Haciendo uso de un perfil falso en la red social, se ha difundido un mensaje de correo electrónico privado, incluyendo la opción “echa un vistazo a mis últimas fotos”, así como un enlace a una URL externa. De este modo, Check Point ha podido averiguar cuántos usuarios realmente abrieron el mensaje e hicieron clic en el enlace.

Según los resultados obtenidos tras la prueba, de cada 200 usuarios que recibieron ese correo electrónico, 71 hicieron clic en el enlace tratando de acceder a la página adjunta, es decir, el 35% de las personas a las que se les envió el correo. Si ese vínculo se hubiese redirigido a una página infectada o un sitio de phishing, más de 71 ordenadores podrían estar infectados o haber sufrido una maniobra de ataque de algún hacker.

Además, el experimento demostró que acceder a los perfiles de muchos usuarios es sencillo, por lo que cualquier desconocido podría disponer de nuestra información personal en cualquier momento, como direcciones de correo electrónico o datos privados y personales, como la fecha de nacimiento, el nombre de su mascota. Este tipo de información es más que suficiente para que los piratas informáticos puedan cometer actividades delictivas.

“Esta acción ha demostrado el poder que tienen las redes sociales para propagar ataques de phisihing entre los usuarios”, afirma Guy Guzner, director de productos de seguridad de Check Point. “Para un hacker es bastante sencillo hacer uso de estas herramientas para expandir sus enlaces maliciosos, gusanos, troyanos o virus a un grupo amplio de usuarios confiados y en muy poco tiempo”.

“Los usuarios delas redes sociales creen que están navegando en un espacio seguro, íntimo y privado. Sin embargo, esto no es así. Muchos ciberdelincuentes mienten y se presentan como amigos sólo para robar información personal y confidencial, así como detalles financieros si es posible. Estas redes sociales no son más seguras que cualquier otro lugar en Internet, por lo que se debe tomar las mismas precauciones que, por ejemplo, en el correo electrónico”, concluye Guzner.

No hay que olvidar que existen soluciones informáticas que ayudan a solucionar esta problemática. Se trata de nuevas protecciones del puesto de trabajo que han sabido adaptarse a los nuevos tiempos sin renunciar a los beneficios que las redes sociales traen consigo. La pregunta es, ¿sabrán apostar las organizaciones por estas soluciones u optarán por renunciar a ellas? Asistimos, en cierto modo, a la misma reticencia que el empresario tuvo hacia el ‘boom’ de Internet, cuando abrir el negocio a la Red se interpretaba más como un riesgo que como una ventaja competitiva. Quienes renunciaron a esta ventaja, padecieron tiempo después las consecuencias, lamentándose por no haber aprovechado toda la tecnología que tenían a su alcance.

REDACCIÓN, LAFLECHA

Aunque los sitios Web infectados inocentemente, resultan en un gran porcentaje debido a fallos de seguridad, todavía abundan los correos electrónicos fraudulentos. Por desgracia, Atrás quedaron los días en que era fácil identificar maliciosos correo electrónico de phishing [2]por sus líneas extrañas y la gramática horrible.

Roger Grimes explica cómo detener las pérdidas de datos en un esclarecedor webcast de 30 minutos, Data Loss Prevention [3], que abarca las herramientas y técnicas utilizadas por los profesionales de seguridad experimentados. | Más información sobre cómo proteger sus sistemas con el boletín de seguridad libre de InfoWorld [4].]

Los Phishers de hoy, al menos, son gramaticalmente correctos. Los que sin educación o la experiencia suficiente para usar el lenguaje correctamente, naturalmente, hicieron menos dinero y se cayeron sus empresas criminales desde el principio, al menos que hayan contratado gente más inteligente.

La próxima generación de mensajes de phishing, que es todavía hoy predominante, se parece mucho a los mensajes legítimos de nuestros bancos, compañías de cable, servicios de pago electrónico en línea, y las compañías de tarjetas de crédito. Todo en el correo electrónico parece legítima, incluidos los gráficos que se originan en Sitio Web de la empresa real. (Los que incluyen un aviso de cuidado con falsos mensajes de phishing siempre me hizo reír.) La única cosa que es falso en el mensaje completo es el vínculo que las víctimas están obligadas a hacer clic para completar la acción solicitada.

Esta forma de “phishing” es bastante efectiva, pero los mensajes por lo menos contienen una pequeña pista (el URL o enlace falso) a los usuarios que deben evaluar la legitimidad de la petición. Los navegadores de hoy, con las características antiphishing, incluso podría alertar a un usuario final en contra de la carga del sitio Web falso.

