Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

domingo, 28 de diciembre de 2008

Phishing y "cuentos" en navidad

El final de cada año representa un condimento especial para usuarios malintencionados debido al festejo de las fiestas navideñas, donde, a través de mentiras relacionadas a navidad, buscan captar la atención de los usuarios.


Así que desde hace unas horas, un nuevo ataque de phishing a través de correo electrónico no deseado, o spam, se encuentra inundando nuestras casillas de correo. Bajo la excusa de haber ganado la lotería de navidad, el spam aparenta ser emitido por una empresa llamada PostFinance. La apariencia del spam es la siguiente:


Para obtener el supuesto premio, el usuario debe, previamente, activar una cuenta en Western Union. En el cuerpo del mensaje se encuentran incrustados dos enlaces, el primero de ellos, bajo la leyenda “GO TO LOGIN PAGE FOR ACTIVATION (CLICK HERE)”, redirecciona hacia una página real de la empresa (https://e-finance.postfinance.ch); mientras que el segundo enlace, “CLICK HERE”, redirecciona hacia una página web falsa que solicita información personal del usuario (http://203.[ELIMINADO].149/js/default.html).

Sin embargo, al hacer clic sobre este segundo enlace, se produce un nuevo redireccionamiento pero hacia un sitio con otra dirección IP (http://203.[ELIMINADO].6/panel/[ELIMINADO]en.html), donde se presenta el formulario antes mencionado. El objetivo de esta página es que el usuario ingrese información personal que luego puede ser utilizada para cometer estafas.

Si comparamos ambas páginas, la real y la falsa, vemos que existen diferencias entre ellas, pero que, visualizadas por un usuario que desconoce estos métodos de engaño, la maniobra fraudulenta puede resultar efectiva para el atacante.


Como se puede apreciar en la captura, el phishing ofrece dos campos más de datos, la dirección de correo electrónico y el número telefónico. El principal objetivo que persigue esto es que, el atacante, obtenga en una sola instancia toda la información que necesita para luego cometer el fraude.

Es evidente que las técnicas de engaño y fraudes aumentan y existen para todos los gustos, sin embargo, es importante que sepamos cómo funcionan para poder identificarlas y no caer en trampas como estas, sobre todo en fechas significativas como lo es la navidad, donde muchos solemos hacer compras por Internet.

ACTUALIZACIÓN 19:30 hs: aparentemente, la dirección IP 203.[ELIMINADO].149 pertenece a un proveedor de servicios de Internet de Pakistán llamado Supernet. En cambio, la segunda dirección, 203.[ELIMINADO].6 (donde se encuentra alojada la página web falsa), sería perteneciente al Ministerio de Educación de Tailándia.

IP
203.[ELIMINADO].149
SUPERNET NetBlockAdmin
10th Floor, Tower B,
Karachi 75600, Pakistan.

IP
203.[ELIMINADO].6
Ministry of education
319 wangchankasem thanon ratchadamnoen-nok dusit bangkok
THAILAND 10300

# pistus

Ver más

viernes, 26 de diciembre de 2008

Violaciones de seguridad más comunes

Hace un rato me encontré con un interesante y reciente informe desarrollado por la empresa Verizon Business mediante el cual se describen los problemas de seguridad más comunes que se produjeron durante los últimos cuatro años provocando pérdidas de información considerables en las empresas.

Del informe se desprende que:
  • en el 87% de los casos, los problemas se pudieron haber evitado sin problemas a través de medidas de seguridad básicas,
  • en el 66% de los casos, las empresas no sabían que estaban publicando información sensible a través de sus sistemas y sitios web,
  • en el 39% de las violaciones de seguridad, participaban activamente socios de negocio de la empresa (Partners), cuestión que fue multiplicándose desde el año 2004.
Como verán, hasta aquí sólo se mencionan tres de los puntos más importantes que expone el documento pero que más allá de ello, se suelen obviar por considerarse triviales olvidando que, sin embargo, constituyen los puntos claves para un atacante. Por otro lado,
  • el 73% de las debilidades se debieron a fuentes externas,
  • el 18% fue provocado por personal interno, lo que se conoce como factor insider.
Teniendo en cuenta esta información, se puede desmitificar la creencia que establece que el mayor daño es provocado por ataques externos (73%) que quizás es llevado a cabo por un chico que se encuentra al otro lado del mundo frente a su PC y tomando cerveza. Contrariamente a lo llamativo que pueda parecer este porcentaje, los daños provocados por estos ataques poseen un impacto mínimo.

No sucede lo mismo cuando el ataque es provocado desde dentro de la organización ya que, si bien el porcentaje es menor (18%), este tipo de ataques es el que más daño provoca en la empresa debido a que, en la mayoría de los casos, es cometida por personal que posee y conoce información privilegiada y sensible de la empresa.

Ahora bien, después de leer estos puntos, la pregunta que genera el punto de inflexión en torno a este tema es ¿podrían haber sido evitadas? Siendo la respuesta un rotundo SI.

En el mismo informe se expresa que el 87% de los problemas pudieron haberse evitado a través de medidas básicas de seguridad, es decir, por intermedio de la implementación de controles de seguridad razonables tendientes, precisamente, a prevenir este importante 87% de problemas.

Otro dato importantísimo que expone el documento es que el 22% de los ataques se produjeron a través de la explotación de vulnerabilidades de las cuales más del 80% eran conocidos, es decir, no se trataba de exploit 0-Day, además de poseer su correspondiente parche de seguridad que soluciona la debilidad.

