NUEVA CAMPAÑA DE PHISHING INTENTA ROBAR CREDENCIALES DE CUENTAS CORPORATIVAS

Los delincuentes no cesan en su empeño de atacar a empresas de todo el mundo, y periódicamente observamos campañas de todo tipo que tratan de robar credenciales que les permitan, por ejemplo, acceder al correo corporativo. Buen ejemplo de eso es una nueva campaña detectada en las últimas horas y que trata de robar contraseñas de email de una forma sencilla pero que sigue siendo efectiva a día de hoy.

Verificación del correo electrónico

Como suele suceder en estos casos, parte del éxito de estas campañas recae en la capacidad de los delincuentes de llamar la atención de los usuarios. Normalmente se utiliza un correo electrónico suplantando la identidad de una empresa de renombre o, como en este caso, el email se recibe utilizando el mismo dominio de correo que el de la empresa donde trabaja el usuario.

De esta forma, pueden hacer creer al receptor del mensaje que se trata de un correo legítimo enviado por el departamento encargado de gestionar el acceso a su cuenta de correo y, seguidamente, pulsar sobre el enlace proporcionado. Si lo hace, accederá a una web preparada por los delincuentes donde solo se muestra su correo electrónico y se solicita que introduzca la contraseña.

Hasta aquí tenemos un caso clásico de phishing, similar a muchos otros que hemos ido observando durante los últimos meses. Es importante que los usuarios aprendan a reconocer este tipo de correos e identificarlos como maliciosos, por mucho que los delincuentes traten de confundirlos usando el nombre de su empresa e incluso se hagan pasar por el servicio de soporte. No obstante, esta campaña nos deparaba una interesante sorpresa.

Diseccionando esta campaña

Algo muy importante que no han tenido en cuenta los responsables de esta campaña de phishing ha sido ocultar las plantillas y otra información usada para preparar tanto esta campaña como otras que también pueden estar activas en estos momentos. Es perfectamente factible acceder al listado de ficheros y directorios que hay en el directorio raíz de la web usada para preparar esta campaña, tal y como vemos en la captura a continuación.

Fijándonos en las fechas de los directorios podemos ver que algunas campañas estarían en activo, mientras otras se prepararon hace tiempo. Vemos por ejemplo plantillas usadas para robar credenciales de Microsoft, nada extraño ya que Outlook Web Access es una de las plataformas más utilizadas en todo el mundo y los delincuentes no dudan en tratar de robar las credenciales de acceso.

Además, también encontramos plantillas dirigidas a suplantar plataformas de correo electrónico en países específicos como China o Corea del Sur. Un buen ejemplo de ello es esta plantilla encontrada en uno de los directorios accesibles donde se suplanta la identidad de Yahoo! Mail Corea.

Además, dentro de esos directorios se encuentran varios archivos que, a su vez, contienen ficheros de configuración donde se pueden observar algunos detalles interesantes. Por ejemplo, en uno de ellos vemos que se obtienen tanto el sistema operativo del usuario que accede a la web de phishing como el navegador usado, la IP y el país desde el que se conecta.

Toda esta información es volcada a un fichero logs.txt que también es accesible de forma pública y que, en el momento de escribir este artículo, contaba con alrededor de 1500 registros desde la pasada medianoche. Estos registros pertenecen a usuarios de países de todo el mundo, aunque con bastante prevalencia de Estados Unidos, China, Corea del Sur y países europeos.

También vemos en otro de los ficheros que los delincuentes tratan de evadir la detección como phishing de sus correos, evitando su envío a un listado concreto de IPs. Esto les permite tener activa su campaña durante más tiempo y, por ende, tratar de conseguir un mayor número de credenciales. A pesar de ello, este tipo de campañas no suelen durar demasiado, aunque, viendo cómo las preparan, tampoco les va a costar mucho diseñar una nueva utilizando otra plantilla.

En cualquier caso, es importante destacar el número de credenciales obtenidas en apenas unas horas, y aunque tras revisar el listado de correos comprometidos y comprobar que muchos de ellos son inválidos, conviene recordar que estas credenciales robadas pueden ser utilizadas posteriormente para lanzar ataques más dirigidos con una mayor probabilidad de éxito.

Conclusión

Tras analizar esta reciente campaña de spam comprobamos que a los delincuentes no les hace falta complicarse demasiado la vida para poder robar credenciales. Aún quedan muchos usuarios por concienciar para evitar que caigan en esta trampa, los cuales pueden, además, utilizar soluciones antispam y antiphishing que sean capaces de detectar estas amenazas.

Enlace a la noticia: https://blogs.protegerse.com/2022/02/18/nueva-campana-de-phishing-intenta-robar-credenciales-de-cuentas-corporativas/

¿Qué tan seguros se sienten los usuarios realizando compras online?

El 65% de los usuarios realiza compras online de forma mensual o semanal y cerca del 9% fue víctima de robo de dinero en sitios falsos.

