Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

N-ésimo ataque de phising contra la entidad Banesto. En esta ocasión las páginas que buscan engañar a los clientes de Banesto son:

https://www.banesto.es/npage/login?ID=P49315

https://www.banesto.es/npage/login?ID=E72391

Aunque realmente el enlace apunta a una web distinta la de Banesto (http://providend.com/deploy/filemanager/tmp/.bash_history…etcetc). Cada vez son más sofisticados los ataques y los argumentos más diversos. En el siguiente correo hemos recibido en numerosas ocasiones durante los últimos días nos intentan convencer que se ha accedido a la cuenta de internet del banco a través de diferentes direcciones IP, y por este motivo, y “según la legislación vigente” actualizan sus sistemas informáticos, intentándonos convencer de la necesidad de acceder a la cuenta antes de una determinada fecha, transcurrida la cual darán de baja nuestra cuenta de forma indefinida, algo que lógicamente no es verídico.

El correo tiene los siguientes literales:

“Estimado Cliente,

Según nuestros registros informáticos, hemos detectado recientemente que los accesos a su cuenta a través de Banca por Internet han sido realizados desde diferentes direcciones IP.

Esto seguramente se debe a que la dirección IP de su ordenador es dinámica y varía constantemente, o debido a que usted ha utilizado más de un ordenador para acceder a su cuenta.

Debido a este suceso y en cumplimiento con la legislación vigente, hemos actualizado nuestros sistemas informáticos para brindar una mayor seguridad a nuestros clientes, por lo cual necesitaremos que ingrese en su cuenta y efectúe una   verificación de su actividad reciente. Los procedimientos de seguridad requieren que usted verifique la actividad en su cuenta antes del 27 de abril de 2006. De no ser así, transcurrida esta fecha, el sistema informático automatizado de BanesNet suspenderá su cuenta indefinidamente.

Desde ya le agradecemos su cooperación en este aspecto.

Para ingresar a su cuenta a través de Banca por Internet Particulares y verificar la actividad de la misma, debe pinchar sobre el siguiente enlace:
https://www.banesto.es/npage/login?ID=P49315

Para ingresar a su cuenta a través de Banca por Internet Empresas y verificar la actividad de la misma, debe pinchar sobre el siguiente enlace:
https://www.banesto.es/npage/login?ID=E72391

Apreciamos su ayuda y compresión, pues trabajamos juntos para que Banesto sea cada día un lugar mas seguro para hacer negocios.

Departamento de Seguridad
Banesto

Por favor no responda a este correo electrónico, esto es un correo automatizado solo para notificaciones.

© Banco Español de Crédito S.A. Todos los derechos reservados”

Recordamos una vez más a todos los internautas la necesidad de no responder a estos correos ni acceder a las citadas páginas falsas, y borrarlos de inmediato.

El nuevo método de los ciberdelincuentes para captar victimas mediante una falsa oferta de trabajo,  el objetivo es blanquear el dinero estafado a las victimas del phishing con el pretexto de una oferta de trabajo fácil y bien retribuida

Los últimos ataques ofrecían las siguientes ofertas:

Oportunidad de ganar dinero
Trabajo en tiempo libre con salario digno
Cansado de salario bajo? Es tiempo de aumentarlo!
Salario alto constante, es lo que necesita?
Como tener salario digno
El mejor método de aumentar sus ingresos

Estas ofertas conducían a alguna de las siguientes webs falsas:

www.rse-es.net
www.rse-it.net
www.rse-online.com

Estas ofertas de trabajo que ofrecen un buen sueldo sin apenas hacer nada, o bien trabajar desde casa unas pocas horas, no son ningún chollo, sino que son la segunda victima del phishing.

En el primer eslabón del phishing los ciberdelincuentes consiguen estafar el dinero de sus victimas saqueando sus cuentas, Es decir logrando las claves y cuentas bancarias de una víctima por medio de la falsificación de la página web de la entidad financiera a la que pertenezca el engañado

Después atraen a una segunda victima con correos electrónicos, y ofertas irresistibles captan a los supuestos trabajadores, llamados muleros, éstos les proporcionan una cuenta corriente a su nombre. Ahí empieza todo. Al tener las claves los estafadores hacen un ingreso bancario al mulero directamente desde la cuenta del estafado por phishing.

