Pablo Teijeira's blog

Alerta Phishing: BBVA (2)

pabloteijeira — Thu, 26 Jan 2012 09:00:51 +0000

Si crees que esto es un deja vu, has acertado. La semana pasada alertábamos sobre otro scam relacionado con el mismo banco. Pues los ciberdelincuentes no han tardado mucho en lanzar otro ataque, y lo que es peor, esta vez lo he recibido yo. Normalmente cuando me refiero a una amenaza no la he sufrido en mis propias carnes, simplemente nuestros laboratorios la han detectado y me hago eco de sus conclusiones, pero esta vez el email llegó a mi buzón por lo que obviamente tengo que hablar de ello.

Veamos como funciona este nuevo ataque:

Lo primero es la llegada del siguiente correo:

Como podemos comprobar esta vez el email viene de Correo-BBVA@Departamento-Sistema.seguridad.com, ni se han molestado en inventarse una cuenta falsa. Este sería el primer indicio sobre su falsedad. además hace referencia a una supuesta incidencia que si fuera el caso, nunca se pondrían en contacto con nosotros por este medio. Si seguimos el enlace nos encontramos la siguiente página:

En la que podemos comprobar que no corresponde a un dominio del BBVA. Yo introduje unos datos al azar que me llevaron a un formulario para que introdujera mis datos personales.

Recomendaciones al recibir un correo scam

Ante cualquier duda ponerse en contacto con los supuestos emisores (en este caso llamaríamos a nuestra agencia del BBVA) con el fin de comprobar la autenticidad.No abrir el correo siempre que sea posible.
Nunca seguir el enlace que nos envían.
Jamás introducir nuestros datos en páginas en las que no estemos 100% seguros que pertenezcan a nuestro banco. Como regla general, no los demos e ningún sitio salvo el enlace oficial del banco.
No contestar al correo. En principio esto no debería infectar nuestro ordenador, pero estamos informando a los hackers de que nuestra dirección es real con lo que seguro que lo volverán a intentar

Si queréis manteros al día de las últimas amenazas podéis haceros fans de nuestra página de Facebook, un lugar para intercambiar experiencias en torno al mundo de la seguridad.

¿Cuánto confías en la App Store?

pabloteijeira — Wed, 25 Jan 2012 10:28:22 +0000

Todos los usuarios de Apple conocen la App Store donde pueden comprar aplicaciones para sus iPads o iPhones. Uno de los puntos fuertes de esta tienda es que Apple afirma verificar todos los programas, no como la plataforma de Google para Android. Pero esto no significa que sea imposible encontrar software malicioso o falso.

Recientemente encontramos en el blog iPhoneography una alerta sobre la existencia de la aplicación Camera+ explicando que esta aplicación es fraudulenta. Damos las gracias a Gly Evans por detectar que había algo sospechoso en este software y contactar a TapTapTap (los creadores del programa auténtico) para comprobar sus sospechas.

Alguien había conseguido reemplazar la verdadera versión por esta nueva, como sus creadores confirman. Os dejamos el enlace al software original que funciona correctamente

No podemos asegurar si contenía software malicioso ya que no hemos sido capaces de conseguir el código del falso Camera+, debido a que afortunadamente Apple rápidamente eliminó la copia problemática. Es posible que no incluyera ninguno y que simplemente pretendieran beneficiarse de la popularidad de esta aplicación (llegó a situarse en el puesto 14 de las más vendidas).

Este error reabre el debate sobre la efectividad del proceso de validación de la App Store ya que no es la primera vez que les ocurre. ¿Como es posible que nadie se diera cuenta de la existencia de esta versión falsa? Obviamente todos los sistemas de seguridad tienen sus fallos pero creemos que este debe ser como mínimo investigado seriamente.

Recomendamos ser cautelosos con cualquier software que se instale en nuestros aparatos electrónicos. Da igual que lo compremos a una fuente segura, siempre debemos estar alerta, no es sólo que puedas ser timado con una aplicación que no hace lo que promete, puedes estar comprando malware.

Si queréis manteros al día de las últimas amenazas podéis haceros fans de nuestra página de Facebook, un lugar para intercambiar experiencias en torno al mundo de la seguridad.

