phishing

Bit.ly, el acortador de direcciones web tremendamente presente en servicios como Twitter, empezará a comprobar las direcciones que acorta con el objetivo de mejorar la seguridad de los usuarios del servicio.

La razón por la cual han tomado esta medida es por el 20% de las direcciones acortadas por bit.ly que resultan ser malware o enlaces a webs que practican phishing. Así, si se detecta una amenaza, Bit.ly avisará al usuario antes de que éste entre en la página peligrosa.

Otros sericios como mu.ly previenen este tipo de engaños previsualizando las páginas, aunque una comprobación puede evitar que caigamos en trampas con páginas “calcadas” de servicios de banca en línea, por ejemplo.

Vía | Visual Beta
En Genbeta | Bit.ly, acortador de direcciones web prometedor

Ícaro Moyano, director de comunicación de Tuenti e histórico blogger desde su blog personal La Tejedora, nos acaba de comentar amablemente la versión oficial del Tuentigate vivido hace unas horas, con algunos detalles sobre cómo han tratado con ella. Lo primero e importante: ya han protegido todas las cuentas afectadas, reseteando las contraseñas como medida inicial.

Tal y como parecía desde un principio, nos confirman que ha sido un ataque de phishing desde un sitio externo y por tanto no por un agujero de seguridad dentro de Tuenti. Este tipo de acciones de ingeniería social son muy difíciles de evitar si los usuarios no están lo suficientemente concienciados, como creo que es el caso. A esta hora tanto el sitio que distribuía las contraseñas como el que las recopilaba fraudulentamente han sido cerrados gracias a su departamento jurídico. No está claro si tomarán medidas adicionales y, personalmente, no creo que se consiga demasiado porque es muy difícil dar con los responsables.

Grave estafa relacionada con Tuenti: casi 4000 cuentas de usuarios activos de Tuenti han sido filtradas, incluyendo contraseñas. Todavía no se sabe cómo se han obtenido, si es por un fallo de seguridad en la propia infrastructura de Tuenti o, como todo apunta, a un ataque de phishing desde un sitio externo.

La persona que nos ha avisado es el mismo que ha filtrado esta lista y se apoda McKiza. Este hacker dice estar enfadado con Tuenti por la cantidad de eventos falsos que están pululando por la red (¡Tuenti se cierra, invita a tus amigos!), pero creo que todos estaréis de acuerdo en que filtrar todas estas cuentas no se puede justificar.

Desde Tuenti ya conocen la situación y están trabajando para congelar rápidamente estas cuentas (la mayoría son reales y las contraseñas funcionan perfectamente). De todas formas, cambiad ahora mismo vuestra contraseña si la habéis metido en algún sitio externo a Tuenti. Y, de paso, dejad de registraros en esos sitios con los mismos datos de Tuenti (y también de vuestros correos), que nunca aprendéis.

El phishing sigue siendo una de las amenazas más importantes de la red, especialmente para usuarios con pocos conocimientos de seguridad informática. No son pocos los delincuentes que quieren conseguir nuestros datos de servicios online y, si pueden, dejarnos “tiesos”, es decir, quedarse con nuestro dinero.

Para ello, nos envían correos que simulan provenir del sitio online, pero que al abrir las direcciones referenciadas nos llevan a otra página controlada por el atacante y en la que, al introducir los datos, estos se reenviarán al delincuente. Google sigue en la lucha para impedir que los usuarios de Gmail reciban este tipo de correos.

El otro día, en la entrada avisando sobre los peligros de dar la contraseña de tu correo a servicios extraños y sobre todo a aquellos que te dicen que te van a decir quién te ha bloqueado en el msn, surgió una conversación bastante interesante en los comentarios. Además, el responsable de uno de estos servicios, Alejandro Sena de Blockoo explicó cómo funcionan estos servicios. A continuación os reproduzco el algoritmo, que hace uso de bots para llevar a cabo esta operación:

Parece mentira que después de tanto tiempo (¡años ya!) del invento de este fraude todavía haya gente que siga cayendo en él. Es muy simple, y seguro que muchos lo conocéis, simplemente se trata de páginas que ofrecen el servicio de mostrarte quién te tiene como no admitido o te ha eliminado del mésenyer a cambio de que les des tu datos de conexión, es decir, tu usuario y contraseña. Creía que este negocio ya estaba más que muerto, pero hoy mismo un par de contactos míos me han saltado con la típica ventanita que me acceda a una de esas páginas para que me lea el futuro.

