Cinco técnicas que usan los ciberdelincuentes para robar tus contraseñas

Una persona utiliza su ordenador y su teléfono móvil.

La contraseña es, a menudo, lo único que se interpone entre un ciberdelincuente y los datos personales y financieros del usuario, por ello son en la actualidad uno de los principales objetivos de sus prácticas criminales.

Estas claves son el talón de Aquiles de la vida digital de muchas personas, sobre todo por que hoy en día el usuario medio tiene que recordar cien credenciales de acceso, y la cifra no ha hecho más que aumentar en los últimos años.

La compañía de ciberseguridad ESET ha recopilado cuáles son las cinco técnicas mas extendidas que utilizan los cibercriminales para hacerse con las contraseñas de acceso de las personas a sus cuentas.

‘Phishing’ e ingeniería social

La técnica de ataque más utilizada aprovecha la tendencia del ser humano a tomar decisiones equivocadas, en especial cuando deciden de forma apresurada. Los ciberdelincuentes se aprovechan de estas debilidades mediante la ingeniería social, un truco de estafa psicológica diseñado para lograr que las personas hagan algo que no deberían.

El ‘phishing’ es uno de los ejemplos más famosos. En este caso, los delincuentes se hacen pasar por entidades legítimas, como amigos, familiares, empresas con las que el usuario ha entablado negocios, etc.

Estos correos electrónicos o textos parecerán auténticos, pero incluyen un enlace o un archivo adjunto malicioso que, si se pulsa, descargará ‘malware’ o llevará a una página para facilitar los datos personales.

Malware

Otra forma popular de hacerse con contraseñas es a través del ‘malware’ o programa malicioso. Los correos electrónicos de ‘phishing’ son un vector principal para este tipo de ataque, aunque también se puede ser víctima al hacer clic en un anuncio malicioso (‘malvertising’), o incluso al visitar un sitio web comprometido (‘drive-by-download’).

Como ha destacado ESET, el ‘malware’ puede incluso esconderse en una aplicación móvil de aspecto legítimo, que suele encontrarse en tiendas de aplicaciones de terceros.

Existen diversas variedades de ‘malware’ para robar información, pero algunas de las más comunes están diseñadas para registrar las teclas que el usuario pulsa en el teclado o hacer capturas de pantalla del dispositivo y enviarlas a los atacantes.

Fuerza bruta

Se calcula que el número medio de contraseñas que tiene que gestionar una persona ha aumentado un 25% interanual en 2020. Muchas personas utilizan contraseñas fáciles de recordar y las reutilizan en múltiples sitios, pero esto puede abrir la puerta a las llamadas técnicas de fuerza bruta.

Uno de los ataques más comunes es la comprobación de credenciales. En este caso, los atacantes introducen grandes volúmenes de combinaciones de nombres de usuario y contraseñas previamente robadas en un ‘software’ automatizado.

A continuación, la herramienta las prueba en un gran número de sitios, con la esperanza de encontrar una coincidencia. De este modo, los delincuentes pueden desbloquear varias cuentas con una sola contraseña.

Según una estimación, el año pasado se produjeron 193.000 millones de intentos de ataques de este tipo en todo el mundo. Una de las víctimas más notables ha sido recientemente el gobierno canadiense.

Otra técnica de fuerza bruta es la prueba aleatoria de contraseñas. En este caso, los ‘hackers utilizan’ un ‘software’ automatizado para probar una lista de contraseñas de uso común contra una cuenta.

Adivinanzas

Aunque los ciberdelincuentes disponen de herramientas automatizadas para forzar la deducción de las contraseñas, a veces ni siquiera son necesarias: incluso las simples conjeturas -en contraposición al enfoque más sistemático utilizado en los ataques de fuerza bruta- pueden lograr el objetivo.

La contraseña más común de 2020 fue ‘123456’, seguida de ‘123456789’. En el cuarto puesto se encuentra la propia palabra ‘password’, contraseña en inglés.

‘Mirar por encima del hombro’

Aunque hay muchas formas de robar una contraseña de forma virtual, vale la pena recordar que siguen existiendo formas de conocer una contraseña en el mundo físico que suponen un riesgo.

Es el caso de lo que se conoce en inglés como ‘shoulder surfing’, denominado simplemente ‘mirar por encima del hombro’ en español. Esto no solo afecta al pin de la tarjeta de crédito, y ESET ha realizado experimentos que muestran la facilidad con la que puede averiguarse una contraseña de Snapchat mediante este sistema.

Medidas de protección

Para ayudar a protegerse a los internautas, ESET ha compartido una serie de recomendaciones para que los usuarios no acaben sufriendo robos de sus contraseñas.