A un click de lanzar un ataque #Anonymous

pabloteijeira — Mon, 23 Jan 2012 20:49:11 +0000

Estos últimos dias Anonymous está lanzando ataques bajo el lema #OpMegaupload como venganza por el cierre de Megaupload y protesta por la ley anti-piratería estadounidense. Los integrantes de Anonymous han decidido lanzar el mayor ataque de la historia contra webs del gobierno de EE.UU, asi como sitios relacionados con la industria musical.

La novedad de estos ataques es que solamente es necesario hacer click en un enlace determinado para que sin saberlo estemos atacando la web seleccionada. En el pasado, Anonymous ha animado a sus partidarios a instalar un programa denominado LOIC, que permite a los ordenadores participar en un ataque contra un sitio web particular, inundándolo de tráfico web no deseado. Este cambio de táctica supone que los usuarios de Internet necesitan ser extremadamente cuidadosos cuando accedan a URLs desconocidas, ya que sin darse cuenta podrían formar parte de este ejercito de zombies. En este sentido no hay que olvidar que los ataques por Denegación de Servicio son ilegales, y si un usuario participa en ellos, podría enfrentarse a una sentencia de cárcel muy dura. No estoy seguro de si los participantes en este caso podrían salirse con la suya alegando su inocencia y afirmando que pincharon en dichos enlaces por error, por lo que es mejor asegurarse de que los links a los que se accede son de confianza, aunque estos nos lleguen recomendados por un amigo, a través de cualquier Red Social.

Esta nueva amenaza se ha difundido principalmente por Twitter donde existen gran cantidad de posts en los se nos dirige a una página de pastehtml.com en la que, si no se tiene desactivado JavaScript, comenzaremos a inundar de tráfico no deseado la página que Anonymous hubiera seleccionado. Una vez más insistimos que se trata de una práctica ilegal y que si se realiza, voluntaria o involuntariamente, podrías ser sancionado severamente. Si no se está de acuerdo con la ley SOPA, aconsejamos, por ejemplo, apoyar a las empresas que han decidido apagar sus sites como protesta, y no incurrir en ningún ataque DDoS.

Si queréis manteros al día de las últimas amenazas podéis haceros fans de nuestra página de Facebook, un lugar para intercambiar experiencias en torno al mundo de la seguridad.

Alerta de Phising: BBVA

pabloteijeira — Wed, 18 Jan 2012 13:40:18 +0000

Una nueva alerta de phising nos llega desde el twitter de spamloco. Como se informa en su entrada, esta vez la empresa afectada por el uso delictivo de su nombre es el BBVA. Todo comienza al recibir un correo fraudulento del banco, en el que se nos informa que somos uno de los 400 ganadores de un premio de 200€, para poder cobrarlo debemos rellenar un formulario en una web aparentemente del banco. Obviamente, no hace falta explicar que la dirección de correo parece real: ganadores@bbva.es y que el enlace también nos dirige a un dominio de la misma entidad bancaria. Todo ello para dar mayor veracidad al timo y que caigan más “pardillos”.

En cuanto hacemos click, un examen más detenido nos indica que nos encontramos en un página falsa. El diseño es copia del original, pero si comprobamos el dominio veremos que no es seguro (HTTPS). Una empresa como esta siempre nos pedirá nuestros datos a través de un servidor seguro propio. Como siempre recomendamos desde Sophos, insistimos en que ante la más mínima duda llamemos a nuestra agencia bancaria para que nos confirmen la legalidad del correo.

Una vez introduzcamos nuestros nombre de usuario y contraseña, se nos pedirán los datos completos de la tarjeta de crédito con la excusa que el dinero sera cargado en 24 horas.

Por otro lado, es interesante la ingeniería social que utilizan para engañar a los usuarios ¿a quién no le gustaría recibir 200€ de regalo? Muchos al ver un correo así no dudarían un segundo en ingresar sus datos, ya sea por la emoción de ser uno de los ganadores o por desconocer la metodología de estos ataques.

Si queréis manteros al día de las últimas amenazas podéis haceros fans de nuestra página de Facebook, un lugar para intercambiar experiencias en torno al mundo de la seguridad.