Pero ahora los usuarios finales están siendo blanco de una nueva forma de phishing, llamado “spear phishing”, que se dirige específicamente a un usuario o empresa. Lanzan mensajes de correo electrónico de phishing ahora parecen más auténtico que la  mencionada, a menudo incluyendo el nombre completo del usuario o se refieran a un proyecto real de que el usuario está trabajando. Spear phishing suelen reunir esta información mediante la investigación táctica o incluso entrar en una base de datos, y es lo suficientemente eficaz para engañar incluso a los más hábiles de los usuarios finales.

A menudo, estas formas de intento de phishing para atraer a los usuarios finales es en funcionamiento con un programa caballo de Troya, la cual compromete el ordenador y la red de la empresa. La mayoría de las empresas con las que trabajo en estos días han sido explotados por uno de estos “spear phishing” e-mails. Si el usuario final se está ejecutando antimalware [5], el software de escaneo, el producto puede bloquear la instalación del Troyano.

He aquí un ejemplo de uno de estos mensajes, que me envió mi amigo y CISSP, Bob McCoy. Estaba dirigido a él directamente y parecía provenir de proveedor de servicios de correo electrónico de su empresa. (Para mayor brevedad y seguridad, me he quitado los nombres de proveedores, auténticos gráficos de aspecto, y los vínculos de los mensajes).

Estimado cliente:

Nos complace anunciar el go-fecha de publicación de un nuevo Centro de Datos, prevista para entrar en funcionamiento el 19 de abril de 2010.
Por favor, actualice sus reglas de cortafuegos para permitir el tráfico SMTP en el puerto 25 de los siguientes rangos de direcciones IP: 213.199.180.128/26 (213.199.180.129 – 213.199.180.190) 94.245.120.64/26 (94.245.120.65 – 94.245.120.126)

Si usted tiene la configuración de su servidor de correo electrónico que el control de las IPs que tienen permiso de conexión para el e-mail relay por favor confirme que los ajustes se actualizaron.

Vamos a ser capaces de probar y verificar las conexiones de una semana de antelación al 19 de abril de 2010. Además, vamos a ejecutar las pruebas de conexión de forma proactiva antes del lanzamiento, en nombre de todos los clientes y ponerse en contacto con usted directamente si se puede conectar a cualquiera de sus ámbitos de TODAS las direcciones IP de dicho dominio.

Antes de la puesta en marcha de las nuevas direcciones IP, le recomendamos que instalar y configurar la función de notificación de aplazamiento de alerta para sus dominios utilizando la opción de aplazamiento de notificación en la página de propiedades de dominio en el Centro de Administración. La función de notificación de alerta de Aplazamiento envía un mensaje a usted cuando haya un umbral de medida se ha cumplido o excedido de aplazamiento de correo electrónico en tu dominio. Después del lanzamiento de las nuevas direcciones IP, esta función le ayudará a asegurarse de que el correo electrónico enviado a sus dominios no se aplazó debido a los intentos fallidos de conexión a la red, y que avisará en caso de que el correo electrónico se aplaza más allá de su límites aceptables. Para obtener más información sobre cómo configurar la característica de Aplazamiento de notificación de alerta, consulte la Guía del Centro de Administración en el Centro de Recursos.

Por favor refiérase a la subpestaña Configuración del Centro de Administración para una lista completa de direcciones IP que deberían ser autorizadas a conectarse a su entorno en cualquier momento.

Basta analizar el contenido del mensaje de suplantación de identidad no reveló nada fuera de lo común. A diferencia de los correos electrónicos de phishing, todos los enlaces y direcciones de correo electrónico eran legítimos. No hubo sitios Web falsos y no ejecutables para instalar el caballo de Troya. Por el contrario, los atacantes son esencialmente instruir a las víctimas a abrir su servidor de correo electrónico para transmitir correo no deseado.

Al abrir este mensaje, Bob sospecha de la estafa de inmediato. Sus sospechas se han confirmado 10 minutos más tarde, cuando recibió un mensaje idéntico de otro proveedor. Otros usuarios no han sido tan afortunados.

Ya estoy al tanto de varios clientes que han caído en esta estafa. En cada caso, la víctima recordó conseguir un tipo similar de mensaje de correo electrónico cuando se firmó por primera vez en un servicio y, por tanto, pensó el falso mensaje era legítimo – sobre todo porque su nube / hosting proveedores se jactaba de todos los datos nuevos centros que Eres por introducir en línea.