Algunos de estos consejos son recurrentes, como utilizar solo contraseñas o frases fuertes y únicas en todas las cuentas, especialmente en las bancarias, de correo electrónico y de redes sociales. Esto incluye evitar reutilizar credenciales.

Otra recomendación pasa por activar la autenticación de dos factores (2FA) o usar un gestor de contraseñas, que almacenará contraseñas fuertes y únicas para cada sitio y cuenta. También es importante cambiar de contraseña inmediatamente si un proveedor avisa de un robo de datos.

Los usuarios deben concienciarse y utilizar únicamente sitios HTTPS para iniciar sesión, no hacer clic ni abrir adjuntos en correos electrónicos no solicitados y descargar solo aplicaciones de tiendas oficiales.

Conviene también usar un ‘software’ de ciberseguridad, utilizar siempre sistema operativos y aplicaciones actualizados, tener cuidado con posibles ‘mirones’ en espacios públicos y nunca conectarse a cuentas desde redes WiFi públicas, en las que se recomienda el uso de herramientas VPN.

!Que no te estafen¡ Ingenieria social

Tanto en Internet como en la vida real, los hay que se aprovechan de la ingenuidad de las personas para llevar a cabo todo tipo de artimañas y fraudes. ¿Quieres convertirte en el terror de cualquier estafador de la Red? Aprende con los nuevos contenidos de #ExperienciaSenior de la Oficina de Seguridad del Internauta (OSI) qué es el phishing, el smishing, el vishing y qué hacer si eres víctima de un fraude.

Cuando navegamos por Internet o utilizamos nuestros dispositivos para acceder a nuestras redes sociales u otros servicios, disfrutamos de todas las ventajas que nos ofrece la tecnología.

Sin embargo, sin ser conscientes de ello, también nos podemos exponer a numerosas amenazas o situaciones de riesgo, como infección por virus o el robo de nuestras cuentas e información. Está en nosotros dar el paso y concienciarnos, o ignorarlo y seguir a merced de los ciberdelincuentes. Entender las bases de la ciberseguridad es tan sencillo como interesante, informarse y llevar a cabo una serie de buenas prácticas. ¿Estás dispuesto a aprender y comenzar esta aventura?

Accede la pagina oficial de OSI para tener acceso a toda la información detallada para evitar ser victima de estafas.

Enlace a la noticia: https://www.osi.es/es/experiencia-senior#que-no-te-estafen

Nueva campaña de PHISHING que suplanta la identidad de PayPal

Se ha detectado una nueva campaña de correos electrónicos que intentan suplantar a la empresa intermediaria de pagos PayPal.

El correo avisa al usuario de que su cuenta ha sido bloqueada y solicita actualizar información. En el cuerpo del mensaje se facilita un enlace para poder acceder a una página falsa de acceso a su cuenta de PayPal, a través de la cual se solicitan las credenciales de usuario y los datos personales y bancarios vinculados a la cuenta.

Si has recibido un correo de estas características, has accedido al enlace y facilitado tus credenciales, tus datos personales y bancarios, contacta lo antes posible con PayPal y tu entidad bancaria para informarles de lo sucedido. Además, debes cambiar inmediatamente tu contraseña de acceso al servicio. Evita ser víctima de fraudes tipo phishing siguiendo nuestras recomendaciones:

  1. No abras correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.
  2. No contestes en ningún caso a estos correos, ni envíes información personal.
  3. Ten precaución al pinchar en enlaces y descargar ficheros adjuntos en correos, en SMS, mensajes en WhatsApp o en redes sociales, aunque sean de contactos conocidos.
  4. Ten siempre actualizado el sistema operativo y el antivirus.
  5. En caso de duda, consulta directamente con la empresa o servicio implicado o con terceras partes de confianza como pueden ser las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) o la Oficina de Seguridad del Internauta (OSI).

Por otro lado, ten siempre en cuenta los consejos que facilita, en este caso PayPal, en la sección de seguridad de su web.

MUY IMPORTANTE: Si recibes un correo con estas características, no facilites ningún dato, no hagas clic en los enlaces, ni descargues adjuntos. En el caso de que te surjan dudas, contacta directamente con Paypal en spoof@paypal.es para asegurarse de la veracidad de la información.

El correo electrónico fraudulento se envía desde una cuenta de correo electrónico que no pertenece a los dominios de PayPal (“@paypal.es” o “@e.paypal.es”). Hasta el momento se han detectado correos fraudulentos provenientes de “PayPal ”, con el asunto “Tu cuenta ha sido bloqueada” o similares.@e-coin.io>

El contenido del correo corresponde a un aviso informado de que tu cuenta de PayPal ha sido bloqueada por falta de información, utilizando su logo y una estructura parecida a un correo de PayPal.