Hace un año atrás hablábamos del crecimiento del ecommerce y del aumento de las estafas y otro tipo de incidentes de seguridad vinculados con las compras online. Desde 2020 a esta parte el crecimiento de las compras a través de Internet ha sido notorio, así como el uso de plataformas digitales para efectuar los pagos en sustitución del dinero físico.

En Argentina se registraron 25 millones de órdenes de compra online en el primer semestre de 2020 y en agosto de 2021 la cifra llegaba a 80 millones. En México sucedió algo similar y durante el primer semestre de 2021 se registró un aumento del 192% en compras a través de plataformas de ecommerce como Amazon o Mercadolibre, entre otras. Teniendo en cuenta este comportamiento y considerando que en la época de las fiestas muchos se vuelcan al mundo digital, desde ESET Latinoamérica consultamos a los usuarios cómo se sienten realizando compras online, si sufrieron algún incidente de seguridad, y qué otros hábitos o preferencias tienen al momento de comprar.

El 26% dijo que se siente igual de seguro comprando tanto a través de su teléfono móvil como desde su computadora, aunque casi el 50% manifestó sentirse más seguro a través de la PC. En cuanto a las medidas de protección implementadas, el 25% tiene activo el doble factor de autenticación (2FA) en sus dispositivos y el 57% cuenta con una solución antimalware.

Por otra parte, si bien el 80% de los usuarios no guarda los datos de la tarjeta de crédito en el navegador, el 20% sí lo hace. Sin embargo, almacenar esta información en el navegador no es una práctica recomendable. Los atacantes utilizan distintos métodos para comprometer tiendas online y robar los datos financieros de los usuarios al momento de comprar. Por ejemplo, mediante la instalación de extensiones maliciosas en el navegador del usuario, explotando vulnerabilidades en plataformas utilizadas para la creación de tiendas ecommerce o en plugins instalados, o mediante ataques de XSS, por nombrar algunos ejemplos.

El año pasado, por ejemplo, atacantes comprometieron más de 550 tiendas online de distintas partes del mundo a través de ataques de Web Skimming con el objetivo de robar datos de tarjetas de pago. En ese caso en particular los criminales utilizaron falsos plugins para sitios web, falsas plataformas de pago, e inyectaron código malicioso en el sitio de la víctima. Las plataformas afectadas en este ataque eran en su mayoría Magento (85% de los casos), aunque algunas de las tiendas online comprometidas utilizaban Shopify, BigCommerce y PrestaShop, además de WordPress.

Compras a través de redes sociales

En cuanto a las plataformas más utilizadas para comprar, el 45% de los encuestados aseguró que realiza compras a través de redes sociales, pero ante la consulta de si es más seguro comprar a través de redes sociales o sitios web, el 70% afirmó que a través de sitios web y apenas el 5% dijo a través de redes sociales.

Si bien existen muchos emprendedores que utilizan redes sociales para vender sus productos, vale la pena mencionar que las plataformas conocidas protegen más al usuario ante cualquier problema con la compra. En algunos casos, los estafadores comienzan el engaño en una popular plataformas y solicitan a la potencial víctima continuar la operación por afuera de la misma, argumentando que de esta manera podrán ofrecer un precio más conveniente. Sin embargo, esto es algo que no se recomienda, ya que en caso de ser una estafa la plataforma no podrá dar soporte a la víctima ni reintegrarle el dinero. De hecho, el 9% de los usuarios afirma haber sido víctima del robo de dinero en sitios falsos y un 8% el robo o filtración de datos financieros.A continuación, recomendamos la lectura de los siguientes artículos:

Enlace a la noticia: https://www.welivesecurity.com/la-es/2021/12/23/que-tan-seguro-sienten-usuarios-realizando-compras-online/

Correos de sextorsión intentan estafar a los usuarios bajo la excusa de que han pirateado sus dispositivos

Se ha detectado una campaña de correos electrónicos fraudulentos, cuyo objetivo es extorsionar a las víctimas para que paguen una determinada cantidad de dinero en bitcóins a cambio de no publicar supuestas grabaciones íntimas. Este engaño se conoce como sextorsión y cualquiera podría ser víctima de él, ya que en realidad, no existen tales grabaciones, sino que es el pretexto utilizado para generar preocupación al receptor del correo.

Recursos afectados

Cualquier usuario que haya recibido un correo electrónico con características similares y haya realizado el pago.

Solución

Si has recibido un correo de este estilo, no contestes y elimínalo. Nadie ha tenido acceso a tus dispositivos, ni ha grabado un vídeo íntimo. Se trata de un engaño que utiliza estrategias de ingeniería social para que sigas las indicaciones del ciberdelincuente.

MUY IMPORTANTE: no pagues ninguna cantidad a los extorsionadores, ni contestes al correo electrónico que te han enviado. Esto último sirve a los ciberdelincuentes para saber si la cuenta está activa y enviar nuevos fraudes en el futuro.

En el caso de que hayas accedido al chantaje y realizado el pago de bitcóins, recopila todas las evidencias de las que dispongas (capturas de pantalla, e-mails, mensajes, etc.) y contacta con las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) para presentar una denuncia. Para ello, puedes hacer uso de algún testigo online.