Otros mensajes de phishing han dado instrucciones a los usuarios desactivar sus firewalls basados en host [6] y abrir recursos compartidos de red sin protección y permitir a pares demasiado permisiva para el intercambio de archivos entre iguales. Tiene los viejos tiempos de mensajes fraudulentos que los usuarios han hecho para borrar archivos del sistema operativo legítimo parecen relativamente inofensivos.

Como con cualquier correo electrónico sospechoso Phish, los beneficiarios deberán ponerse en contacto a los remitentes con otro supuesto fuera del método de la banda para confirmar la legitimidad. Por otra parte, usted debe actualizar su final de materiales de educación de usuarios para incluir este tipo de correos electrónicos de phishing.

Esta historia, “Los defraudadores perfeccionar sus ataques con” spear phishing “[7],” fue publicado originalmente en InfoWorld.com [8]. Siga las últimas novedades en seguridad [9] y leer más de Seguridad Roger Grimes Asesor blog [10] en InfoWorld.com.

Un nuevo estudio de la firma de seguridad Trusteer muestra que, una vez que los usuarios han sido atraídos a un sitio de phishing, un 45% de ellos termina introduciendo sus datos de identificación.

Se trata de datos tomados durante un análisis durante tres meses con una muestra de 3 millones de usuarios, clientes de bancos tanto estadounidenses como europeos.

Cada ataque de phishing perjudica a un número muy pequeño de clientes (0,000564%), pero debido a la gran cantidad de ataques de phishing que se producen, el número total de usuarios comprometidos es significativo. En el estudio, un 0,47% de los clientes de bancos son víctimas de este tipo de ataques de phishing cada año, lo que se traduce en unaspérdidas estimadas de entre 2,4 y 9,4 millones de dólares.

Con esta cantidad de dinero en juego, es capital que los usuarios tanto profesionales como de consumo aprendan a reconocer los correos electrónicos de phishing en el momento en el que les llegan a las bandejas de entrada.

En los entornos empresariales, este proceso debería comenzar con la formación. Por ejemplo, las empresas deberían enseñar a la gente a través de la experiencia, con ejercicios de simulación de phishing.

Cada día que pasa los ataques de phishing son más sofisticados, pero es fundamental tener en cuenta que ningún banco o caja de ahorros real nos enviará un mensaje de correo electrónico solicitando nuestros datos personales.

Enfoque Seguro

VÍA: eWeek

Cuidado con los juegos en línea, fíjate bien en la URL

Algunas de estas falsas páginas de Habbo Hotel están perfectamente diseñadas y es prácticamente  imposible diferenciarlas de las originales.  Si un usuario introduce en ellas los datos de su cuenta estará permitiendo que los delincuentes le suplanten y gasten sus “Habbo Créditos”,  la moneda que permite comprar elementos extras en este universo virtual. Por supuesto, el primer objetivo de los malhechores será cambiarlo por dinero contante y sonante, por ejemplo a través de la plataforma online de eBay.

Las tarjetas de crédito de los padres, objetivo de una estafa por phising 

Otro riesgo que sufren las víctimas de estos falsos Habbo Hoteles es el de la estafa bancaria. En la página oficial de Habbo se pueden comprar “Habbo Créditos” con tarjeta de crédito y por eso no extrañara a los usuarios habituales las ofertas de Habbo Créditos con que los cibercriminales les atraen a sus páginas de phising. Si el usuario introduce los datos de la tarjeta, los delincuentes se harán con ella y podrán cargar sus compras contra la cuenta corriente asociada a la tarjeta o bien venderla en los mercados negros de Internet.

Blogs para engañar a los usuarios 

En Alemania está circulando otra particular forma de estafa a la que los jóvenes usuarios de Habbo son especialmente vulnerables. Los “Habbo Créditos” pueden comprarse por teléfono a un precio de 3,30 € por 18 Habbo Créditos (puede haber pequeñas diferencias entre países) mediante un ID que legitima a cada usuario. El método es imitado por los estafadores una vez más para lucrarse de manera fácil: El estafador crea un blog donde atrae a los usuarios de Habbo con el reclamo de moneda gratis y ofrece un código para realizar la compra pero los Habbo Créditos comprados serán almacenados en la cuenta del estafador para su posterior uso o venta.

