Correo de estafa enviado desde la Fundacion de Bill y Melinda Gates

septiembre 2, 2013 § 1 comentario

Ayer conversábamos con Adolfo (otro colaborador de Segu-Info) respecto de un correo de estafa (scam) que había recibido en su bandeja de entrada de GMail, algo para raro para nuestra experiencia pues GMail funciona muy bien con el filtrado. El texto del correo se veía así:

Pero inmediatamente luego de examinar en detalle el correo, Adolfo me muestra algo un poco sorprendente en el texto completo del correo, proviene de “Lynn.Olson@gatesfoundation.org”, el cual parece ser el remitente real:

Para asegurarnos verificamos los registros MX de gatesfoundation.org y el PTR de la IP de donde proviene el correo:

Ya no quedan dudas, el correo de estafa salió de una dirección y servidor de la fundación de Bill Gates y su esposa, la Bill & Melinda Gates Foundation.

Inmediatamente nos pusimos en contacto con la fundación para notificarlos del abuso. Nos sorprendió gratamente la respuesta a las pocas horas:

En su respuesta Dean Saxe, un analista senior de seguridad de la información, nos dice:.

Thank you for the notification.  We identified an account that was sending spam at approximately 3:45 PM PDT August 29, 2013, shortly thereafter we stopped the flow of spam from the account.  By 4:30 PM PDT we had identified the original phishing email received by our users and verified how the user’s credentials were compromised. The phishing site is no longer available on the Internet as of today and all copies of the original phishing email have been removed from our users’ mailboxes.

Gracias por la notificación. Identificamos una cuenta que estuvo enviando spam aproximadamente a las 3:45 PM PDT el 29 de agosto de 2013, poco después detuvimos el flujo de spam de esa cuenta. A las 4:30 PM EDT habíamos identificado el correo de phishing original recibido por nuestros usuarios y verificado como fueron comprometidas las credenciales del usuario. El sitio de phishing ya no está disponible hoy en Internet, y todas las copias del correo original de phishing fueron eliminadas de las casillas de nuestros usuarios.

A partir de ese phishing exitoso es que el delincuente usando las credenciales robadas, hizo uso ilegal del correo de ese usuario de la fundación, para sus propios fines.

Que el correo haya sido enviado desde una dirección y equipo de un usuario de la organización en cuestión explican la aparición del mismo en la bandeja de entrada de GMail, y es la táctica usada por muchos delincuentes para superar todo tipo de filtrado de correos y que lleguen a sus víctima los correos de phishing, scam y malspam (spam malicioso).

Conclusión
El caso no es técnicamente novedoso ni mucho menos elaborado, solo se destaca la institución afectada. Sirve para poner de relieve que aún organizaciones bien preparadas tecnológicamente y profesionalmente, pueden verse comprometidas por un error humano tan sencillo como el de haber sido engañados con un simple correo electrónico, un phishing.
La capacitación continua de los usuarios en temas de concientización es un elemento clave para potenciar la inversión completa en seguridad.

Raúl de la Redacción de Segu-Info

La compra de 120.000 cuentas de Twitter revela una nueva forma de bloquear el spam

agosto 22, 2013 § Deja un comentario

Un grupo de investigadores se ha gastado 5.000 dólares (3.724 euros) en la compra de cuentas de Twitter de spammers, en un intento por aprender cómo ser más listos que ellos. Este informe de Chris Grier [PDF] se basa en otro estudio previo de Kurt Thomas [PDF].

Un proyecto de investigación en el que un grupo de académicos ha comprado más de 120.000 cuentas de Twitter fraudulentas ha demostrado lo fácil que lo tienen los spammers para evadir los controles de la empresa, y quizá se haya descubierto una nueva forma de vencer el spam de las redes sociales. Parte ejercicio de investigación y parte operación encubierta, el proyecto ha generado datos que se están utilizando para entrenar software con el que evitar automáticamente que los spammers creen cuentas.