En el siguiente paso los estafadores avisan al mulero y le indican que se quede un porcentaje que normalmente es del 5 % y que será su comisión de trabajo, el dinero restante tiene que enviarlo por medio de uno de los múltiples sistemas de pago por internet a un destino que los estafadores le indiquen. Allí estos sacaran el dinero por medio de una clave que solo ellos conocen. Con este método los ciberdelincuentes no dejan rastro de su delito y quedan impunes.

Desde la Asociación de Internáutas avisan de la necesidad de dudar de estas ofertas de trabajo y evitar estar involucrado en la comisión de un delito de estafa puesto de manifiesto por el hecho de que las transferencias se realizan desde la cuenta del mulero que cree estar realizando una actividad legal desde su cuenta bancaria.

Ha sido descubierto un sitio web ruso que vende un kit de programas espía, llamado WebAttacker, por cerca de 15 euros. En este sitio web, cuyos autores se congratulan de ser  creadores de programas espía y adware, se pueden comprar kits de programas espía, y ofrece además soporte técnico a sus compradores.

En los kits se incluyen también consejos para simplificar la tarea de infectar ordenadores, de modo que el comprador sólo tenga que mandar mensajes de spam invitando a sus destinatarios a visitar una página web. Los ejemplos encontrados revelan mensajes de temas de interés periodístico que intentan captar la atención de las víctimas. Uno de ellos se presenta como una advertencia sobre el virus H5N1 de la gripe aviar, y contiene enlaces a un sitio web infectado, que se hace pasar por consejos para proteger “a usted y a su familia”. Otros mensajes afirman que Slobodan Milosevic fue asesinado e invita a los destinatarios a visitar el sitio web para obtener más información. Estos sitios web descargan código malicioso en los ordenadores de las víctimas aprovechándose de los navegadores web y de las vulnerabilidades del sistema operativo (recordemos el reciente bug crítico para IE)

Este tipo de comportamiento incita a los que son meros aficionados informáticos a la ilegalidad. Al simplificar las tareas del crimen por tan sólo 15 euros, este tipo de sitios web van a atraer a muchos oportunistas que no son precisamente unos genios informáticos y los van a convertir en cibercriminales.

El código JavaScript de los sitios web infectados detecta la versión del navegador web y el sistema operativo del equipo de las víctimas, incluyendo los parches instalados, y lanza así el ataque más apropiado para cada ordenador. A través de este ataque se descarga un programa que intenta desactivar el cortafuegos e instala un programa malicioso, generalmente un programa que roba contraseñas, un capturador de pulsaciones del teclado o troyanos de bancas on-line. Hace unos días comentábamos cómo cada vez es más frecuente que los ataques a equipos persigan fines económicos.

A medida que se generalizan los ataques por Internet, vamos a ver aparecer cada vez más y más tipos de sitios web como éstos. Hay mucha gente que quiere sacar provecho de este mercado sumergido de los cibercriminales, y aparecerán otras páginas que propongan kits, bases de datos o direcciones de correo electrónico, así como troyanos o programas espía. Mientras circule el dinero en este negocio seguirá habiendo gente interesada en él.

Los sistemas de identificación por radiofrecuencia (lo que conocemos como el famoso RFID), además se usarse para distintos métodos de identificación personal, son un nuevo método de identificación de productos, que está compuesto por un lector, una antena y una etiqueta de radiofrecuencia. Este sistema es muy utilizado por los agentes de la cadena de suministros para reducir costes de identificación de existencias. Este sistema está llamado a ser el sustituto del código de barras.

Sin embargo la privacidad de estos sistemas está en entredicho ya que está tecnología no se desactiva una vez adquirido el producto por el cliente y permite que el control del producto continúe aunque haya concluido la cadena de fabricación y distribución.

Otro y no menos importante problema que presenta está tecnología es la aparición de nuevos ataques en forma de virus especializados para este software.