Descubrimos a los creadores de Koobface

pabloteijeira — Tue, 17 Jan 2012 13:55:34 +0000

El gusano Koobface creado por los autodenominados “Koobface gang” o “Ali Baba & 4″ ha estado aterrorizando a millones de internautas desde mediados del 2008 pese a los muchos han sido los intentos por atraparlos. Ha llegado el momento de ponerle nombre a estos ciber-criminales: Anton Korotchenko, Alexander Koltyshev, Roman Koturbach, Syvatoslav Polinchuk, y Stanislav Avdeiko.

El informe que hoy sacamos a luz, en el que sus autores: el investigador Jan Drömer y Dirk Kollberg de SophosLabs, han trabajado durante meses, sólo era conocido por un puñado de especialistas y miembros de las fuerzas de orden de varios países, pero al publicar el New York Times un artículo desvelando estos nombres, creemos que es importante que el público conozca como Sophos ha llegado a la misma conclusión. Es una increíble historia de investigación incansable, búsquedas de empresas fantasma y aprovechar los errores de un estudiante poco cauteloso con sus hábitos en las redes sociales.

Ahora tenemos que esperar a ver que acciones toman las autoridades competentes contra estos terroristas de la red.

Koobface (un anagrama de “Facebook”) es un gusano que se propaga a través de los sitios de redes sociales, infectando PCs y construyendo una botnet de equipos contaminados. Su sofisticación es tal, que puede incluso llegar a crear sus propias cuentas de redes sociales, para así, poder publicar enlaces que ayuden a su propagación.

Los creadores de Koobface, cuyos nombres no habían sido conocidos hasta hoy, han ganado millones de dólares cada año, gracias a los ordenadores infectados.

Si queréis manteros al día de las últimas amenazas podéis haceros fans de nuestra página de Facebook, un lugar para intercambiar experiencias en torno al mundo de la seguridad

Conozca dónde están las amenazas y cómo protegerse: Webcast

pabloteijeira — Tue, 17 Jan 2012 11:01:53 +0000

Como siempre os decimos, la información es clave para poder proteger nuestros sistemas correctamente. Esta semana os proponemos asistir a dos webcast sobre dos temas que sin duda os deberíais estar planteando en vuestras empresas.

Los dos webcast son: Seguridad web y control de aplicaciones.

Seguridad Web de Sophos

Los últimos años la web se ha convertido en el princpal vector de infección, los ataques webs son cada día más sofisticados utilizando diferentes técnicas de ataque, inyección SQL, BlackhatSEO, o técnicas de ingeniería social como el Typosquatting, FakeAV.

Si añadimos a esta sofisticación nuevas problemáticas como la movilidad de los empleados o el uso de dispositivos móviles, la protección web se ha convertido en esencial a la hora de planificar nuestra protección.

Sophos puede proteger sus equipos tanto dentro como fuera de la organización de una de las principales fuentes de infección, la Web. Averigüe cómo asistiendo a este

Webcast – Seguridad Web

Fecha: Jueves, 19 de enero de 2012 a las 10:30h

Inscríbete aqui

Control de Aplicaciones de Sophos

El crecimiento de las aplicaciones ha sido exponencial los últimos años, convirtiéndose en un blanco perfecto para los hackers. Los últimos años hemos sido testigos de ataques a los fabricantes de las principales aplicaciones como Adobe.

Cuando hablamos de control de las aplicaciones ya no sólo nos referimos a controlar que los usuarios no jueguen dentro de la empresa sino a poder establecer una política interna de uso de a plicaciones, como por ejemplo controlar que sólo se utiliza el navegador “oficial” de la empresa y del que estamos seguros que podemos mantener los parches de seguridad al día.

El control de aplicaciones se puede llevar a cabo desde la propia ejecución en el puesto hasta el tráfico de red, de forma sencilla. Descubra este enfoque único en el mercado asistiendo a este:

Webcast: Control de Aplicaciones

Fecha: Viernes, 20 de enero de 2012 a las 10:30h

Inscríbete aqui

Si queréis manteros al día de las últimas amenazas podéis haceros fans de nuestra página de Facebook, un lugar para intercambiar experiencias en torno al mundo de la seguridad

Virtualización de appliances web

pabloteijeira — Wed, 11 Jan 2012 22:51:29 +0000

La virtualización es la palabra de moda y parece que el camino a seguir para la empresas que quieren optimizar su gasto en TI. Con ella se consigue ahorrar en infraestructuras sin renunciar a la potencia, compatibilidad, personalización y el control necesario en este tipo de aplicaciones. Por esta razón estamos de enhorabuena ya que Sophos acaba de anunciar sus primeros appliances web virtuales. (los appliances de correo virtuales están en el mercado desde hace meses)

Con los Virtual Web Appliances , Sophos pretende dar un paso más en este camino, al simplificar sus productos, pudiendo ser configurados en unos pocos minutos, dotarlos de gran flexibilidad, agilidad y control. Además de ofrecer sin coste adicional la monitorización remota y el mantenimiento automático. Por supuesto se pueden descargar a través de VMware Virtual Appliance Marketplace.

