Graves vulnerabilidades para dispositivos IOS

La seguridad de los dispositivos móviles es algo que lleva preocupándonos desde hace bastante tiempo. Normalmente, cuando hablamos de amenazas dirigidas a este tipo de dispositivos nos solemos centrar en aquellos que utilizan Android como sistema operativo, pero no debemos olvidar que el sistema iOS de Apple también está en el punto de mira de los atacantes, tal y como hemos visto en numerosas ocasiones.

Descubiertas dos graves vulnerabilidades

En el día de ayer, 22 de abril, se hizo pública la noticia de que investigadores de la empresa ZecOps habían descubierto dos importantes agujeros de seguridad que habrían sido aprovechados por atacantes desde hace varios años para comprometer la seguridad de dispositivos iOS como iPhones e iPads.

El funcionamiento de este ataque consiste en el envío de correos electrónicos especialmente modificados a la bandeja de entrada de la víctima. En el caso de que esta estuviese usando la aplicación de correo predeterminada en iOS 12 o 13, se permitiría la ejecución de la vulnerabilidad y, por tanto, se permitiría a los atacantes robar, editar o borrar correos.

Estas dos vulnerabilidades, catalogadas como Out-of-bounds Write (OOB Write) y Remote Heap Overflow, habrían sido usadas en varios ataques dirigidos contra objetivos variados, desde periodistas a ejecutivos de importantes empresas. De hecho, los agujeros de seguridad fueron descubiertos durante un análisis forense que estaban realizando investigadores de ZecOps.

Dispositivos iOS vulnerables

Según los investigadores, todos los iPhones e iPads con sistema operativo iOS 6 o superior se ven afectados, incluyendo la versión más reciente 13.4.1. No se descarta que dispositivos con versiones más antiguas de iOS también se vean afectados, aunque los investigadores no lo corroboraron.

La vulnerabilidad es especialmente grave en iOS 13, puesto que no se necesita la interacción con el usuario para comprometer el dispositivo, tan solo que la aplicación Mail se esté ejecutando en segundo plano. Por su parte, en iOS 12 se necesita que la víctima pulse sobre el correo malicioso, activándose el ataque antes de que se muestre el contenido del mensaje.


Además, los atacantes pueden realizar múltiples intentos de explotar esta vulnerabilidad, sin que el usuario note nada extraño más allá de una ralentización temporal del dispositivo en iOS 13 o que la aplicación de correo se detenga abruptamente en iOS 12.

Posibles soluciones

Al estar Apple informada de este fallo antes de que se hiciera público, el parche que soluciona estas graves vulnerabilidades ya se incluye en la versión de iOS 13.4.5 beta 2 que fue lanzada el pasado 15 de abril. Sin embargo, al tratarse de una versión preliminar, muy pocos dispositivos la tienen instalada y es de esperar que en los próximos días se lance una actualización para todos los dispositivos con soporte.

Mientras tanto, los usuarios que estén esperando la actualización o no puedan actualizar su dispositivo porque este ya no está soportado por Apple deberán optar por cambiar su cliente de correo por otro que no sea vulnerable, como por ejemplo Gmail u Outlook.

Se trata de un problema importante, especialmente para aquellas empresas y organizaciones que provean de dispositivos iOS a sus empleados y utilicen la aplicación de correo que viene por defecto para gestionar los emails. Muchas tendrán que decidir si esperan a aplicar el parche o cambian de gestor de correo, algo que puede suponer muchas horas de trabajo en una situación de crisis sanitaria y confinamiento que dificulta este tipo de operaciones, especialmente porque muchos de los usuarios de los dispositivos vulnerables se encontrarán en su casa y no será tan fácil hacer el cambio.

Conclusión

Se demuestra una vez más que no existe el sistema operativo invulnerable. Apple sigue recibiendo menos ataques que Android, eso es cierto, pero también es cierto que el número de incidentes ha ido aumentando con el tiempo y los usuarios de estos dispositivos deben considerar aplicar medidas de seguridad efectivas y no confiar ciegamente en el marketing de la empresa de la manzana, ya que esto les podría acarrear serios problemas de seguridad.