Enfoque Seguro

VÍA: Noticiasdot

El phishing ataca a un número importante de internautas cada semana

El crecimiento explosivo del fraude en línea ha hecho que los términos “phishing” y, en un menor grado, “pharming” se hayan incorporado al vocabulario de los usuarios de Internet durante el 2005. Tanto el phishing como el pharming son dos formas conocidas de fraude. Consisten en hacer creer a sus víctimas que están en un sitio web de confianza, como por ejemplo su propio banco, cuando en realidad se les ha conducido a un sitio web falso en el que se pretende robar su identidad y apropiarse de su dinero.

Enfoque Seguro

VÍA: Symantec

No en vano, para convertirse en víctimas, hasta hace poco los usuarios tenían que visitar de forma intencionada sitios maliciosos o hacer ‘clic’ en archivos adjuntados a un correo electrónico. Pero hoy en día la picaresca de los creadores de ‘malware’ ha hecho que cualquier internauta puede infectarse de una manera mucho más simple, navegando por ’sites’ aparentemente inofensivos. De hecho, actualmente los ‘hackers’ están atacando sitios ‘web’ legítimos y los están utilizando como el canal para entrar en los ordenadores de organizaciones y hogares. Ésta es una de las principales conclusiones del último Informe sobre las amenazas a la seguridad en Internet (ISTR) publicado por Symantec. Este estudio también destaca que los atacantes están vulnerando espacios que a todas luces son fiables para los usuarios, como las redes sociales.

En este sentido, los responsables de Symantec recalcan que si en el pasado bastaba con aconsejar que se evitaran los “callejones oscuros” de Internet, ahora los ciberdelicuentes se centran en vulnerar páginas legítimas para lanzar ataques a los usuarios finales, lo que subraya la importancia de contar con una eficaz política de seguridad, independientemente de los ‘sites’ que se visiten o de las actividades que se realicen en Internet.

De igual modo, G Data recuerda que las redes sociales, los foros y los ‘blogs’ se han convertido en uno de los principales objetivos de la industria del cibercrimen, tal y como recoge en su estudio Amenazas en Redes Sociales 2008. En concreto, el fabricante alemán destaca que la posibilidad de hacerse pasar por usuarios corrientes que no levanten sospechas y de llegar a un elevado número de personas aprovechándose del factor social de estas plataformas ha situado a la Web 2.0 en el centro de muchos ataques.

La popularidad de ‘sites’ como Myspace o Facebook, que no paran de ganar adeptos, así como las regulares visitas a ‘blogs’ y foros de todo tipo suponen un caldo de cultivo perfecto para el ‘malware’. Tal y como afirma Ralf Benzmüller, director del laboratorio de seguridad de G Data, como el motor de la actividad de estas páginas es la interacción entre usuarios, los atacantes intentan engañar a los internautas haciéndose pasar por miembros legítimos de dichos ‘sites’ y colocando código malicioso basado en JavaScript, HTML o PHP.

Enfoque Seguro

VÍA: Channel Insider

Para todos resulta conocido que Google recopila cantidades ingentes de datos, pero la novedad es que es que también regale dinero. Desde hace unos días, una nueva oleada de correos spam está inundando las bandejas de entrada de millones de usuarios anunciando un supuesto premio millonario procedente de la Fundación Google.

Según informó GData en una nota de prensa, los estafadores intentan seducir a sus víctimas pidiéndoles que rellenen un formulario donde se solicitan datos personales como el nombre y apellidos, fecha de nacimiento, sexo, dirección, nacionalidad, profesión, número de teléfono y fax.

Para poder optar al premio, deben enviar esta información antes del 2 de diciembre para que la transferencia de dinero se realice sin problemas. La información será enviada a una sospechosa dirección de Gmail de un desconocido Reverendo Paul Wilson.

“Obviamente es bastante improbable que la víctima reciba el dinero, pero es mucho más probable que se utilicen sus datos personales para reclamar una y otra vez el pago de las tasas asociadas a la gestión de la operación. Los correos de este tipo deberían ser eliminados al momento”, Ralf Benzmueller, director de G Data Security Labs.

Enfoque Seguro

VÍA: Noticiasdot

“No es sólo una competencia del tecnólogo opinar acerca de los retos y riesgos implicados en el ejercicio de la administración de la información; también el abogado, en un rol interdisciplinario, está llamado a involucrarse decididamente en las tomas de decisión de la empresa, con relación a esta materia”, señala.