Como norma general, dar la contraseña de tu correo a alguien que no pertenezca a tu familia ya es un suicidio tecnológico, y en este caso sería como darle la contraseña de tu tarjeta de crédito a una persona desconocida para que te muestre el dinero que tienes. ¿Quieres saber qué es lo que hacen? La mayoría de páginas, después de mostrarte esa información, se conectan a tu cuenta varias veces al día para molestar a todos tus contactos con spam descarado. Lo que es peor, esto puede colapsar tu cuenta y no sería raro que la perdieras para siempre, o al menos que la conexión sea pésima. Así que ya sabes, no des tu contraseña a ningún sitio web, o atente a las consecuencias.

Una de las recomendaciones que siempre hago en materia de seguridad informática es no abrir nunca enlaces que nos lleguen en correos electrónicos o por mensajería instantánea. Es mucho más seguro escribir la dirección manualmente en nuestro navegador para asegurarnos que vamos a parar donde pretendíamos.

Pues el troyano Infostealer.Banker.D echa un poco por tierra esta recomendación. Al instalarse en nuestro ordenador, y cuando accedemos a alguna de las páginas que tiene prefijadas, inyecta código HTML dentro del contenido recibido, de modo que, para nosotros, todo funciona de manera correcta (hemos escrito la dirección correcta, el SSL nos indica que el sitio es válido,...) pero una parte de esa página no es legítima.

Como se puede ver en la imagen de ejemplo, en la página de este banco se inserta un nuevo campo de texto donde se pide que el usuario introduzca el PIN de su tarjeta. Este campo es almacenado y enviado al atacante, mientras que el resto de campos se envían al banco, de forma que entraremos correctamente en la página, dando sensación de completa normalidad.

Por supuesto, debemos sospechar siempre que la página de nuestro banco nos pregunte algún dato de este tipo, como el código PIN de la tarjeta y usar el sentido común para detectar este tipo de intentos de estafa, aunque hay que reconocer que en este caso lo ponen bastante difícil para el usuario medio.

Vía | Security Response.

Mal asunto cuando desde una empresa como Kaspersky admiten que no pueden con tanta amenaza en Internet. Lo ha dicho Natalya Kaspersky, CEO de Kaspersky Lab.

Según ella, en una entrevista a ComputerWorld, ninguna compañía puede admitir que tiene la situación del crimen por Internet y temas de malware y phishing bajo control porque estarían mintiendo. Admiten disponer de 50 personas dedicadas solamente a analizar y tratar de encontrar soluciones para el malware que sale todos los días, en cantidades de 200 nuevos casos. Ya no basta, dicen, con un antivirus. Las amenazas de diversifican y aumentan todos los días.

Piden la ayuda oficial de los gobiernos y las fuerzas de seguridad porque la cosa va a más y el que Internet sea tan global no hace más que ayudar a los delincuentes 2.0. Pide colaboración internacional de los cuerpos de policía.

Vía | Barrapunto.
Imagen de IN.

Los que uséis Firefox confiando totalmente en su filtro antiphishing deberéis tener cuidado, pues se ha encontrado un bug que provoca que algunas páginas maliciosas no se detecten como tal.

El problema se encuentra cuando se añade más de una / a la dirección. Veamos un ejemplo: la siguiente dirección (recomendamos no entrar en ella) es detectada por Firefox como una página maliciosa y así nos lo indica.

• http://202.64.93.106/www.paypal.com/cgi-bin/webscr_cmd=_login-run2652/

En cambio, la dirección:

• http://202.64.93.106/www.paypal.com//cgi-bin/webscr_cmd=_login-run2652/

no es detectada como tal (notar las dos barras despues de .com). En la próxima versión estará solucionado, pero de mientras habrá que tener especial cuidado, porque seguro que ya están empezando a aprovechar este fallo para engañar a usuarios.

Vía | BolsaNegra.