En el cuerpo del mensaje se facilita un enlace para poder enviar la supuesta petición de actualización de datos.

Llama la atención que dicho correo contiene 4 enlaces más (Centro de ayuda | Centro de resolución | Centro de Seguridad | Ayuda y contacto) que también redirigen a la página fraudulenta.

Si pinchas en uno de estos enlaces, este redirige a la web falsa, que simula ser el servicio original en cuanto a estética y estructura del portal web, donde te solicitarán tus credenciales.

Si introduces tus credenciales y haces clic en «Iniciar sesión», se cargará otro formulario en el cual te pedirán todos los datos de tu tarjeta de crédito.

Tras introducir los datos de la tarjeta y pulsar en el botón «Acuerdo & Continuar», te solicitará que verifiques tu tarjeta bancaria con tu fecha de nacimiento, una contraseña y un número de teléfono.

*Fuente Información: INCIBE – OSI Oficina de Seguridad del Internauta

Suplantación de Identidad de la DGT por supuesta infracción.

Si recibes una multa a través de un correo electrónico cuyo remitente parece ser la Dirección General de Tráfico (DGT), es el momento de que actives todas las alarmas. Este es el anzuelo que utilizan los delincuentes para consumar la última modalidad de estafa que se ha descubierto en nuestro país. El falso mensaje, para resultar creíble, contiene todo tipo de detalles sobre la supuesta infracción: el lugar donde fue cometida, la razón y el importe; e incluso cita la ley que supuestamente ha infringido el conductor.

Pero el elemento verdaderamente peligroso de la notificación es la fotografía, la prueba que demuestra que la infracción fue cometida por tu vehículo. Para acceder a ella tendrías que hacer click sobre un enlace o descargar un archivo. Con este último simple gesto, los timadores habrán logrado su objetivo, acceder a todas tus contraseñas y datos bancarios a través de un programa que logran instalar en tu ordenador.

La Guardia Civil ha comunicado que hay cientos de conductores que ya han recibido esta falsa multa a través del correo electrónico y que se trata de una modalidad de estafa conocida como phishing. Para evitar ser una víctima más, la Benemérita ha pedido a los ciudadanos que eliminen el mensaje y lo denuncien ante las autoridades.

Además, la Guardia Civil recuerda que nunca notifica las multas por correo electrónico sino por correo certificado. En cualquier caso, puedes consultar si has cometido alguna infracción entrando en la sede electrónica de la DGT.

*Fuente Información: La Verdad

Suplantación de Identidad de la CIA por supuesta posesión de contenido pedófilo

Se ha detectado un nuevo envío masivo de correos suplantando la identidad de la CIA cuyo objetivo es engañar y extorsionar a la persona que lo recibe, acusándole de un supuesto almacenamiento y posesión de pornografía infantil. Los estafadores demandan una cantidad de dinero en bitcoins y si no se realiza el pago, amenazan al usuario con ser arrestado en un determinado plazo de tiempo.

Los correos electrónicos se envían con el asunto “Central Intelligence Agency – Case #81927364”, donde el número es diferente para cada correo. El e-mail puede llevar adjuntas diferentes imágenes del sello de la CIA.

Los ciberdelincuentes falsean la dirección del remitente del correo y utilizan dominios que hacen referencia a la CIA como: xxxxx@qcbu.cia-gov.tk o xxxxx@zcpa.cia-gov-it.gq

En el cuerpo del mensaje se indica el número del caso que se menciona en el remitente y el motivo por el cual se está llevando a cabo la investigación. El remitente se identifica como un técnico oficial que trabaja para la Agencia Central de Inteligencia (Central Intelligence Agency – CIA) y menciona que dispone de los datos personales del destinatario, haciendo referencia a la dirección de correo electrónico, entre otros.

El objetivo del correo es sobornar a la víctima solicitándole una cuantía de criptomonedas para que la transfiera a una cartera de bitcoins (esta dirección de cartera puede variar). Una vez confirmada la transacción, el ciberdelincuente tranquiliza a víctima, indicándole que los archivos pornográficos vinculados a sus datos personales, desaparecerán.

Hasta el momento, todos los correos detectados son en lengua inglesa.

*Fuente Información: INCIBE – OSI

Nueva Campaña de Phishing suplantando a ING

Se ha detectado una nueva campaña de envío de correos electrónicos fraudulentos que suplantan a la entidad bancaria ING, cuyo objetivo es dirigir a la víctima a una página web falsa (phishing) para robar sus credenciales de acceso e información bancaria.