Nueva campaña de PHISHING que suplanta la identidad de PayPal

Se ha detectado una nueva campaña de correos electrónicos que intentan suplantar a la empresa intermediaria de pagos PayPal.

El correo avisa al usuario de que su cuenta ha sido bloqueada y solicita actualizar información. En el cuerpo del mensaje se facilita un enlace para poder acceder a una página falsa de acceso a su cuenta de PayPal, a través de la cual se solicitan las credenciales de usuario y los datos personales y bancarios vinculados a la cuenta.

Si has recibido un correo de estas características, has accedido al enlace y facilitado tus credenciales, tus datos personales y bancarios, contacta lo antes posible con PayPal y tu entidad bancaria para informarles de lo sucedido. Además, debes cambiar inmediatamente tu contraseña de acceso al servicio. Evita ser víctima de fraudes tipo phishing siguiendo nuestras recomendaciones:

  1. No abras correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.
  2. No contestes en ningún caso a estos correos, ni envíes información personal.
  3. Ten precaución al pinchar en enlaces y descargar ficheros adjuntos en correos, en SMS, mensajes en WhatsApp o en redes sociales, aunque sean de contactos conocidos.
  4. Ten siempre actualizado el sistema operativo y el antivirus.
  5. En caso de duda, consulta directamente con la empresa o servicio implicado o con terceras partes de confianza como pueden ser las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) o la Oficina de Seguridad del Internauta (OSI).

Por otro lado, ten siempre en cuenta los consejos que facilita, en este caso PayPal, en la sección de seguridad de su web.

MUY IMPORTANTE: Si recibes un correo con estas características, no facilites ningún dato, no hagas clic en los enlaces, ni descargues adjuntos. En el caso de que te surjan dudas, contacta directamente con Paypal en spoof@paypal.es para asegurarse de la veracidad de la información.

El correo electrónico fraudulento se envía desde una cuenta de correo electrónico que no pertenece a los dominios de PayPal (“@paypal.es” o “@e.paypal.es”). Hasta el momento se han detectado correos fraudulentos provenientes de “PayPal ”, con el asunto “Tu cuenta ha sido bloqueada” o similares.@e-coin.io>

El contenido del correo corresponde a un aviso informado de que tu cuenta de PayPal ha sido bloqueada por falta de información, utilizando su logo y una estructura parecida a un correo de PayPal.

En el cuerpo del mensaje se facilita un enlace para poder enviar la supuesta petición de actualización de datos.

Llama la atención que dicho correo contiene 4 enlaces más (Centro de ayuda | Centro de resolución | Centro de Seguridad | Ayuda y contacto) que también redirigen a la página fraudulenta.

Si pinchas en uno de estos enlaces, este redirige a la web falsa, que simula ser el servicio original en cuanto a estética y estructura del portal web, donde te solicitarán tus credenciales.

Si introduces tus credenciales y haces clic en «Iniciar sesión», se cargará otro formulario en el cual te pedirán todos los datos de tu tarjeta de crédito.

Tras introducir los datos de la tarjeta y pulsar en el botón «Acuerdo & Continuar», te solicitará que verifiques tu tarjeta bancaria con tu fecha de nacimiento, una contraseña y un número de teléfono.

*Fuente Información: INCIBE – OSI Oficina de Seguridad del Internauta

Suplantación de Identidad de la DGT por supuesta infracción.

Si recibes una multa a través de un correo electrónico cuyo remitente parece ser la Dirección General de Tráfico (DGT), es el momento de que actives todas las alarmas. Este es el anzuelo que utilizan los delincuentes para consumar la última modalidad de estafa que se ha descubierto en nuestro país. El falso mensaje, para resultar creíble, contiene todo tipo de detalles sobre la supuesta infracción: el lugar donde fue cometida, la razón y el importe; e incluso cita la ley que supuestamente ha infringido el conductor.

Pero el elemento verdaderamente peligroso de la notificación es la fotografía, la prueba que demuestra que la infracción fue cometida por tu vehículo. Para acceder a ella tendrías que hacer click sobre un enlace o descargar un archivo. Con este último simple gesto, los timadores habrán logrado su objetivo, acceder a todas tus contraseñas y datos bancarios a través de un programa que logran instalar en tu ordenador.