Evita ser víctima de fraudes de este tipo siguiendo nuestras recomendaciones:

  1. Si te llegan correos que no has solicitado o sean de desconocidos, no los abras y elimínalos.
  2. No contestes en ningún caso a estos correos, ni envíes información personal.
  3. Mantén todos tus dispositivos y antivirus actualizados.
  4. En ningún caso envíes datos de tus contactos, ni reenvíes el correo; de este modo, ayudarás a que no se extienda el fraude.
  5. En caso de duda, consulta directamente a las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) o la Oficina de Seguridad del Internauta (OSI) de INCIBE.

Detalles

El correo electrónico fraudulento se envía desde una cuenta de correo generada, posiblemente, de forma aleatoria. El asunto con el que se identifica el correo es el siguiente: ‘Pirateé con éxito tus dispositivosXXX’, donde XXX son número aleatorios, aunque no se descarta que existan otros correos con asuntos similares.

El cuerpo del mensaje está escrito en castellano y, aunque no presenta faltas de ortografía, la gramática y el vocabulario no son los utilizados por una persona nativa, posiblemente derive de una traducción de otro idioma. Igualmente no se descarta que puedan aparecer otros mensajes diferentes a los del ejemplo, pero con el mismo fin.

En el cuerpo del mensaje se indica a la víctima que se ha infectado su dispositivo con un software espía con el que han conseguido supuestos vídeos íntimos. Los ciberdelincuentes amenazan con difundir estos vídeos entre los contactos del destinatario del correo, a no ser que realice un pago en bitcóins, para que la transacción no deje rastro, en un plazo de 60 horas. El objetivo de este breve plazo de tiempo es evitar que la víctima se pare a pensar y analizar lo que está sucediendo, y realice el pago a la mayor brevedad posible ante el miedo de pensar que dicho material comprometido pueda ser distribuido.

OSI | Ejemplo de correo electrónico de sextorsión

Enlace a la noticia: https://www.osi.es/es/actualidad/avisos/2021/12/correos-de-sextorsion-intentan-estafar-los-usuarios-bajo-la-excusa-de-que

La ingeniería social, la técnica más usada por los ciberdelincuentes

Cinco ataques de ingeniería social que usted debe conocer y prevenir

El phishing, el vishing o el baiting son algunas de las diferentes modalidades de estafa utilizadas para robar información. Los afectados no se dan cuenta del fraude hasta que ya es demasiado tarde y los delincuentes ya han accedido a sus datos.

Las vías de fraude están en aumento, el ingenio de los estafadores no tiene fin y cada día usan nuevas estrategias para conseguir su objetivo, una de ellas es la ingeniería social. Tal como explican desde la Asociación Española de Empresas Contra el Fraude (AEECF), se trata de un conjunto de técnicas que son utilizadas para engañar a los usuarios y que así entreguen datos confidenciales y personales, bien sea infectando sus ordenadores o abriendo enlaces de sitios fraudulentos. Una práctica que está en aumento y que representa un peligro no solo para las personas, sino también para las empresas.

Son muchas las formas en las que los cibercriminales usan la ingeniería social para hacer que el internauta caiga en su trampa, algunas de ellas son:

  • Por correo electrónicophishing. Hacen llegar un mail, donde se hacen pasar por instituciones de confianza y consiguen que se compartan contraseñas, números de tarjeta de crédito y diferente tipo de información confidencial.
  • Vía teléfono, vishing. Este método hace uso de las llamadas de teléfonos o mensajes de voz para engañar y llegar a información sensible.
  • Por redes sociales. Las redes forman parte de la mayor parte del día a día de los ciudadanos, por eso los estafadores acceden a la información de los usuarios mediante enlaces fraudulentos o contactando con ellos por medio de mensajes.
  • Mediante unidades externas (usb), baiting. Este consiste en el abandono de un dispositivo de almacenamiento extraíble infectado, que al conectarlo a un terminal introduce un software malicioso.
  • A través de SMS, smishing. La técnica reside en el envío de un mensaje de texto donde se simula ser una entidad legítima, con el objetivo de robar información privada o realizar un cargo económico.

El haber sido víctima de cualquiera de las estafas anteriores tiene consecuencias muy peligrosas para los usuarios, puesto que los afectados no se dan cuenta hasta que es tarde y los delincuentes ya han accedido a sus datos. Por ello, desde la AEECF se ofrece una serie de recomendaciones para evitar este tipo de ataques:

  • Siempre que se reciba cualquier documento se debe verificar su procedencia.
  • No hay que descargar documentos del que se desconozca el contenido.
  • No hacer clic en enlaces sospechosos recibidos por correo electrónico.
  • No se debe revelar información confidencial ni datos personales.
  • Es recomendable tener un antivirus instalado y actualizado en los dispositivos digitales.
  • Hay que ser precavidos al revelar información en redes sociales, lo mejor es no difundir datos personales.
  • Recordar que las entidades u organismos nunca solicitan contraseñas, números de tarjeta de crédito o cualquier otra información personal.
  • El sentido común y ser precavidos siempre serán los mejores aliados.