Como en cualquier otro caso de phishing, hay que extremar las precauciones y avisar a vuestros empleados para que estén alerta de los correos que reciban de origen sospechoso, especialmente si contienen archivos adjuntos o como en este caso, enlaces externos a páginas de inicio de sesión.

Si alguno de vuestros empleados ha recibido un correo de estas características, ha accedido al enlace e introducido los datos de acceso a la cuenta bancaria, deberá modificar lo antes posible la contraseña de acceso a la banca online, así como contactar con la entidad bancaria para informarles de la situación. Además se recomienda modificar la contraseña de todos aquellos servicios en los que se utilice la misma.

Como pautas generales, para evitar ser víctima de fraudes de este tipo, os recomendamos:

  • No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
  • En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
  • No contestar en ningún caso a estos correos.
  • Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus comprobar que está activo.
  • Asegúrate que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.

Detalles de la Campaña: La campaña de correos electrónicos fraudulentos que suplanta a ING tiene como asunto «Verificación de datos personales» aunque no se descarta que puedan utilizar otro tipo de asuntos. En la comunicación se informa a los usuarios que debe actualizar los datos personales asociados a su cuenta, para ello debe acceder al «Área de clientes» facilitando un enlace en el correo.

Si se selecciona el enlace incluido en el correo, el usuario será redirigido a una página web que suplanta ser la legítima. En ella se solicita que el usuario introduzca su documento de identificación y fecha de nacimiento.
Una vez que se envía la foto el usuario será redirigido a la página web legítima de ING y todos sus datos personales y bancarios ya estarán en posesión de los ciberdelincuentes.

Nueva Campaña de Phishing suplantando al BBVA

Se ha detectado una nueva campaña de envío de correos electrónicos fraudulentos que suplantan a la entidad bancaria BBVA, cuyo objetivo es dirigir a la víctima a una página web falsa (phishing) para robar sus credenciales de acceso e información bancaria.

La campaña maliciosa detectada suplantando al BBVA tiene como asunto “Importante: Tenemos que actualizar tus documentos”. En la comunicación se informa al usuario que debido a la ley 03/2019 de prevención de blanqueo de capitales, el usuario debe actualizar su documentación, para ello dispone de 8 días, en caso contrario, la cuenta bancaria asociada no podrá recibir más ingresos.

Los ciberdelincuentes para dar más veracidad a la comunicación han falseado la dirección del remitente haciendo que parezca que proviene de la entidad bancaria, cuando en realidad no es así.

Cabe destacar que en la comunicación se muestran gran cantidad de errores ortográficos, algo que el BBVA o cualquier entidad bancaria no cometería.

Si se selecciona el enlace incluido en el correo, el usuario accederá a un servicio de microbloging (Tumblr) que se ha utilizado como puerta de entrada hacia la página de phishing con el objetivo de que sea más difícil de detectar el fraude.

Si se aceptan las condiciones de Tumblr el usuario llegará a la página web fraudulenta que suplanta al BBVA. Esta página cuenta con un certificado de seguridad, pero este no corresponde con el de la entidad bancaria.

Tras introducir las credenciales de acceso, será redirigido a una sección donde se solicitan datos sobre la tarjeta bancaria, incluyendo el PIN, algo que ninguna entidad bancaria ni servicio web legítimo, requeriría.

En caso de introducir los datos de la tarjeta bancaria y pulsar el botón «Confirmar», el usuario acabará llegando a la página web legítima del banco BBVA.

*Fuente información: INCIBE

Nueva campaña de envíos de falsos presupuestos en Excel como adjuntos maliciosos

Se ha detectado una nueva campaña de difusión de código malicioso a través de hojas de cálculo adjuntas en correos electrónicos. Estos correos suplantan a empresas que solicitan un presupuesto incitando al receptor a que abra un fichero adjunto que podría infectar su equipo.

Si has descargado el archivo haz un escaneo de todo el equipo con el antivirus y sigue las instrucciones marcadas por el mismo para eliminar el malware.

Para evitar ser víctima de este tipo de engaños, sigue estas recomendaciones:

  • Desactiva las macros en Microsoft Office.
  • No abras correos de usuarios desconocidos o que no hayas solicitado: elimínelos directamente.
  • No contestes en ningún caso a estos correos.
  • Revisa los enlaces antes hacer clic aunque sean de contactos conocidos. Desconfía de los enlaces acortados.
  • Desconfía de los ficheros adjuntos aunque sean de contactos conocidos.
  • Ten siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus comprueba que está activo.
  • Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y no tienen permisos de Administrador.