La Guardia Civil ha comunicado que hay cientos de conductores que ya han recibido esta falsa multa a través del correo electrónico y que se trata de una modalidad de estafa conocida como phishing. Para evitar ser una víctima más, la Benemérita ha pedido a los ciudadanos que eliminen el mensaje y lo denuncien ante las autoridades.

Además, la Guardia Civil recuerda que nunca notifica las multas por correo electrónico sino por correo certificado. En cualquier caso, puedes consultar si has cometido alguna infracción entrando en la sede electrónica de la DGT.

*Fuente Información: La Verdad

Suplantación de Identidad de la CIA por supuesta posesión de contenido pedófilo

Se ha detectado un nuevo envío masivo de correos suplantando la identidad de la CIA cuyo objetivo es engañar y extorsionar a la persona que lo recibe, acusándole de un supuesto almacenamiento y posesión de pornografía infantil. Los estafadores demandan una cantidad de dinero en bitcoins y si no se realiza el pago, amenazan al usuario con ser arrestado en un determinado plazo de tiempo.

Los correos electrónicos se envían con el asunto “Central Intelligence Agency – Case #81927364”, donde el número es diferente para cada correo. El e-mail puede llevar adjuntas diferentes imágenes del sello de la CIA.

Los ciberdelincuentes falsean la dirección del remitente del correo y utilizan dominios que hacen referencia a la CIA como: xxxxx@qcbu.cia-gov.tk o xxxxx@zcpa.cia-gov-it.gq

En el cuerpo del mensaje se indica el número del caso que se menciona en el remitente y el motivo por el cual se está llevando a cabo la investigación. El remitente se identifica como un técnico oficial que trabaja para la Agencia Central de Inteligencia (Central Intelligence Agency – CIA) y menciona que dispone de los datos personales del destinatario, haciendo referencia a la dirección de correo electrónico, entre otros.

El objetivo del correo es sobornar a la víctima solicitándole una cuantía de criptomonedas para que la transfiera a una cartera de bitcoins (esta dirección de cartera puede variar). Una vez confirmada la transacción, el ciberdelincuente tranquiliza a víctima, indicándole que los archivos pornográficos vinculados a sus datos personales, desaparecerán.

Hasta el momento, todos los correos detectados son en lengua inglesa.

*Fuente Información: INCIBE – OSI

Nueva Campaña de Phishing suplantando a ING

Se ha detectado una nueva campaña de envío de correos electrónicos fraudulentos que suplantan a la entidad bancaria ING, cuyo objetivo es dirigir a la víctima a una página web falsa (phishing) para robar sus credenciales de acceso e información bancaria.

Como en cualquier otro caso de phishing, hay que extremar las precauciones y avisar a vuestros empleados para que estén alerta de los correos que reciban de origen sospechoso, especialmente si contienen archivos adjuntos o como en este caso, enlaces externos a páginas de inicio de sesión.

Si alguno de vuestros empleados ha recibido un correo de estas características, ha accedido al enlace e introducido los datos de acceso a la cuenta bancaria, deberá modificar lo antes posible la contraseña de acceso a la banca online, así como contactar con la entidad bancaria para informarles de la situación. Además se recomienda modificar la contraseña de todos aquellos servicios en los que se utilice la misma.

Como pautas generales, para evitar ser víctima de fraudes de este tipo, os recomendamos:

  • No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
  • En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
  • No contestar en ningún caso a estos correos.
  • Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus comprobar que está activo.
  • Asegúrate que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.

Detalles de la Campaña: La campaña de correos electrónicos fraudulentos que suplanta a ING tiene como asunto «Verificación de datos personales» aunque no se descarta que puedan utilizar otro tipo de asuntos. En la comunicación se informa a los usuarios que debe actualizar los datos personales asociados a su cuenta, para ello debe acceder al «Área de clientes» facilitando un enlace en el correo.

