phishing

Parece ser que los usuarios de Twitter están sufriendo nuevos ataques de phishing, a través de una serie de mensajes directos, que se están propagando a gran velocidad por la red social.

Las víctimas reciben un DM con el texto “lol, is this you” y un enlace que las dirige a una web llamada “bzpharma”. Al acceder a ella, la cuenta resulta infectada facilitando a los spammers sus datos y enviando a todos sus contactos el mismo mensaje con el fin de infectar sus cuentas también.

Si recibís este mensaje no pasa nada, simplemente borradlo, ya que no perderemos el control de nuestra cuenta hasta que entremos en el enlace adjunto. Aunque si ya habéis entrado, aseguraros de cambiar vuestra contraseña lo antes posible para evitar problemas.

Vía | Mashable
Imagen | alex_lee2001

Muchos usuarios de Twitter están recibiendo mensajes indicando que pueden haber sido víctimas de un ataque de tipo phishing. Al tratar de acceder a su cuenta, el usuario afectado recibe un mensaje de este tipo:

Debido a la posibilidad de que su cuenta haya sido comprometida en un ataque de phishing que tuvo lugar fuera-de-Twitter, su contraseña ha sido reiniciada

Esto obliga a cambiar la contraseña antes de poder acceder de nuevo al servicio. Algunos usuarios están recibiendo correos electrónicos con la misma información e instrucciones. Este es el procedimiento habitual para casos así, pero lo que no es habitual es que tantos usuarios hayan recibido el bloqueo a la vez, lo que indica que la posible amenaza parece estar bien extendida.

Bit.ly, el acortador de direcciones web tremendamente presente en servicios como Twitter, empezará a comprobar las direcciones que acorta con el objetivo de mejorar la seguridad de los usuarios del servicio.

La razón por la cual han tomado esta medida es por el 20% de las direcciones acortadas por bit.ly que resultan ser malware o enlaces a webs que practican phishing. Así, si se detecta una amenaza, Bit.ly avisará al usuario antes de que éste entre en la página peligrosa.

Otros sericios como mu.ly previenen este tipo de engaños previsualizando las páginas, aunque una comprobación puede evitar que caigamos en trampas con páginas “calcadas” de servicios de banca en línea, por ejemplo.

Vía | Visual Beta
En Genbeta | Bit.ly, acortador de direcciones web prometedor

Ícaro Moyano, director de comunicación de Tuenti e histórico blogger desde su blog personal La Tejedora, nos acaba de comentar amablemente la versión oficial del Tuentigate vivido hace unas horas, con algunos detalles sobre cómo han tratado con ella. Lo primero e importante: ya han protegido todas las cuentas afectadas, reseteando las contraseñas como medida inicial.

Tal y como parecía desde un principio, nos confirman que ha sido un ataque de phishing desde un sitio externo y por tanto no por un agujero de seguridad dentro de Tuenti. Este tipo de acciones de ingeniería social son muy difíciles de evitar si los usuarios no están lo suficientemente concienciados, como creo que es el caso. A esta hora tanto el sitio que distribuía las contraseñas como el que las recopilaba fraudulentamente han sido cerrados gracias a su departamento jurídico. No está claro si tomarán medidas adicionales y, personalmente, no creo que se consiga demasiado porque es muy difícil dar con los responsables.

Grave estafa relacionada con Tuenti: casi 4000 cuentas de usuarios activos de Tuenti han sido filtradas, incluyendo contraseñas. Todavía no se sabe cómo se han obtenido, si es por un fallo de seguridad en la propia infrastructura de Tuenti o, como todo apunta, a un ataque de phishing desde un sitio externo.

La persona que nos ha avisado es el mismo que ha filtrado esta lista y se apoda McKiza. Este hacker dice estar enfadado con Tuenti por la cantidad de eventos falsos que están pululando por la red (¡Tuenti se cierra, invita a tus amigos!), pero creo que todos estaréis de acuerdo en que filtrar todas estas cuentas no se puede justificar.