Hoy día la mayoría de las iniciativas antispam en Twitter y otras empresas de redes sociales se centran en el bloqueo de las cuentas solo después de que hayan comenzado a enviar spam. Los spammers suelen utilizar robots de software para llenar los formularios en las páginas de registro de las cuentas, y después utilizan las cuentas para enviar anuncios no solicitados en masa. A menudo, estos mensajes contienen enlaces con los que ganar dinero a través de tácticas engañosas como la instalación de software malicioso en el ordenador del usuario.

En los 10 meses anteriores a abril de 2013, los investigadores del Instituto Internacional de Ciencias de la Computación, de la Universidad de California, Berkeley (EE.UU.), y la Universidad George Mason se gastaron algo más de 5.000 dólares (3.724 euros) en cuentas de Twitter, capturando 121.027 con una facilidad sorprendente. Twitter dio a los investigadores permiso para comprar las cuentas y ayudó con el estudio, que fue presentado en el Simposio de Seguridad Usenix en Washington DC (EE.UU.) la semana pasada.

“Existe un mercado activo para la venta de cuentas de Twitter fraudulentas”, señala Chris Grier, investigador de Berkeley y el Instituto Internacional de Ciencias de la Computación. Algunas provinieron de tiendas en línea que hacen que la compra de cuentas al por mayor sea algo tan sencillo como comprar algo en Amazon. Otras fueron compradas en transacciones de persona a persona negociadas en los foros donde los spammers hacen negocios.

Los precios variaban, pero por lo general 1.000 cuentas costaban alrededor de 40 dólares (30 euros), señala Grier, lo que sugiere que el mercado de cuentas de Twitter a granel está bien establecido. Muchas cuentas habían sido registradas meses antes, y el ‘preenvejecimiento’ es considerado como un punto a favor durante la venta, tal vez porque esas cuentas se bloquean con menor rapidez que las nuevas cuando se utilizan para enviar spam.

La compra de las cuentas permitió a los investigadores examinar los datos registrados por Twitter acerca de la forma en que se habían creado, revelando detalles sobre una sofisticada cadena de suministro que puede evitar los controles normales para el registro de cuentas al por mayor. Entre los trucos usados por los spammers está la creación de cuentas a través de conexiones redirigidas alrededor del planeta (los investigadores registraron más de 160 países diferentes) para evitar picos sospechosos en registros desde determinados lugares. La mayoría de las cuentas fraudulentas fueron creadas con la ayuda de cuentas de correo electrónico de Hotmail o Yahoo.

“Los vendedores son capaces de resolver captchas con bastante éxito”, señala Grier, refiriéndose al proceso de traducción de una palabra borrosa utilizado para evitar que los robots de software rellenen formularios en línea. Aunque se sabía que era técnicamente viable resolver estos puzles utilizando métodos automatizados o crowdsourcing, pocos estudios han sido capaces de evaluar en qué grado se ven afectados los spammers al tener que hacerlo. Parece ser, asegura, que “no ha afectado al coste en absoluto”.

Utilizando los datos que Twitter proporcionó con las cuentas compradas, Grier y sus colegas entrenaron un software para marcar aquellas cuentas que hubieran sido creadas de manera sospechosa. En el sistema se incluyeron características tales como el tiempo de las inscripciones, los nombres de las cuentas y las características del navegador y el ordenador utilizados, junto con algunas claves secretas que Twitter no estaba dispuesta a revelar. Tras usar el nuevo sistema para escanear todas las cuentas de Twitter registradas en los últimos 12 meses se descubrió que varios millones se habían registrado de esa forma (los investigadores no quieren dar la cifra exacta). Las ventas de estas cuentas pueden haber generado entre 127.000 y 459.000 dólares (94.600 y 341.900 euros).

“Twitter quiere tomar lo que hemos desarrollado e integrarlo en el proceso de registro”, afirmó Grier. Otras redes sociales podrían utilizar un enfoque similar. Las mismas personas que venden cuentas de Twitter también venden cuentas de Google, Facebook y LinkedIn.