Si se selecciona el enlace incluido en el correo, el usuario será redirigido a una página web que suplanta ser la legítima. En ella se solicita que el usuario introduzca su documento de identificación y fecha de nacimiento.
Una vez que se envía la foto el usuario será redirigido a la página web legítima de ING y todos sus datos personales y bancarios ya estarán en posesión de los ciberdelincuentes.

Nueva Campaña de Phishing suplantando al BBVA

Se ha detectado una nueva campaña de envío de correos electrónicos fraudulentos que suplantan a la entidad bancaria BBVA, cuyo objetivo es dirigir a la víctima a una página web falsa (phishing) para robar sus credenciales de acceso e información bancaria.

La campaña maliciosa detectada suplantando al BBVA tiene como asunto “Importante: Tenemos que actualizar tus documentos”. En la comunicación se informa al usuario que debido a la ley 03/2019 de prevención de blanqueo de capitales, el usuario debe actualizar su documentación, para ello dispone de 8 días, en caso contrario, la cuenta bancaria asociada no podrá recibir más ingresos.

Los ciberdelincuentes para dar más veracidad a la comunicación han falseado la dirección del remitente haciendo que parezca que proviene de la entidad bancaria, cuando en realidad no es así.

Cabe destacar que en la comunicación se muestran gran cantidad de errores ortográficos, algo que el BBVA o cualquier entidad bancaria no cometería.

Si se selecciona el enlace incluido en el correo, el usuario accederá a un servicio de microbloging (Tumblr) que se ha utilizado como puerta de entrada hacia la página de phishing con el objetivo de que sea más difícil de detectar el fraude.

Si se aceptan las condiciones de Tumblr el usuario llegará a la página web fraudulenta que suplanta al BBVA. Esta página cuenta con un certificado de seguridad, pero este no corresponde con el de la entidad bancaria.

Tras introducir las credenciales de acceso, será redirigido a una sección donde se solicitan datos sobre la tarjeta bancaria, incluyendo el PIN, algo que ninguna entidad bancaria ni servicio web legítimo, requeriría.

En caso de introducir los datos de la tarjeta bancaria y pulsar el botón «Confirmar», el usuario acabará llegando a la página web legítima del banco BBVA.

*Fuente información: INCIBE

Nueva campaña de Phishing suplantando a Caja Rural

Se ha detectado una nueva campaña de envío de correos electrónicos fraudulentos que suplantan a la entidad bancaria Caja Rural (multicanal Ruralvía), cuyo objetivo es dirigir a la víctima a una página web falsa (phishing) para robar sus credenciales de acceso e información bancaria.

Como en cualquier otro caso de phishing, extreme las precauciones y avise a sus empleados para que estén alerta de los correos que reciban de origen sospechoso, especialmente si contienen archivos adjuntos o como en este caso, enlaces externos a páginas de inicio de sesión.

Si algún empleado ha recibido un correo de estas características, ha accedido al enlace e introducido las credenciales de acceso a la cuenta bancaria, deberá modificar lo antes posible la contraseña de acceso a la banca online, así como contactar con la entidad bancaria para informarles de la situación. Además se recomienda modificar la contraseña de todos aquellos servicios en los que se utilice la misma.

Como pautas generales, para evitar ser víctima de fraudes de este tipo, se recomienda:

  • No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
  • En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
  • No contestar en ningún caso a estos correos.
  • Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus comprobar que está activo.
  • Asegúrese que las cuentas de usuario de sus empleados utilizan contraseñas robustas y sin permisos de administrador.

Además, para prevenir y reforzar estos consejos, es importante realizar acciones de concienciación en ciberseguridad entre los empleados.

*Fuente: INCIBE

Nueva campaña de envíos de falsos presupuestos en Excel como adjuntos maliciosos

Se ha detectado una nueva campaña de difusión de código malicioso a través de hojas de cálculo adjuntas en correos electrónicos. Estos correos suplantan a empresas que solicitan un presupuesto incitando al receptor a que abra un fichero adjunto que podría infectar su equipo.

Si has descargado el archivo haz un escaneo de todo el equipo con el antivirus y sigue las instrucciones marcadas por el mismo para eliminar el malware.

