asunto del correo falso es “Sistema de Seguridad” y es el siguiente:

Como es fácil apreciar, en ambos casos los enlaces hacen referencia a http://www.banca%5BELIMINADO%5D.com.ar/fotos/MercadoPago/ y http://www.banca%5BELIMINADO%5D.com.ar/fotos/Frances/, lo que indica que el sitio ha sido vulnerado y se ha alojado varios casos de sitios falsos financieros y bancarios en el mismo servidor.

Efectivamente al revisar el sitio pueden encontrarse los sitios falsos, como el siguiente de Mercado Pago:

Por resumir, no aburrir e ir a lo realmente importante, no coloco los demás sitios falsos. Solo basta buscarlos en nuestro sitio, ya que es más de lo mismo.

Lo interesante es lo que encontramos en el servidor, el cual había sido totalmente controlado no por un delincuente sino por varios. Inicialmente se hizo una revisión del directorio “Fotos”, donde se habían alojado los sitios falsos:

Aquí pueden verse los directorios donde se han alojado los sitios falsos, los archivos ZIP/RAR con información que analizaremos enseguida y archivos PHP y Python que son Shells para controlar el servidor y que evidentemente han sido subidas por los delincuentes para hacer sus “tareas”.

Al descargar el archivos “MercadoPago.zip” se puede ver lo siguiente:

Este archivo ha sido subido al servidor y posteriormente descomprimido dando origen a la carpeta “MercadoPago” con todo el sitio homónimo ya visto. En el archivo “log.php” se puede encontrar los datos de correo del delincuente, donde se enviarán los datos robados a las víctimas.

En otro de los archivos se puede encontrar el caso de Banco Francés y, de igual manera el correo del delincuente:

Y, en un tercer ZIP podemos encontrar algo aún más jugoso que son los datos robados por los delincuentes, correspondientes al los datos de acceso (usuario y contraseña) del Banco Francés:

Analizando el archivo “chupala.txt” (sic) se pueden encontrar datos falsos, que han sido ingresados por personas que se han percatado del engaño, y datos reales (como los de la imagen) que han sido ingresados por víctimas que nunca se han dado cuenta que habían ingresado a un sitio falso del banco.

Eliminado los datos repetidos y los falsos, se pueden encontrar 67 documentos distintos que han sido ingresados con sus respectivas contraseñas durante un día, lo cual brinda una idea aproximada del éxito de los delincuentes con estas estafas.

Lo mismo sucede con los datos robados de las cuentas y las tarjetas de débito:

En el próximo post seguiremos viendo otras “curiosidades” encontradas en el servidor vulnerado, del cual ya se han eliminado los archivos y sitios falsos mencionados.

Cristian de la Redacción de Segu-Info

Phishing para robar #Apple ID, datos personales y tarjeta de crédito

agosto 20, 2013 § 1 comentario

Nos han reportado un nuevo caso de correos falsos, que dicen provenir de Apple reclamando confirmar el Apple ID del destinatario:

Como se observa el enlace lleva al dominio oxfordinchina.com pero el atacante ha agregado varios subdominios delante para distraer al usuario y llevar a cabo el engaño:
https.appleid.apple.com.cgi-bin.webobjects.myappleid.woa.wa.directtosignin

Si el receptor acciona el enlace, en este caso llega a esta página falsa:

En caso de ingresar el Apple ID y la contraseña, la víctima del engaño es llevada a otro formulario para completar toda la información que permitirá el uso de su identidad y tarjeta de crédito.

Una vez que se complete los datos solicitados, serán enviados al delincuente:

Y luego el usuario es redirigido a la página auténtica de Apple para evitar despertar sospechas que envió sus datos a otra parte.

redirigido a…

…página real de Apple

Estén atentos a no acceder a enlaces bajo los siempre falsos argumentos de confirmar información personal, bancaria, usuarios, contraseña y/o tarjetas de crédito/débito, incluso y sobre todo, cuando se invocan argumentos como bloqueo o imposibilidad de operar si no se hace caso del pedido.

Precauciones
Como se ve en este caso y muchos otros, este correo falso solo es Phishing, pero es importante no arriesgarse con los enlaces en este tipo de correos para “experimentar” si no se tienen recaudos especiales.

Es que el mismo tipo de engaños son usados también para ataques con el objeto de infectar al destinatario, como señalan hoy por ejemplo en:

Ante la duda, no sigan enlaces de correos poco usuales, usen el sitio oficial escribiendo la dirección conocida.

¡Gracias WH por la denuncia!

Raúl de la redacción de Segu-Info

Phishing a America Express

agosto 13, 2013 § Deja un comentario

Durante el día de hoy hemos recibido una denuncia de Phishing cuyo objetivo es el sitio web de American Express, que no suele ser un objetivo muy buscando en América Latina, pero sin dudas es propenso a ser de interés por los delincuentes.

El sitio web falso es el siguiente:

Al completar el formulario con los datos de acceso (usuario y contraseña) de socio de Amex, se procede a solicitar todos los datos personales y de la tarjeta de crédito del usuario. Esto se realizar a través del script “express.php”:

Los datos solicitados son: nombre completo, fecha de nacimiento, correo electrónico, teléfono, ciudad, código postal, país, tipo de tarjeta, número de la Tarjeta, fecha de expiración, códigos de seguridad CVV y los límites de crédito. Es decir, todo lo necesario para clonar la tarjeta de crédito del usuario.
Finalmente, a través del script “info.php”, se redirige a la víctima a la página de contacto real de American Express: http://www.americanexpress.com/ar/content/ayuda/contactenos.html.

Una vez más el consejo es el mismo: nunca siga enlaces desde un correo electrónico y mucho menos se ellos dicen ser de sitios web de entidades financieras o bancarias.

Cristian de la Redacción de Segu-Info

¿Dónde estoy?

Actualmente estás explorando la categoría phishing en Seguridad Informática.