Para evitar que un sistema de bloqueo de registro se quede obsoleto a medida que los spammers ajustan sus tácticas en respuesta, las empresas tendrían que empezar a comprar [cuentas] de los spammers, tal y como hicieron Grier y sus colegas. “Esa es la parte más difícil para ellos”, afirmó Grier, puesto que la forma en que funcionan los equipos antispam existentes en Twitter y otras compañías es muy distinta.

Guofei Gu, profesor asistente en la Universidad A&M de Texas (EE.UU.), y que ha hecho su propia investigación sobre el spam de Twitter, señala que tiene sentido bloquear a los spammers cuando intentan registrar cuentas. La investigación revela nuevos datos sobre la sofisticación de las técnicas de los spammers, añade.

Sin embargo, Gu señala que los spammers pueden cambiar fácilmente su comportamiento para evitar las claves identificativas que han descubierto los investigadores. “Los spammers sin duda aprenderán y evadirán el enfoque propuesto una vez que conozcan las estrategias”, señala. Su sugerencia para seguir combatiéndolo es aprender más acerca de cómo funcionan los spammers, identificar qué técnicas evasivas les resultan más costosas a la hora de crear nuevas cuentas.

Sin embargo, en general Gu cree que el volumen de spam en Twitter se ha reducido, aunque los spammers que quedan son sigilosos. “Nos hemos dado cuenta de que hacen un spamming más específico”, afirma. “Esto hace que sea un poco más difícil atraparlos”.

Otros informes relacionados:

Fuente: Technology Review

Una campaña de #spam aprovecha la tragedia del maratón de Boston

abril 18, 2013 § Deja un comentario

Investigadores de Trend Micro han descubierto un ataque de spam que, valiéndose del atentado de Boston, se estaba difundiendo rápidamente. Sus autores buscan que los internautas hagan clic en un enlace para descargar y ejecutar código malicioso.

Las bombas que hicieron explosión en el maratón de Boston han sido una tragedia que ha conmovido al mundo, pero para los ciberdelincuentes representan sólo otro señuelo más para desarrollar sus actividades maliciosas. Concretamente, Trend Micro ha descubierto una campaña de spam Blackhole Exploit Kit que se aprovecha de la indignación que sobre la masacre circula por los medios sociales para difundirse.

Los mensajes de spam detectados contenían en el asunto “2 explosiones en el maratón de Boston” y un solo hipervínculo en su cuerpo. En el caso de que el destinatario hiciera clic en el enlace proporcionado en el correo electrónico, sería redirigido a una página con videos del evento, durante la que sería conectado a una URL maliciosa desde donde descargaría archivos maliciosos de forma automática para luego ejecutarlos. El malware descargado oculta los directorios de cualquier unidad USB conectada al sistema afectado y los reemplaza con un archivo. LNK, que ejecuta el malware descargado cada vez que el usuario intenta abrir una carpeta o archivo en particular.

Trend Micro recuerda una vez más que hay que estar siempre alerta y anticiparse a las amenazas de este tipo siempre que este tipo de noticias salen a la luz. Los correos spam y las cargas de malware ya han sido detectadas y bloqueadas por Trend Micro.

Fuente: CSO España

Argentina: el #spam que llega por SMS ya se puede denunciar

abril 17, 2013 § 2 comentarios

Mensajes que llegan a cualquier hora, con ofertas inverosímiles o no deseadas en absoluto: el spam llegó a los SMS. Y el usuario se siente indefenso, porque no tiene cómo crear reglas para que vayan directo a la basura. Hasta ahora.

La empresa de telefonía Personal anunció ayer que adoptó el servicio de reporte de spam que implementó la Asociación GSM, un estándar de la industria para denunciar mensajes basura. Es la primera operadora local en usar este sistema, y que permite a los usuarios identificar mensajes no deseados.

Para eso deben reenviar los mensajes basura recibidos al 7726 (es decir, al número SPAM , según la asignación de letras al teclado) para que entren en una base de datos, donde serán analizado y marcados como tal, si efectivamente son spam.

Según la compañía, en el último mes recibió 10.000 reportes de 4500 usuarios, lo que le permitió identificar (y bloquear) a los números que estaban haciendo spam. El fenómeno de los mensajes basura no es sólo local: en Estados Unidos, durante 2012 se enviaron 4500 millones de SMS que califican como spam, según la agencia Bloomberg.

