Phishing a través de redes sociales y mecanismos de denuncia y bloqueo

Phishing a través de redes sociales y mecanismos de denuncia y bloqueo

Últimamente las redes sociales se han arraigado tanto en la nueva cultura de la sociedad de la información de tal manera que sitios como Facebook han logrado crear una red de mercado, áun no muy bien aprovechado pero donde los usuarios gastan su dinero para comprar créditos y enviar invitaciones virtuales, juegos, publicidad, etc. Pero siempre que hay dinero de por medio, hay otras personas que están interesadas en sacar partida de ésto aprovechándose de la inexperiencia de muchos y falta de información sobre todo.

En ésta ocasión mostraremos el ejemplo de un mensaje de phishing a través de Facebook y cómo utilizar el mecanismo que ofrece éste sitio para denunciar y así evitar de alguna manera la propagación de éste tipo de mensajes, veamos el ejemplo.

Lo primero que sucede es recibir la notificación de un nuevo mensaje a la bandeja de mensajes.

Posteriormente, el usuario abre el mensaje y visualiza algo como esto:

Aquí fácilmente podemos darnos cuenta de la falsedad del mensaje, además sin fuera cierto no les recomiendo hacer clic en ninguno de los enlaces acortados que provengan de fuentes desconocidas, en éste ejemplo se utiliza el redirector tk.

La dirección acortada en el ejemplo es: http://admin-account-service-banned-poker.tk/

Pero si analizamos el enlace, realmente dirige hacia la dirección: http://bismilah-dapat-banyak.t35.com/

Y se muestra la página para capturar las cuentas y contraseñas de facebook a continuación:

Haciendo éste análisis resulta muy sencillo determinar que es una estafa, pero les recomiendo en términos generales evitar hacer clic en culquier enlace que provenga de fuente desconocida, y evitar entrar a sitios desconocidos.

En el ejemplo anterior la página mostrada está diseñada curiosamente para que una vez que el usuario ingrese sus datos ésta se redirige a la página de zynga poker y de esa manera, un usuario normal no podría notar que los datos de su cuenta han sido tomados por otra gente.

Bueno, ahora veamos cómo denunciar y bloquear éste tipo de mensajes.

Lo primero que se puede hacer es denuciar directemente el mensaje, como se muestra a continuación.

Se mostrará un mensaje como éste y elegimos el motivo de la denuncia y bloquear a ésta persona, después hacer clic en aceptar.

Cabe destacar que Facebook tiene una red muy grande y bien formada de inspectores de seguridad, tanto de contenidos como de privacidad en los datos, aunque es casi imposible controlar el cien por ciento del flujo de los datos. Lo que les quiero comentar que a los dos minutos que hice la denuncia por recibir éste mensaje, inmediatamente eliminaron el perfil y la cuenta del captor. Lo que no me dio tiempo de hacer la captura de pantalla del perfil de la cuenta que enviaba el mensaje, pero aquí tenemos un ejemplo más de phishing, en ésta ocasión utilizado en la red social más popular del momento.

Lo que falta hacer es denunciar el perfil del phisher, pero para eso hay que ingresar al perfil que se desea denunciar y hacer clic en el enlace denunciar o bloquear a ésta persona el cual se localiza en la parte inferior izquierda de todos los perfiles, junto al botón compartir, como se muestra a continuación.

Y finalmente, se selecciona el motivo del bloqueo en este caso se selecciona perfil falso, y no representa a una persona real, además bloquear a ésta persona y hacer clic en el botón Aceptar.

Y con rapidez sorprendente Facebook elimina la cuenta, eso sucedió en ésta ocasión. Espero que ésta información les haya sido de utilidad, nos vemos!

Ing. Cruz.

Se populariza el spam en formato HTML

Probablemente ya lo hayan notado, pero últimamente se está recibiendo en mayor medida correo basura con HTMLs adjuntos. Los atacantes están usando este formato para robar datos y redirigir a las víctimas a otras web. Es la nueva "moda" del spam.

El correo siempre ha sido el método de distribución predilecto del spam y malware. Desde hace muchos años, los atacantes han adjuntado al correo ejecutables de todo tipo (exe, cmd, pif, bat, vbs... y todas las combinaciones de dobles extensiones posibles) en un intento de infectar sistemas. Esto hace tiempo que está superado por los filtros y normalmente son bloqueados a nivel de perímetro, pero existen otros formatos menos populares que se utilizan a menudo.

