Archivos de etiquetas: alerta

ALERTA PHISHING: Chilexpress

Una vez mas somos testigos de como los ciberdelincuentes nos atacan, intentando apropiarse de nuestras claves de acceso o instalar algun malware que sirva para extorsionarnos de alguna forma como es el ransomware.
En esta oportunidad nos encontramos con un correo que aparenta venir de la empresa de courier Chilexpress, en el cual aparece un número de seguimiento y un link que nos invita a revisar el estado de la encomienda que supuestamente recibiremos.

Los links que figuran en el correo de phishing en realidad llevan a otra dirección la cual al ingresar nos muestra un mensaje de “sin permiso”:

El ataque contiene mecanismos de detección de análisis, aunque se detectó que descarga archivos con extensión .cab y que instala “parches” en procesos en ejecución.
El resultado de Hybrid-Analysis se puede encontrar en http://tinyurl.com/yb8cez8c
Recomendaciones
La principal herramienta ante un ataque por phishing es la observación, el ataque de phishing intenta engañar a la víctima para que ingrese a links enmascarados o entregue información sensible a los atacantes, esto lo intenta hacer al enviarnos correos o mostrando mensajes en páginas intervenidas con el siguiente tipo de mensajes:
“Ingrese para ver el detalle de su transferencia/encomienda/multa””Confirme sus datos de acceso””Ha ganado! ingrese para reclamar su premio”
y muchos mas.
Por tanto, atención al recibir correos inesperados con mensajes que nos invitan a ingresar a sitios o entregar datos de forma “urgente”.

Phishing Netflix… ¡cuidado! (curso de como reconocer phishing y no caer en el intento)

Piense en las últimas historias de brechas de seguridad: F**KWIT, KRACK, ransomware, malware sin archivo, Intel… existen muchos candidatos a la historia con mayor atención.
Sin embargo, los ataques de phishing rara vez tienen una atención tan intensa, posiblemente sea por su gran variedad y cantidad.
De alguna manera el phishing se ha transformado en un problema asumido en el cual mucha gente espera que esto exista, sea víctima, aprenda y lo supere.
Aún así, el phishing es un gran negocio para los ciber delincuentes, tan solo la semana pasada SophosLabs interceptó ataques de phishing que abusaban de la imagen de varias instituciones financieras: eBay, PayPal, VISA, AMEX, Bank of America, Chase, HSBC, y otros, muchos otros.
Proteger su marca contra el abuso de los impostores suena, tristemente, tan bueno como imposible, especialmente si su marca es bien conocida y ampliamente publicitada.
Cada vez que envía un correo, publica un articulo en un blog o escribe un comunicado de relaciones públicas, o sube una imagen a su sitio, está entregando material para que estos ciber criminales copien y peguen en sus propias creaciones.
Los ataques de phishing buscan principalmente “pescar” información que sólo los usuarios debiesen saber, como por ejemplo:
Nombres de usuario y contraseñas para cuentas válidas.
Números de tarjetas de credito, fechas de expiración y códigos CVV.
Información personal que normalmente usted no entregaría.
Robo de la marca Netflix
La semana pasada, una campaña de phishing que afectó la marca Netflix sobresalió en las noticias.
Aún cuando podamos detectar los “phishes” a lo lejos, siempre es válido recordarnos cada cierto tiempo lo que podría salir mal una vez que uno comete un error y le entrega el click a estos ataques.
Así es como podríamos hacer un tour guiado tomando como referencia este caso, ya que nos engaña para obtener nuestros datos de inicio de sesión, datos de tarjeta de crédito, foto de perfil e identificación.

Aqui hay un truco simple, en la linea del asunto aparenta ser de Netflix pero los criminales escribieron la “x” como la letra griega “chi”, entonces “Netflix” se transforma en “Netfli𝛘”.
Recuerde: nunca de click en links de “actualice su cuenta” que vienen en correos, ya que no se puede saber a simple vista a donde realmente llevan.
Mantenga un registro de sus sitios favoritos en los cuales inicia sesión e ingrese directamente en ellos, de este modo evita trucos como este:

Note que este sitio (falso) tiene el candado que indica una conexión segura HTTPS, lo que podría convencer bastante… PERO un candado no significa que uno automáticamente debe confiar en el sitio.
En este caso hackearon un sitio que efectivamente tiene un certificado HTTPS válido, luego subieron sus paginas de phishing para que parezcan con mayor credibilidad.
Por una parte, el sitio es “seguro”, pues efectivamente pertenece a la compañía a la que el certificado menciona; por otra parte, no es seguro en absoluto debido a que está mostrando contenido malicioso.

Una vez de que ya tienen el nombre de usuario y contraseña, solicitan los detalles de la tarjeta de crédito.

Este phishing contiene una falta de gramática (en inglés) que debería ser una luz de alerta, luego de esto nos solicitan verificar los datos en un sitio de verificación de VISA, el cual también es falso.

Después los criminales quieren reasegurar su botín y solicitan una foto de la identificación y cara:

Luego de todo este proceso lo redireccionan a la pagina REAL de Netflix para continuar con un la sesión normal.
Repasando:
Nunca haga click en un link de inicio de sesión incluido en un correo no esperado.
Revise el candado HTTPS, el nombre del sitio al que apunta, si no hay candado HTTPS, olvídese de seguir en ese sitio.
Jamas ignore detalles como faltas de ortografía y gramática, sirven para delatar delincuentes que muchas veces ni siquiera hablan el idioma con el que pretenden estafar.
Guarde su identificación de forma segura, si se le solicita una selfie con algún carnet, sospeche y salga de ese sitio.
Como regla general: ante la duda… abstente!

Vulnerabilidad en routers Huawei permite que sean utilizados por el botnet Mirai

Los ciber delincuentes siempre están buscando espacios para sacar algún provecho y realizar sus actividades perjudiciales. En este caso son los routers domésticos de la marca Huawei, en específico el modelo HG532. Este modelo es familiar en muchos hogares al ser utilizado por ciertos proveedores de Internet, lo que combinado con la falta de conocimiento de los usuarios de estos aparatos resulta en un trofeo demasiado atractivo para una parte de los malhechores digitales.
La vulnerabilidad en estos aparatos se trata de un error en la configuración de las políticas de seguridad para el protocolo de administración remota. Por tanto, un atacante puede tomar el control del dispositivo al enviar una serie de comandos creados y válidos para esto.
Específicamente se trata del servicio de actualización del dispositivo, ya que es posible modificar su funcionamiento para que aloje un botnet del tipo Mirai, lo que posteriormente permite al atacante realizar diversas actividades como espiar las comunicaciones o realizar un ataque del tipo DDOS al tener el control de muchos dispositivos.
Huawei ya está tomando medidas al respecto para mitigar el problema al activar el firewall del dispositivo.
En caso de poseer uno de estos artefactos contacte al servicio técnico de su proveedor de internet (foto referencial al comienzo de este artículo).
Fuentes:
Security Notice – Statement on Remote Code Execution Vulnerability in Huawei HG532 Product
Huawei Home Routers in Botnet Recruitment
Huawei Routers Exploited to Create New Botnet
Huawei HG532 Router Remote Code Execution