Fuente: La Nación

Spam de farmacias online utiliza Google Translate para camuflar enlaces sospechosos

abril 4, 2013 § Deja un comentario

Una de las variantes de spam que ha persistido a través de los años, e incluso ha ido evolucionando para evitar ser detectado por los filtros antispam, es el de las farmacias online. No pasa una semana sin que recibamos una nueva variante ya sea aprovechando una festividad como el día de los enamorados o la Pascua que nos encontramos celebrando en estos momentos.
La mayoría de usuarios ya deberían estar precavidos acerca de este tipo de correos electrónicos, pero el continuo flujo de estos nos hace pensar que siguen siendo rentables para los ciberdelincuentes que se esconden detrás de estas falsas farmacias online. Veamos uno de los casos más recientes en llegar a nuestro laboratorio que nos llamó la atención por la redirección usada en el enlace que se nos proporciona en el cuerpo del mensaje.
Si nos fijamos, el mensaje utiliza un asunto que no se corresponde con el contenido. En el asunto se menciona la suspensión de una cuenta de Facebook mientras que en el cuerpo del mensaje se invita al usuario a comprar medicinas online. Muy probablemente se haya aprovechado el asunto de una campaña de spam anterior o no se ha querido mencionar el asunto de la farmacia para así hacer que el usuario baje la guardia y sea más propenso a pulsar el enlace.
Lo interesante en este caso es observar que el enlace apunta, no a un dominio extraño (al menos aparentemente) ni a un dominio vulnerado, si no a google.com. El motivo de apuntar a Google, y más concretamente al servicio Google Translate, es el de evitar los filtros antispam que puedan tener instalados los usuarios domésticos o las empresas ya que se trata de un dominio que no suele estar bloqueado en prácticamente ninguna red.
No obstante, este enlace encierra una trampa y es que, realmente, lo que inicialmente parece un enlace a Google Translate, es en realidad una redirección a un enlace corto del tipo bit.ly. Para entenderos, cualquier usuario puede pegar un enlace en Google Translate y decir que lo traduzca a un idioma (incluyendo el idioma original) y hacer que este servicio de Google actue como proxy. Esta técnica se ha estado usando durante años para saltarse restricciones en redes con filtrados de contenidos, controles parentales o incluso el gran cortafuegos de China, y aún hoy sigue obteniendo resultados aceptables.
Usando esta técnica los ciberdelincuentes pueden incluir cualquier tipo de enlace tras la petición a Google Translate, puesto que este servicio se encargará de redireccionar al usuario a la web que quiera el atacante. En este caso se trata de una farmacia online, convenientemente decorada con motivos de pascua, pero podría ser cualquier cosa, incluyendo un enlace desde el que se descargase malware.
Una técnica tan sencilla como esta hace que muchos sistemas antispam fallen y que el usuario confíe en el enlace proporcionado por correo al ver el dominio google.com en él. Es por ello que, si no lo hemos hecho todavía, debemos aprender a reconocer un mensaje malicioso antes de pulsar sobre cualquier enlace proporcionado, puesto que si hacemos clic sobre el mismo puede que ya sea demasiado tarde.
Nota de la redacción de Segu-Info:
Ver también:

Sobre API de Google Translate discontinuada en 2011:

Autor: Josep Albors

Fuente: Laboratorio Ontinet.com

El "Príncipe del spam" está en la mira por el ataque DDoS a Spamhaus

abril 1, 2013 § 2 comentarios

El intenso ataque DDoS que afectó a la organización antispam Spamhaus durante marzo sigue dando mucho de qué hablar. Se siguen buscando a los responsables y, al parecer, una de las personas de las que más se sospecha es el hacker holandés Sven Olaf Kamphuiso, conocido como “El príncipe del spam”.

La semana pasada, Spamhaus anunció que se estaba recuperando de un ataque de negación de servicio que alcanzó los 300 Gbps y tuvo repercusiones en la velocidad de Internet de millones de usuarios de Europa. El ataque se calificó como “el mayor ataque DDoS de la historia” y recibió mucha atención de los medios de comunicación y expertos de la industria.