Además, es importante realizar periódicamente copias de seguridad. Guárdalas en una ubicación diferente y verifica que se realizan correctamente. De esta forma, en el caso de vernos afectados por algún incidente de seguridad, podremos recuperar la actividad de nuestra empresa de forma ágil.

Si un trabajador de vuestra empresa recibe en su correo electrónico corporativo un mensaje con un texto que informa del envío de un presupuesto como fichero adjunto, como se muestra en la siguiente imagen superior, si abre la hoja de cálculo adjunta el equipo puede quedar infectado por malware.

*Fuente Información: Incibe

Nueva campaña de Phishing que te roba tus datos con archivos falsos de WeTranfers

Se ha detectado una nueva campaña de phishing a través del envío de archivos falsos de WeTransfer para robar las claves de los usuarios. Prestad atención a las características de esta nueva campaña, revisad con cuidado vuestra bandeja de entrada y no lo más importante no caigais en la trampa.

El phishing está a la orden del día y continúa siendo una de las estrategias preferidas por los ciberdelincuentes para robar las contraseñas de las víctimas. En esta ocasión ha sido descubierta una nueva campaña dirigida a los usuarios de WeTransfer, el popular servicio en la nube que permite enviar y recibir archivos de gran tamaño de manera gratuita.

De acuerdo con el informe de ESET, los atacantes envían a las víctimas un correo electrónico que indica que el destinatario ha recibido dos archivos vía WeTransfer. El mensaje simula los emails que envía el servicio para compartir archivos, e incluye los nombres de los ficheros, el peso y la fecha de eliminación de la plataforma, así como un botón para proceder a su descarga.

El remitente es el indicativo más claro de que nos encontramos ante un correo electrónico falso, ya que en lugar de ser el habitual (noreply @wetransfer.com), se trata de una dirección correspondiente a un dominio de correo desconocido. 

En caso de hacer clic en el botón para descargar los supuestos archivos de WeTransfer, en lugar de ir a la web legítima el enlace dirige a la víctima a una página falsa que imita el diseño del servicio oficial. Si te fijas en la barra de direcciones, verás que el dominio no es el oficial, sino un dominio de Chile. 

Una vez en la página falsa, el sistema solicita que se introduzcáis los credenciales de WeTransfer para descargar los archivos, otro factor que tiene que hacer que la víctima desconfíe, ya que el servicio nunca solicita claves de ningún tipo para efectuar la descarga.

En caso de introducir vuestras credenciales, caerán en manos de los atacantes y serás redirigido a una página que indica que la descarga de los archivos ha expirado. Por lo tanto, el único objetivo de esta campaña es robar contraseñas, ya que no se lleva a cabo la descarga de ficheros infectados con malware. 

Si habeís recibido este correo falso de WeTransfer y habéis caído en la trampa, cambiad vuestra contraseña cuanto antes y avisad al servicio de lo que te ha sucedido. Además, si cometéis el error de utilizar las mismas claves para acceder a otras cuentas y perfiles, también es recomendable que las modifiquéis.

Fuente: ESET, ComputerHoy

Nueva campaña de e-mails falsos que usan como cebos presupuestos en Excel para propagar malware.

Se ha detectado una reciente campaña de ciberataques que consisten en una estafa propagada por correo electrónico, en este caso involucrando archivos maliciosos, con formato .xls pidiendo presupuestos.

Los mensajes están escritos de una forma muy correcta, en un perfecto castellano. Además, al parecer provienen de empresas reales y legítimas (incluso conocidas) e incluso incluyen la firma y logos de estas.

Al tratarse de correos remitidos desde empresas reales muchos de los usuarios que los recibieron interpretaron que se trataba de correos legítimos y bajaron la guardia, descargando el fichero adjunto en formato Microsoft Excel, aunque también hemos visto como se usaban otros formatos como .rtf y doc.

El fichero Excel malicioso adjunto tiene una peculiaridad con respecto a otros casos anteriores, y es que antes de solicitar al usuario que permita la ejecución de contenido (macros) en el documento (una opción que viene desactivada por defecto), intenta aprovechar la vulnerabilidad CVE-2017-11882 en Microsoft Office de hace un año (concretamente la parte que afecta al editor de ecuaciones EQNEDT32.EXE) para comenzar su actividad maliciosa una vez abierto el documento y sin necesitar una interacción posterior del usuario. El uso de esta vulnerabilidad además del método clásico puede ser un indicador de que los delincuentes intentaban maximizar el número de infecciones.