Las etiquetas reaccionan al ser expuestas a una señal de radiofrecuencia y devuelven un pequeño código numérico. Un atacante malintencionado puede modificar este código y producir fallos en el sistema que podrían llegar incluso a la inutilización completa del sistema.

En realidad el fallo en el sistema se produce en el lector del código que puede malinterpretar los datos captados en la etiqueta. Así pues vemos otro claro punto negativo para el uso de RFID, bien sea para la identificación de personas, o de productos, como en este caso.

La alerta la ha facilitado la Asociación de Internautas que señala un gran ataque que aprovecha la vulnerabilidad WMF de Microsoft. El ataque se vuelve a producir con el sistema del correo. La web falsa es http://deagtea.com

Al enviar la orde que lleva el mensaje se ejecuta un programa que se activa sin la autorización del usuario. Según ha facilitado la Asociación de Internautas el mensaje enviado por los estafadores es el siguiente:

—–Mensaje original—–
De: Canon Online Store [mailto:order_85693258A@canon.es]
Enviado el: martes, 07 de marzo de 2006 14:47
Para: REMITENTE
Asunto: Su orden #85693258A a total de ˆ 729 fue aceptado

Le agradecemos a Ud una compra con nuestra empresa.

Su orden No 85693258A para Canon EOS 350 D Digital Camera a total de ˆ
729 fue aceptado.

Su carta bancaria se incluira en aquel importe.

Le agradecemos su compra.

Ud puede comprobar su orden en sus Parametros del Usuario

http://deagtea.com Apriete aqui para ver su orden

Muy atentamente,
Canon Online Store
—–Mensaje final—–

Es aconsejable hacer caso omiso de este tipo de mensajes y eliminarlos de inmediato.

Un auditor externo a la propia compañía, extravió un CD que contenía información privada, confidencial y con datos críticos de empleados actuales y antiguos empleados de la compañía McAfee. El CD fue perdido el 15 de Diciembre por la compañía Deloitte Touche de Estados Unidos. El contenido del disco eran datos personales de miles de empleados de Estados Unidos y Canadá. Si caen en malas manos pueden servir para cometer fraudes contra estos trabajadores, los cuales ya han sido notificados de este suceso.

Una encuesta realizada por Sophos a más de 600 usuarios profesionales muestra que el 58% de los encuestados recibe al menos un mensaje de pesca de información al día. Aún más preocupante es el hecho de que el 22% recibe diariamente más de cinco mensajes de este tipo, lo que prueba que la criminalidad informática con motivación económica experimenta un rápido crecimiento. Estadísticas recientemente publicadas por el Grupo de Trabajo Anti-Phising (APWG, o Anti-Phishing Working Group), respaldan esta teoría, puesto que la organización detectó 15.244 ataques de phishing en diciembre de 2005, un aumento de 8.829 en comparación con diciembre de 2004.

El aumento de los ataques de pesca de información se debe a su éxito. Cada día nuevos usuarios se convierten en víctimas de estas tácticas ilegales. A un ritmo de cinco mensajes al día, los usuarios o bien se han convertido en expertos en su detección o bien ya han caído alguna vez en la trampa. Con unos métodos cada vez más elaborados, se recomienda que se observe con la más extrema prudencia todos los mensajes no solicitados, y sobre todo evitar en  cualquier caso la comunicación de información confidencial.

En España, La Asociación de Internautas registró el año pasado casi 300 ataques de pesca de información a diferentes entidades. Esto ha hecho que algunos de los afectados, como por ejemplo Unicaja, tome rápidas medidas para prevenir a sus clientes de posibles engaños a través de páginas web fraudulentas.

Aunque la mayoría de los mensajes de pesca de información se hacen pasar por información procedente de empresas en línea como Ebay o de grandes bancos, existen también otro tipo de instituciones que se han convertido en objetivo de este tipo de ataques. Por ejemplo, la administración central americana (IRS) se convirtió en objetivo a causa de un error en la configuración de seguridad de su verdadero sitio web, que permitía reconducir a sus visitantes a una falsa dirección Web.