Kampuhuso es dueño de la empresa CyberBunker, que fue agregada a la lista negra de Spamhaus poco antes de que comenzaran los ataques, lo que despertó sospechas en su contra.

El hacker confirma que él y su compañía tienen un largo historial de confrontaciones, y opina que Spamhaus es una organización dedicada a censurar Internet de un modo arbitrario, y esta vez bloqueó su sitio “sin el veredicto de ningún tribunal, sólo bloqueando servidores y con puras mentiras de judíos. Nadie jamás ha eligido a Spamhaus para determinar qué puede y no puede estar en Internet”, dijo.

Pero, a pesar de su rechazo y rivalidad hacia la organización, Kamphuiso asegura que su empresa no tiene ninguna relación con los ataques DDoS de los que se la culpa. “No fuimos nosotros. Es un colectivo de muchas personas y servidores de Internet. Dudo que los puedan encontrar”, opinó.

Fuente: Viruslist

Implementación del protocolo DMARC (y II)

febrero 28, 2013 § Deja un comentario

En la primera parte se analizaron los objetivos del protocolo DMARC y cómo el mismo se puede utilizar para asegurar la autenticidad del origen de un correo electrónico. A continuación se analizará la anatomía de un registro DMARC en los DNS y cómo se debe realizar su implementación.

Las políticas DMARC aparecen en el DNS como texto (TXT), registros de recursos (RR) y avisa lo que debe hacer un receptor con los correos no alineados que recibe.

Consideremos un ejemplo DMARC con registros TXT y RR, para el dominio “sender.dmarcdomain.com” con:

"v=DMARC1;p=reject;pct=100;rua=mailto:reports@dmarc.org"

En este ejemplo, el remitente solicita que el receptor rechace abiertamente todos los mensajes no alineados y envíe un informe, sobre el rechazo a una dirección concreta. Si el remitente estaba probando su configuración, podría sustituir “reject” por “quarantine” e indicarle al receptor que no necesariamente debe rechazar el mensaje, pero que tenga en cuenta ponerlo en cuarentena.

Este registro se puede observar fácilmente al hacer una consulta DNS por tipo de registro “TXT”:

$ nslookup
> set type=TXT
> _dmarc.dmarc.org
Non-authoritative answer:
_dmarc.dmarc.org text = "v=DMARC1\; p=none\; pct=100\; rua=mailto:reports@dmarc.org\; ruf=mailto:reports@dmarc.org"

Los registros DMARC siguen la sintaxis “tag-value” para los registros DNS basados ​​en claves definidas en DKIM. La siguiente tabla ilustra algunas de las etiquetas disponibles:

Nota: Los ejemplos de la tabla son sólo ilustrativos y no deben ser considerados en lugar de la especificación. Por favor, consulte la página de especificaciones para información más actualizada y precisa.

Cómo implementar DMARC en 5 pasos

DMARC ha sido diseñado en base a la experiencia real de algunos de los emisores y receptores más grandes del mundo que ya implementan SPF y DKIM. Hay un número de métodos integrados para facilitar el procesamiento de DMARC, de modo que todas las partes pueden facilitar el despliegue en el tiempo. Entonces, los pasos serían los siguientes:

  1. Implementar DKIM y SPF.
  2. Estar seguros que los anuncios publicitarios se están alineando correctamente con los identificadores apropiados.
  3. Publicar un registro DMARC con el flag “monitor” establecido por la política, pidiendo informes de datos.
  4. Analizar los datos y modificar los flujos de e-mails, según corresponda.
  5. Modificar las banderas de las políticas DMARC de “monitor” para “cuarentena” o para “rechazar” en base a la experiencia que vaya adquiriendo.

A continuación se puede observar un video de entrenamiento para hacerlo:

Fuente: DMARC

Mauro D. Gioino de la Redacción de Segu-Info

¿Dónde estoy?

Actualmente estás explorando la categoría Spam en Seguridad Informática.