El uso de este tipo de tecnologías de protección evitará resolverá amenazas como el Typosquatting, ataques de phishing y otros tipos de amenazas a las que nos enfrentamos mientras navegamos.

Con vuestro permiso un cuento un poco más sobre los appliances:

Se trata un producto ideal para empresas de cualquier tamaño, ya que garantiza una navegación segura a sus empleados, independientemente de donde se encuentren, al incluir un triple filtrado: filtrado URL, con un análisis avanzado en tiempo real del malware, junto con un análisis del comportamiento y control de contenidos para proteger frente a las amenazas más recientes. Además de ser fácilmente configurable y actualizable.

Chris Kraft, VP Product Manager Gateway nos dice “Las empresas buscan conseguir más por menos aprovechando su inversión en virtualización, pero el simple hecho de implementar versiones virtualizadas de las mismas aplicaciones complicadas de gestionar sólo ayuda hasta cierto punto. Nuestros Appliance Virtual Web permiten a los departamentos de TI no sólo aprovechar todas las ventajas de la virtualización, sino también los de un servicio gestionado, al mismo tiempo que mantienen sus datos y conservan el control total.”

Sophos Iberia estrena Facebook en español

pabloteijeira — Wed, 11 Jan 2012 16:08:25 +0000

Año nuevo, vida nueva. Como muchos sabréis ya, acabamos de lanzar nuestra página en Facebook: Sophos Iberia

El objetivo de este blog ha sido desde el principio difundir las últimas alertas de seguridad, así como difundir información sobre malware, spam y scam en redes sociales a la vez que os proponemos buenas prácticas para el uso de la tecnología.

Nos gustaría convertir esta página en un lugar de encuentro donde poder compartir experiencias entre los usuarios y también con nosotros.

Intentaremos publicar interesantes artículos sobre cómo protegernos contra ataques así como avisar sobre las amenazas que surjan.

Hace ya más de un año que difundimos la información a través de Twitter y ahora hemos decidido dar el gran salto a Facebook, así que espero que nos acompañéis en esta nueva aventura!

¿Está regalando Mark Zuckerberg iPhones e iPads?

pabloteijeira — Mon, 09 Jan 2012 19:06:55 +0000

¿Se ha vuelto loco el fundador de Facebook? ¿De verdad que Apple se ha unido a Facebook? ¿De verdad que me ha tocado la lotería? Obviamente la respuesta a las anteriores preguntas es no. Pero en que mundo regalan un iPhone al rellenar un cuestionario. ¿Nos cegará nuestro deseo de pertenecer al exclusivo círculo de la manzana hasta tal grado que caigamos en este burdo scam? Desgraciadamente muchos si que caerán…

Veamos con un poco más de detenimiento este caso. Lo primero es recibir un correo como este:

Una vez hagamos sigamos el enlace veremos que no entramos en un sorteo (¡pero no lo había ganado ya!). Aparentemente sólo debo contestar una pregunta para poder optar a uno.

Pero si lees la letra pequeña verás que estás contratando un servicio de suscripción de pago si participas en la encuesta…

Una vez más recordamos que cuando navegamos por Internet o cuando leemos nuestro correo electrónico, el sentido común debe ser nuestra principal arma. De todas maneras, si quieres estar informado de las últimas amenazas o simplemente saber como mantener protegido no dudes de seguirnos en Facebook, Twitter o visitar regularmente la página de Sophos.

Los ataques a dispositivos móviles, tendencia clave durante 2011

pabloteijeira — Mon, 02 Jan 2012 01:12:13 +0000

Sophos acaba de publicar un informe donde detalla las principales tendencias que han caracterizado el mercado de la seguridad durante el año 2011, siendo en líneas generales la proliferación de los ciberataques y la selección de nuevos objetivos algunas de las notas claves del año.