Las empresas son responsables de la seguridad de sus propios sitios Web, pero es difícil luchar contra los “pescadores” de información que explotan su imagen a escondidas. En el futuro, los ataques de pesca de información serán cada vez más sofisticados, lo que obligará a los usuarios a extremar sus precauciones. Si se tiene una mínima sospecha, no se debe dudar en ponerse en contacto con la sociedad en cuestión para corroborar la autenticidad del mensaje

Según informa Dirson, la Administración de EEUU está elaborando una ley para proteger a los menores de la pornografía en Internet, y fruto de esto requirió en el 2.005 a Google que le proporcionara  datos confidenciales como la hora, día, tipo de navegador, idioma y dirección IP de cada consulta realizada en todo el año y las direcciones web de un millón de páginas elegidas al azar.

Google en su momento se negó a proporcionar estos datos alegando su compromiso de privacidad con sus usuarios reflejado en su política de privacidad acordada con sus usuarios que le obliga a no proporcionar los mismos a ninguna persona, excepto en casos de que sea requerida judicialmente.

La compañía intentará impedir por todos los medios ofrecerlos con el pretexto de que la elaboración de una ley para proteger a los menores no es suficiente para facilitar datos confidenciales de los registros de búsquedas realizados por millones de personas de todo el mundo. 

Un usuario de Terra ha presentado una denuncia ante el Tribunal Superior de Justicia de Cataluña por presunto delito informático. El demandante, Iván-José Fernández afirma que en el mes de noviembre pudo acceder de forma casual a datos personales de otros usuarios, como DNI, dirección, teléfonos e incluso números de cuenta, datos que solo deberían ser accesibles para sus titulares.

Según pone de manifiesto la denuncia era posible acceder y modificar tales datos e incluso era posible cambiar las claves de acceso para impedir que sus titulares puedan acceder a esos datos y modificarlos o darlos de baja.

Tras el descubrimiento el denunciante puso en conocimiento de Terra tales hechos, la cual comprobó y reparó inicialmente este fallo de seguridad y solucionó “a priori” el problema.

Fue entonces cuando el Sr. Ivan comprobó días después que el acceso a los datos personales se podía realizar igualmente desde otro fallo de seguridad en el sistema de Terra. El Sr. Ivan puso en conocimiento de la compañía este nuevo fallo de seguridad y volvio a solucionar el problema. Sin embargo, el fallo de seguridad no fue solucionado, y a día de hoy no se tiene constancia de haber sido solucionado por completo.

Esperemos que la Justicia actúe con eficacia y se resuelva rápidamente la grave situación creada.

Fuentes: El Navegante, Barrapunto

El ataque de “phishing” que recibe estos últimos días la banca online hace replantearse la pregunta sobre la seguridad que dan los bancos a sus clientes, y en especial sobre la información que reciben los usuarios. En esta ocasión los ciberladrones aprovechan los pasados días festivos para enviar miles de correos electrónicos falsos simulando ser una entidad bancaria para realizar sus ataques.

Ha habido tres entidades afectadas: Bancaja, Banesto y Caja Madrid

El correo enviado simulando la entidad bancaria Bancaja es el siguiente;

“Cliente querido,
Le estamos entrando en contacto con usted para recordarle que en 01.07.06 nuestro equipo de la revisión de la cuenta identificó una cierta actividad inusual en su cuenta. Su cuenta de Bancaja fue verificada por nosotros y todo se parece ser aceptable. Hemos hecho un pequeño informe sobre todas las actividades que suceden en su cuenta en el mes pasado.
Compruebe por favor este informe chascando el acoplamiento abajo:

http://www.bancaja.es/controlparticulares-client…………….

Si es algo que usted no entiende por favor éntrenos en contacto con nosotros por el teléfono o correo electrónico.”

Y el enlace envía a la dirección falsa http://www.easy-click.ch.

Con respecto a la entidad Banesto las web falsas son (omitimos el enlace para evitar publicidad y accesos no deseados):

http://www.americanangst.com/taybite/images/cidilon.php
http://artcoleadedglass.com/images/bansto.php
http://semiconbank.com/AsaStat/cgdimpli.php

La web falsa de Caja Madrid es:

http://www.cajaamadrid.com

Es extremadamente peligroso atender estos correos y debemos extremar las precauciones y eliminarlos.