Rodríguez se refirió  a la regulación ISO/IEC 27001:2005 y su importancia legal en  relación con los delitos informáticos, apuntando que la aceptación internacional de esta norma relacionada con la administración de la seguridad de la información, la convierte en el primer estándar de seguridad para el comercio y la industria. Asimismo subraya que el auditor tiene que ocuparse de velar, no solamente por la seguridad, sino que debe asegurarse que junto con ella se garantice la integridad, confidencialidad y disponibilidad de la información, además del cumplimiento legal. “Cumplimiento de las normas no es garantía de un ambiente seguro. Esto sólo verifica que no se es susceptible a un tipo de riesgos”, dice.

El director de la Corporación Juristelseg anunció que ya se está trabajando hacia el 2010 en la propuesta de un nuevo modelo para la seguridad bancaria, basado en trilogías de intervención, lo cual abarca la tecnología de la información, la administración de la seguridad y la capacitación respecto a los riesgos de las tecnologías y los alcances de la responsabilidad.

Enfoque Seguro

Según cifras conservadoras, en el 2008 el delito informático conocido produjo una rentabilidad de 106 mil millones de dólares, a escala mundial, según indica Chávez, quien asegura que “en 1995, teníamos unos 10 mil virus, gusanos y programas de malware similares conocidos. Actualmente  hay unos 5 millones. En un solo día los antivirus, deben enfrentarse aproximadamente a 300 mil programas de ataque”.

Ya no se trata únicamente del hacker apasionado de la tecnología que vulnera los sistemas como reto personal; existe toda una mafia alrededor de esta industria, donde los mercenarios compran los programas maliciosos a desarrollares expertos; hay quienes colectan y venden información y quienes la utilizan, revendedores, receptores de mercancía y encargados de limpiar el dinero.

Rafael Núñez, Hacker, expone que una de las estrategias más utilizadas para cometer este tipo de delito es la ingeniería social: tratar de engañar a la mente humana y hacerle caer en trampas. Se incluyen aquí las llamadas estrategias caza-bobos, entre las cuales encontramos el Phishing (obtención de claves y datos confidenciales mediante el envío de mensajes de correo electrónico que aparentan provenir de fuentes fiables) y una variante que utiliza mensajes SMS: el Simishing; o el Vishing, donde la obtención de datos se logra vía telefónica; además del Pharming (que permite redirigir un nombre de dominio a otra máquina distinta), Spoofing (suplantaciones de identidad), entre otras.

Enfoque Seguro

1.-Cuando navegues en una página en la tengas que colocar algún tipo de información personal, clave o usuario, revisa bien donde pequeños detalles: A.-En el URL (barra de dirección) deberás ver el protocolo de seguridad terminado en “s”, es decir así “https://….”. Asimismo deberás ver un pequeño candado enla parte inferior de tu navegador, aunque si usas Chrome estará arriba al lado de la barra de direcciones. Estos dos indicadores te garantizan que el certificado de seguridad de la página está apto para codificar tu información y evitar que un delincuente se haga con ella.

2.-Nunca instales nada de una fuente desconocida. No importa qué tan real luzca, si no conoces la fuente de emisión, pása de largo y no instales ese software.

3.-No dejes que tu sesión la utilice otra persona. La sesión con la que usamos nuestra computadora debe ser tan personal como nuestro número de identificación, por eso es necesario siempre mantener una sesión de invitados para cualquier ocasión. Así evitaremos la instalación de cualquier software sin nuestro consentimiento, el cual puede robarnos los datos personales.

4.-Pasa el antivirus periódicamente, y por periódicamente queremos decir al menos todos los días después de la jornada de navegación diaria. Miles de tracking cookies, spyware, adware se instalan sin que nos demos cuenta, pero por suerte los antivirus más sencillos en el mercado los detectan, por lo que es recomendable programar automáticamente nuestro programa de protección para correr al menos una vez al día. Así podremos eliminar todo el malware antes que ocasiones daños molestos.

5.-Elimina todos los archivos temporales, cookies y caché luego de cada sesión de navegación. Una de las premisas del espionaje dice que para averiguar más información de la víctima hay que registrar su basura, y nuestra basura virtual es todo aquello que se almacena en ficheros temporales, en el caché y las cookies, aquel que tenga acceso a éstos podrá definir con gran atino nuestros hábitos, y hasta una que otra clave de acceso, todo eso sin mayor cualidad salvo la paciencia de revisar poco a poco toda la información.  Todos los navegadores tienen la opción de borrado para esta información, actívala y ahórrate cualquier disgusto.

Estos son apenas 5 pasos, pero 5 pasos comprobados que te alejan del estatus de víctima potencial del cibercrimen.

Enfoque Seguro