Este punto en particular, trae a mi mente el gran ruido que ha estado causando, por ejemplo, el gusano Conficker con alta tasa de infección en apenas unos días, aprovechando una vulnerabilidad en plataformas Windows solucionada en el boletín de seguridad MS08-067, o la reciente vulnerabilidad en Internet Explorer solucionada en el boletín MS08-078 y que muchos troyanos están explotando activamente.

Resulta sumamente importante sa ber que algunas de las medidas de seguridad básicas que debemos tener en cuenta pasan por implementar y/o actualizar la Política de Seguridad de la información en la empresa, y controlar que se cumplan las medidas expuestas, en esto se centra casi la totalidad de la solución a los problemas de seguridad mencionados.

Saber con qué datos contamos, dónde se encuentran almacenados y cuál es el valor que posee cada uno de ellos según el plan de riesgos realizado, es también una cuestión a considerar ya que no es posible asegurar lo que no se conoce o lo que no se sabe dónde se encuentra.

Debemos intentar adoptar el sentido de un estratega para asegurar el entorno, o por lo menos, encontrar un adecuado equilibrio de seguridad en el mismo.

Un interesante documento que llama a la reflexión sobre los problemas de seguridad a los que comúnmente se expone una organización dejando sin protección el activo más valioso con el que cuenta, la información; muchas veces, sin saber que se encuentra disponible “para todo público”.

# pistus

Ver más

domingo, 21 de diciembre de 2008

Malware for dummies (Generador de virus)

En varias oportunidades he leído noticias sobre herramientas supuestamente novedosas y de aparición relativamente reciente que permiten generar códigos maliciosos de manera automática, sin que el esfuerzo supere el solo hecho de hacer un clic. La siguiente captura, nos muestra una de estas aplicaciones:

En este caso, la manera en que esta herramienta fue presentada ante el usuario común me recuerda a escenas de películas de terror, esas que generan pánico a cualquier persona. Sin embargo, me gustaría compartir unas palabras para apaciguar en los usuarios esa sensación de miedo que puede llegar a generar este tipo de programas dañinos.

Por un lado, recordando acciones comunes propias de los viejos virus informáticos y los primeros troyanos, no es difícil darse cuenta que las funcionalidades ofrecidas por esta aplicación dañina no son para nada novedosas, teniendo algunas de ellas más de una década, como puede consultarse en nuestra Historia de los Virus Informáticos.

Funcionalidades como deshabilitar el registro, la restauración del sistema o el administrador de tareas, se encuentran presentes en cualquier malware actual. Por ejemplo, el generador que se expone en la imagen fue lanzada en septiembre del 2007.

Quizás, lo que sí resulta novedoso en este campo, es la capacidad que esta incorporando el malware actual de detectar ambientes virtualizados, como el que se muestra en la siguiente captura:

Si bien es cierto que aplicaciones dañinas de este estilo facilitan la creación automatizada y masiva de malware, sobre todo, por usuarios sin experiencia ni conocimientos informáticos, no debemos caer en el miedo o la paranoia que no nos permita disfrutar el uso de la tecnología.

Simplemente debemos estar atentos y dejar la seguridad antimalware a soluciones como ESET NOD32 que detecta estas amenazas de manera proactiva desde su lanzamiento, merced a su heurística avanzada.

Jorge

Ver más

domingo, 14 de diciembre de 2008

Phishing para American Express y consejos

Como sabemos, el phishing es una modalidad delictiva cuyo principal objetivo es obtener información sensible para luego estafar económicamente a los usuarios, a través de engaños donde el más difundido es la clonación de páginas web de entidades bancarias y financieras como el que vemos a continuación.

Con la llegada de los festejos de navidad y año nuevo, estas técnicas delictivas aumentarán su tasa de exposición y serán muchas las alternativas que emplearán quienes se encuentran detrás de estas maniobras, no sólo a través de phishing sino que también a través de otras estrategias como la propagación de malware por tarjetas virtuales, mensajes en cadena, spam con “oportunidades” de compra, etcétera.

En consecuencia, es fundamental actuar con mucha cautela y estar atentos a estas maniobras delictivas ¿de qué manera? Bueno, aquí les propongo tres consejos fundamentales:
  • Protocolo seguro. Verificar que, en la página donde se debe acceder información personal, cuente con la versión segura del protocolo http (https), de esta manera nos aseguramos que el sitio se encuentra cifrado a través del protocolo SSL (Secure Sockets Layer). Esto crea un canal seguro en la comunicación protegiendo la información.
  • Enlaces maliciosos incrustados. El correo electrónico es un canal altamente utilizado para la propagación de amenazas como el phishing y el malware. Es habitual encontrarnos correos que dicen ser de entidades bancarias que solicitan la actualización de nuestros datos y poseen enlaces incrustados en el cuerpo del mensaje que, supuestamente, nos redirigen hacia un formulario donde debemos ingresar la información. Entonces, jamás debemos hacer clic en los enlaces ni atender a solicitudes a través del correo.
  • Sitio web cifrado. Es importante que el sitio web de la entidad bancaria o financiera, o cualquier otra donde nos soliciten el ingreso de datos personales, cuente con las capas necesarias de seguridad para garantizar la transmisión segura de la información. Debemos verificar la existencia de un certificado digital en el navegador web y que este no se encuentre vencido. De esta manera sabemos que estamos en presencia de un sitio seguro.
Entonces, ¡prestar atención! Recordemos que una parte importante de la seguridad y la prevención de este, y muchos otros, tipo de amenazas recae en el factor humano, es decir, en nosotros; por lo tanto, debemos recurrir a buenas prácticas que nos permitan garantizar un nivel adecuado de seguridad.

# pistus

Ver más