Octubre 03, 06 by admin
Malas noticias para los que usamos a diario Mozilla Firefox. En varios medios (Barrapunto, La Flecha) publican la reciente aparición de una vulnerabilidad de tipo “0 day”, aún no parcheada y explotable (ha sido publicado código que lo demuestra), por lo que coge de imprevisto a los desarrolladores de Mozilla. El gran problema de este asunto, radica en la cierta “maldad” por parte de los descubridores del bug, ya que en lugar de informar previamente a los responsables del navegador, lo han difundido en una conferencia, probablemente con la intención de ganar cierta publicidad ante los medios o incluso de vender información crÃtica.
El problema de seguridad se encuentra en la creación de nuevos objetos Javascript dentro de la aplicación, que parecen no ser validados correctamente, siendo explotable de forma remota. Javascript es un lenguaje muy utilizado e importante dentro de la programación de Firefox. Habrá que esperar a que Mozilla pueda resolver este incidente lo antes posible. Más información en inglés en Securiteam
Octubre 02, 06 by admin
Todos sabemos o deberÃamos saber en que consiste el phishing: tÃpicamente es un mensaje electrónico supuestamente enviado por alguna entidad bancaria (o cualquier otra entidad conocida) que amenaza con anular una cuenta bancaria si no se accede a la misma o que indica que ha habido algún problema con la base de datos del banco y debe acceder a su cuenta bancaria para corroborar algún extremo de su cuenta, indicando una dirección falsa donde hay montado un servidor por parte del atacante para obtener claves de la vÃcticma (a grosso modo)
En Australia y Estados Unidos los ciberdelincuentes han variado su “modus operandi” y han utilizado la telefonÃa IP para enviar el mensaje electrónico e indican un número de teléfono al que llamar y mediante una grabación virtual solicitan a la victima su número de tarjeta, contraseña y datos bancarios, técnica conocida como “vishing”. Esta vez, el correo malicioso en vez de invitarnos a acceder a una página maliciosa (más o menos bien conseguida), nos sugiere con la excusa de turno que llamemos a un número de teléfono. La gravedad de esta estafa está en que al llamar a ese número, nos atiene un sistema automatizado que nos irá pidiendo la información sensible. Todo limpio, aséptico y por ello probablemente con un buen porcentaje de estafas ya que los usuarios normalmente tienen menos miedo a un medio como el teléfono que a los medios electrónicos.
Según varios expertos estos intentos de fraude irán en aumento. La voz IP es fácil de usar y es de bajo coste y el funcionamiento se adapta a los objetivos de los ciberdelincuentes. Hay programas para crear centralitas que simulan ser una empresa y con voces grabadas de profesionales. Pueden estar instaladas en cualquier lugar del mundo y utilizan un número local y redireccionan las llamadas.
Otra modalidad de phishing es el llamado “smishing” que usa los mensajes SMS de los teléfonos móviles para realizar el ataque. Los mensajes intentan convencer para que se visite un enlace fraudulento, pero no llegan por correo electrónico sino por mensaje corto (SMS) al móvil. El primer caso de smishing ocurrió en china donde algunas personas comenzaron a recibir un mensaje con el siguiente texto en su teléfono (en inglés): “Estamos confirmando que se ha dado de alta para un servicio de citas. Se le cobrará 2 dólares al dÃa a menos que cancele su petición: www.XXXXXX.com”.
Los usuarios, temerosos de la amenaza de cobro (quizás pensaban que el cargo serÃa retirado del saldo de su tarjeta) acudÃan a obtener más información a la dirección indicada. En ella, si se visitaba usando Microsoft Windows (imaginamos que mediante alguna vulnerabilidad de Internet Explorer) y sin las medidas de seguridad necesarias, el incauto era infectado por un troyano. En otros casos el mensaje adjuntaba un número de teléfono al que llamar. Un ciudadano de PequÃn lo hizo y una voz grabada le pidió los datos de su cuenta. Horas después le habÃan vaciado su cuenta bancaria.
Fuente: Iblnews