Para evitar ser víctima de este tipo de engaños, sigue estas recomendaciones:

  • Desactiva las macros en Microsoft Office.
  • No abras correos de usuarios desconocidos o que no hayas solicitado: elimínelos directamente.
  • No contestes en ningún caso a estos correos.
  • Revisa los enlaces antes hacer clic aunque sean de contactos conocidos. Desconfía de los enlaces acortados.
  • Desconfía de los ficheros adjuntos aunque sean de contactos conocidos.
  • Ten siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus comprueba que está activo.
  • Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y no tienen permisos de Administrador.

Además, es importante realizar periódicamente copias de seguridad. Guárdalas en una ubicación diferente y verifica que se realizan correctamente. De esta forma, en el caso de vernos afectados por algún incidente de seguridad, podremos recuperar la actividad de nuestra empresa de forma ágil.

Si un trabajador de vuestra empresa recibe en su correo electrónico corporativo un mensaje con un texto que informa del envío de un presupuesto como fichero adjunto, como se muestra en la siguiente imagen superior, si abre la hoja de cálculo adjunta el equipo puede quedar infectado por malware.

*Fuente Información: Incibe

Nueva campaña de e-mails falsos que usan como cebos presupuestos en Excel para propagar malware.

Se ha detectado una reciente campaña de ciberataques que consisten en una estafa propagada por correo electrónico, en este caso involucrando archivos maliciosos, con formato .xls pidiendo presupuestos.

Los mensajes están escritos de una forma muy correcta, en un perfecto castellano. Además, al parecer provienen de empresas reales y legítimas (incluso conocidas) e incluso incluyen la firma y logos de estas.

Al tratarse de correos remitidos desde empresas reales muchos de los usuarios que los recibieron interpretaron que se trataba de correos legítimos y bajaron la guardia, descargando el fichero adjunto en formato Microsoft Excel, aunque también hemos visto como se usaban otros formatos como .rtf y doc.

El fichero Excel malicioso adjunto tiene una peculiaridad con respecto a otros casos anteriores, y es que antes de solicitar al usuario que permita la ejecución de contenido (macros) en el documento (una opción que viene desactivada por defecto), intenta aprovechar la vulnerabilidad CVE-2017-11882 en Microsoft Office de hace un año (concretamente la parte que afecta al editor de ecuaciones EQNEDT32.EXE) para comenzar su actividad maliciosa una vez abierto el documento y sin necesitar una interacción posterior del usuario. El uso de esta vulnerabilidad además del método clásico puede ser un indicador de que los delincuentes intentaban maximizar el número de infecciones.

Nueva campaña de correos que extorsionan con supuestos vídeos privados

Se ha detectado una nueva campaña de correos electrónicos fraudulentos cuyo objetivo es extorsionar a los destinatarios con un supuesto vídeo de contenido sexual. El ciberdelincuente indica que enviará el vídeo a los contactos de la víctima en 48 horas, a no ser que se haga el pago de una determinada cantidad de bitcoins.

Si tú o cualquier empleado de tu empresa habéis recibido un correo con estas características, ignóralo. Se trata de un intento de estafa y en realidad ningún equipo ha sido infectado con el supuesto malware, no han conseguido tus contactos, ni existe ningún vídeo.

Si has accedido al chantaje y realizado el pago, recopila todas las pruebas de las que dispongas (capturas de pantalla, e-mail, mensajes, etc.) y contacta con las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) para presentar una denuncia.

En el correo, el ciberdelincuente indica que mediante un tipo de malware ha infectado el equipo de la víctima, que tiene control total del mismo y que lleva un tiempo monitorizándolo.

Para hacer el fraude más creíble falsea la dirección del remitente haciendo que parezca que el correo se ha enviado desde la cuenta del destinatario. El asunto utilizado es “Los hackers piratearon tu cuenta. Cambie los datos de acceso inmediatamente.”, aunque pueden darse casos cuyo asunto sea distinto.

En el mensaje se indica que el ciberdelincuente está en posesión de un vídeo de contenido sexual, que hará público a sus contactos y conocidos en un periodo de 48 horas a no ser que se haga el pago de 289 dólares en bitcoin a un determinado monedero.