RSS phishing

El pasado mes de mayo fue noticia un sofisticado ataque masivo de phishing que se propagó como pólvora en Gmail y Google Docs. Recibías un correo de un contacto conocido invitándote a abrir un documento de Google Docs que lucía perfectamente inofensivo, y terminabas dando permisos a tu cuenta a un atacante.

Google respondió casi de inmediato bloqueando el ataque, y también mejoraron su seguridad después del incidente. Ahora, han dado otro paso aún más agresivo para detectar mejor el spam en Gmail y combatir los ataques de phishing usando inteligencia artificial.

Una investigación de Citizen Lab ha expuesto una campaña de espionage y falsa propaganda masiva con denominación de origen rusa empleando ataques de phishing, técnica que engaña a la víctima suplantando la identidad de un servicio de confianza para obtener sus credenciales de acceso.

El príncipe nigeriano se conforma con los centavos que tienes en tu cuenta bancaria, pero el lituano Evaldas Rimasauskas aspiró a objetivos mucho, mucho más grandes. El pasado mes de marzo este hombre fue acusado por el FBI y el estado de Nueva York por haber perpetrado una campaña de phishing que le sacó 100 millones de dólares a dos compañías tecnológicas de Estados Unidos.

Ambas empresas habían elegido mantener sus identidades como un secreto, pero de acuerdo a Fortune se trataba de Google y Facebook. Ambas compañías terminaron admitiendo haber sido las víctimas del caso. Según las fuentes de Fortune, este tipo de estafas son más comunes de lo que se esperaría.

A finales de 2016 les hablábamos del caso del imitador de Google.com, un sitio que gracias al uso de caracteres Unicode utilizaba una letra muy parecida a la "G" mayúscula para hacer pasar su dominio por el del gigante de las búsquedas. ɢoogle.com parece muy normal, pero no lo es.

Esto es conocido como un ataque homográfico, una forma maliciosa de engañar al usuario aprovechándose del hecho de algunos caracteres lucen muy parecidos. Pero esta vez una nueva variación de este tipo de amenaza ha sido descubierta, una que es imposible de detectar porque los caracteres lucen exactamente iguales, y a la que navegadores como Chrome, Firefox y Opera son vulnerables.

Parafraseando el título de aquel libro, es fácil evitar el phishing, si sabes cómo. Todos estos correos fraudulentos suelen tener una serie de características comunes que permiten identificarlos si sabemos qué debemos buscar: una persona que no conocemos que nos envía un correo con un archivo adjunto, direcciones de correo que terminan en (por ejemplo) @google.mtf.com...

Todas esas son señales que nos deberían alertar, pero hay ocasiones en las que no es fácil verlas. Tal y como se publicó en The Next Web, hay una nueva campaña de phishing en Gmail que sustituye el archivo corrupto por una imagen embebida con un enlace de salida a una página de inicio de sesión de Google. La imagen hace que parezca que hemos recbido un archivo PDF de uno de nuestros contactos, con las opciones de guardar en Drive o descargar resaltadas.

Microsoft ha lanzado una nueva característica para Office 365 de "detonación de URLs", que intenta neutralizar una de las tácticas preferidas de los hackers para infiltrarse en redes coporativas, según se ha publicado en ZDNet. Nos referimos al spear phishing, estafas focalizadas por correo electrónico cuyo único propósito es obtener acceso no autorizado a datos confidenciales. Algo así podría haber sido el responsable del ataque al Comité Demócrata Nacional.

Puede que no se trate de un método muy sofisticado, pero el hack de los servidores del DNC demostró que funciona. The Dukes, considerados autores del ataque, enviaron enlaces bit.ly que se usaban para hacerse con las credenciales de acceso de distintas personalidades del partido político estadounidense. Grupos similares envían enlaces que apuntan a un archivo malicioso que, una vez se ejecuta, descarga una herramienta de acceso remoto o RAT.

Como usuarios siempre estamos en busca y captura de formas de ahorrar tiempo y esfuerzo. Es por eso que casi todo el mundo usa la función de autocompletado de los navegadores web, con la que se puede introducir información típica en unos pocos clics. Nadie puede dudar de que se trata de una característica muy útil.

Y sin embargo, según lo publicado en Bleeping Computer las características de autocompeltado pueden usarse para robar datos personales en campañas de phishing. Y basta con utilizar formularios con campos ocultos para extraerla sin que el usuario lo sepa, de forma totalmente opaca y sin que sospeche.

Vivimos tiempos en los que la tecnología y la política se cruzan más de lo que quizá a muchos les resulta cómodo. Está claro que las nuevas armas que se emplean en la guerra ya no son de fuego, sino que son más difíciles de ver venir, de detectar y de combatir. Nos referimos a las ciberarmas, desde malware que espía las acciones que se llevan a cabo en un ordenador a emails fraudulentos que engañan a sus víctimas.

En Xataka han publicado un extenso artículo sobre el escándalo de las elecciones presidenciales de EE.UU., donde se detalla con profusión el caso del hack a los servidores de correo del Comité Nacional Demócrata (DNC), de su filtración a WikiLeaks. Nosotros, por nuestra parte, queremos profundizar en cómo se hizo el ataque y por qué la mala seguridad del comité fue una pieza clave.

El phishing es una de las técnicas más rentables para los cibercriminales. Un nuevo informe publicado por Imperva revela que los llamados servicios llavero hacen que se trate de una práctica todavía más efectiva.

Los investigadores de la firma exploraron los mercados de la darknet para obtener una idea aproximada del coste de una campaña de phshing, así como para conseguir una visión realista del modelo de negocio de estos hackers. Lo que descubrieron en un mercado ruso es que una red intenta potenciar el PhaaS o Phishing as a Service por toda la darknet a través de facilidades en la compra y precios muy reducidos.

Cuando nos envían un archivo por correo electrónico, se analizan los enlaces que pudieran venir en él para advertirnos en el caso de que una de las direcciones adjuntas fuese peligrosa. Pero los atacantes siempre van un paso por delante, y desde este verano han desarrollado un método con el que conseguir infectar de malware a las empresas saltándose estas protecciones.

Tal y como ha desvelado la firma de seguridad Forcepoin, se han empezado a detectar ataques en los que se utilizan cuentas comprometidas de OneDrive for Business para saltarse los filtros de seguridad e incitar a las empresas a bajarse malware. Estos ataques se están centrando sobre todo en Australia y Reino Unido, pero todos deberíamos estar atentos por si decidieran saltar a otros países.