Este año hemos podido comprobar que los nuevos objetivos por parte de los ciberdelicuentes han sido las plataformas móviles, éstas han cobrado un importante protagonismo.

Cabe destacar por tanto la aparición de programas maliciosos para estos dispositivos, todavía ciertamente básicos y principalmente dirigidos a plataformas clave como Android, pero que muestran ya como una realidad lo que expertos del mercado de la seguridad auguraban desde hacía tiempo.

Los ataques a móviles son aún bastante simples, podríamos decir que se asemejan a los programas maliciosos creados en los años 90 contra los ordenadores de sobremesa. Aún así, sirven para advertirnos de lo que puede deparar el futuro

En líneas generales, el año 2011 se resume en las siguientes siete tendencias principales dentro del mercado de la seguridad:

El regreso de los cibercriminales activistas: en contra de lo sucedido en otros años, la motivación económica no siempre ha estado detrás de gran parte de los ataques.
Aumento continuado del volumen de código malicioso: En la actualidad, Sophos revisa más de 150.000 programas maliciosos nuevos al día, un 60% más que en 2010.
Aparición de programas maliciosos para dispositivos móviles, pero muy básicos
Sistemas de control e infraestructuras nacionales críticas: Los objetivos de los ciberdelincuentes se han diversificado y han empezado a prestar más atención a los sistemas de infraestructuras críticas.
Hablamos con los ciberdelincuentes: Durante 2011 los ciberdelincuentes llevaron a cabo técnicas de ingeniería social tales como llamar por teléfono a las propias empresas para sonsacar información. Los ataques a través de las plataformas de redes sociales, voz sobre IP y otros canales, fueron numerosos.
Ataques dirigidos de gran repercusión: Grandes ataques contra conocidas empresas de seguridad pusieron de manifiesto las prácticas de cibercriminales de espionaje corporativo e incluso patrocinados por gobiernos.
La protección básica sigue fallando: Algunas amenazas excepcionalmente habituales demostraron que las técnicas básicas siguen suponiendo un reto. Infecciones a través de navegadores, provocadas por la falta de parches en los propios navegadores o en las aplicaciones de Flash o PDF, siguen siendo habituales.

Movilidad y servicios en la nube, puntos de mira para 2012

Según el Informe, con el panorama actual sobre la mesa, el gran reto para las empresas consistirá en impedir el retroceso de las funciones de seguridad a medida que adoptan nuevas tecnologías y los ciberdelincuentes amplían sus objetivos. Los nuevos métodos de transferencia y acceso a la información desde diferentes ubicaciones y con variados dispositivos así como los servicios en la nube serán bazas clave en el nuevo año.

En el año que comienza las empresas se enfrentan al reto de gestionar el aumento del volumen de programas maliciosos e infecciones, sino que también han de mantener la guardia en alto ante los nuevos métodos de acceso a aplicaciones y datos, como los servicios en la nube, que suscitarán un interés renovado

Estos son los retos básicos a tener en cuenta para el mercado de la seguridad en 2012:

1. Aumento continuado de la propagación de programas maliciosos a través de redes sociales e Internet

2. Mayor diversificación de los objetivos de los cibercriminales

3. Los dispositivos móviles son el centro de atención

4. Las nuevas tecnologías de redes e Internet nos obligan a tener la guardia en alto

5. El consumo despreocupado provoca un retroceso de la seguridad

6. Continúa la tendencia de los ataques dirigidos

7. Permanencia de los cibercriminales activistas y las amenazas de gran repercusión contra sistemas de control

8. Las tecnologías de conveniencia pueden convertirse en nuevos vectores de estafa

9. El retorno de los servicios en la nube

Cada vez más empresas intentan incorporar el uso de dispositivos de consumo en los entornos laborales, pero la transición despreocupada sin los controles adecuados provocará un retroceso de la capacidad de protección y abrirá agujeros que deben corregirse.

En el año 2012, será necesario concentrarse en contar con la protección básica para los nuevos modelos y dispositivos utilizados. Pero no debemos olvidarnos de actualizar las herramientas de seguridad de la empresa para solucionar la mayor cantidad posible de problemas.

Durante las proximas semanas iremos analizando algunos de estos puntos más en profundidad.