Desde Tuenti ya conocen la situación y están trabajando para congelar rápidamente estas cuentas (la mayoría son reales y las contraseñas funcionan perfectamente). De todas formas, cambiad ahora mismo vuestra contraseña si la habéis metido en algún sitio externo a Tuenti. Y, de paso, dejad de registraros en esos sitios con los mismos datos de Tuenti (y también de vuestros correos), que nunca aprendéis.

El phishing sigue siendo una de las amenazas más importantes de la red, especialmente para usuarios con pocos conocimientos de seguridad informática. No son pocos los delincuentes que quieren conseguir nuestros datos de servicios online y, si pueden, dejarnos “tiesos”, es decir, quedarse con nuestro dinero.

Para ello, nos envían correos que simulan provenir del sitio online, pero que al abrir las direcciones referenciadas nos llevan a otra página controlada por el atacante y en la que, al introducir los datos, estos se reenviarán al delincuente. Google sigue en la lucha para impedir que los usuarios de Gmail reciban este tipo de correos.

El otro día, en la entrada avisando sobre los peligros de dar la contraseña de tu correo a servicios extraños y sobre todo a aquellos que te dicen que te van a decir quién te ha bloqueado en el msn, surgió una conversación bastante interesante en los comentarios. Además, el responsable de uno de estos servicios, Alejandro Sena de Blockoo explicó cómo funcionan estos servicios. A continuación os reproduzco el algoritmo, que hace uso de bots para llevar a cabo esta operación:

Parece mentira que después de tanto tiempo (¡años ya!) del invento de este fraude todavía haya gente que siga cayendo en él. Es muy simple, y seguro que muchos lo conocéis, simplemente se trata de páginas que ofrecen el servicio de mostrarte quién te tiene como no admitido o te ha eliminado del mésenyer a cambio de que les des tu datos de conexión, es decir, tu usuario y contraseña. Creía que este negocio ya estaba más que muerto, pero hoy mismo un par de contactos míos me han saltado con la típica ventanita que me acceda a una de esas páginas para que me lea el futuro.

Como norma general, dar la contraseña de tu correo a alguien que no pertenezca a tu familia ya es un suicidio tecnológico, y en este caso sería como darle la contraseña de tu tarjeta de crédito a una persona desconocida para que te muestre el dinero que tienes. ¿Quieres saber qué es lo que hacen? La mayoría de páginas, después de mostrarte esa información, se conectan a tu cuenta varias veces al día para molestar a todos tus contactos con spam descarado. Lo que es peor, esto puede colapsar tu cuenta y no sería raro que la perdieras para siempre, o al menos que la conexión sea pésima. Así que ya sabes, no des tu contraseña a ningún sitio web, o atente a las consecuencias.

Una de las recomendaciones que siempre hago en materia de seguridad informática es no abrir nunca enlaces que nos lleguen en correos electrónicos o por mensajería instantánea. Es mucho más seguro escribir la dirección manualmente en nuestro navegador para asegurarnos que vamos a parar donde pretendíamos.

Pues el troyano Infostealer.Banker.D echa un poco por tierra esta recomendación. Al instalarse en nuestro ordenador, y cuando accedemos a alguna de las páginas que tiene prefijadas, inyecta código HTML dentro del contenido recibido, de modo que, para nosotros, todo funciona de manera correcta (hemos escrito la dirección correcta, el SSL nos indica que el sitio es válido,...) pero una parte de esa página no es legítima.

Como se puede ver en la imagen de ejemplo, en la página de este banco se inserta un nuevo campo de texto donde se pide que el usuario introduzca el PIN de su tarjeta. Este campo es almacenado y enviado al atacante, mientras que el resto de campos se envían al banco, de forma que entraremos correctamente en la página, dando sensación de completa normalidad.

Por supuesto, debemos sospechar siempre que la página de nuestro banco nos pregunte algún dato de este tipo, como el código PIN de la tarjeta y usar el sentido común para detectar este tipo de intentos de estafa, aunque hay que reconocer que en este caso lo ponen bastante difícil para el usuario medio.

Vía | Security Response.