Aproximadamente en 2002, se hicieron muy populares los correos basura que solo contenían imágenes. Con esto, los atacantes conseguían eludir los filtros por palabras (primera reacción obvia contra el spam). Como respuesta a las imágenes, los filtros antispam comenzaron a utilizar plugins OCR (software de reconocimiento óptico de caracteres), capaz de interpretar el texto en los gráficos. A continuación les tocó mover ficha a los spammers, y comenzaron a introducir "ruido" en las imágenes para dificultar el reconocimiento automático por este tipo de software.

En junio de 2007, sufrimos una verdadera avalancha de spam en formato PDF. Aprovechando que casi todos los sistemas cuentan con un lector, los atacantes incrustaron la publicidad en un PDF, o incluso en una imagen dentro del PDF. La campaña de envío fue masiva y los filtros no funcionaron los primeros días, pero muy pronto los programadores se pusieron a trabajar y comenzaron a mirar dentro de estos archivos (aunque demostraron no estar preparados para el primer golpe, dado el éxito del que disfrutaron los atacantes las primeras horas). Luego el formato PDF se usaría más para infectar con malware... pero en esto tiene mucho más que decir Adobe que los creadores de filtros de correo basura.

Ahora, parece que los atacantes están usando archivos HTML adjuntos para distribuir basura e incluso infectar a sistemas. Los utilizan de dos formas:

* En vez de colgar un phishing en una web, lo incluyen todo en ese HTML. La víctima lo abre en local, ve una web muy parecida a la de un banco u otra entidad, introduce los datos y son enviados al estafador. Así, los atacantes consiguen no tener que preocuparse por mantener un phishing colgado en algún ISP que en cualquier momento podría eliminarlo, e incluso evadir los filtros antiphishing basados en listas negras, puesto que una dirección "local" no aparecería nunca en ellos.

* Los HTML contienen redirectores (código JavaScript o HTML convenientemente ofuscado) que enlaza a otra web. Al abrir ese HTML adjunto, el usuario es redirigido y puede esperarle un phishing o un intento de infección. Con esto consiguen eludir filtros antispam basados en la detección del método "clásico" de incrustar directamente URLs en el cuerpo de un correo fraudulento.

A partir de ahí, las combinaciones son varias: imágenes dentro del HTML, ofuscación de texto... Con este nuevo método, están consiguiendo eludir algunos filtros antispam y confundir a las víctimas menos avezadas. Aunque obtienen algunas ventajas y están consiguiendo llegar a las bandejas de entrada, en realidad los filtros antispam están haciendo un buen trabajo contra este método desde un primer momento (no como ocurrió en 2007con los PDF) y en general, la mayoría acaban en el correo basura. Aun así, está siendo bastante usado y conviene tenerlo en cuenta.

Más Información:

Se populariza el spam en formato PDF

http://www.hispasec.com/unaaldia/3167

Ataques de phishing constantes sobre bancomer

Aqui tenemos un nuevo ejemplo de ataques de phishers, para que se den una idea de lo sencillo que es armar este tipo de estafas... y lo sencillo que es caer en este tipo de anzuelos, ya que no falta cada desprevenido que deja sus cuentas por todos lados.

Veamos,

Sitio web del atacante

 

Sitio web de bancomer

 

Chequen la diferencia, en el sitio web atacante se puede ver la URL: http://208.53.181.167/homemenu/

A diferencia de la pagina oficial de bancomer: http://www.bancomer.com/

Y el anzuelo es un email como este:

 

Bueno, asi que mucho cuidado con andar proporcionando datos en sitios... aunque digan gusanito, bancomer, banamex, msn, o lo que diga,,, aguas. 

Porque si te modificaron el archivo host ni cuenta te vas a dar, saludos...

Qué es el Phishing y un ejemplo práctico de cómo detectarlo

Muy bien, debido a la propagación de técnicas de fraude he decidido realizar este artículo donde conoceremos ¿qué es el phishing?, ¿Cómo detectar un sitio fraudulento?, con el motivo de evitar ser engañados y tener cuidado al momento de proporcionar datos importantes en internet.

Antes de continuar, es necesario dejar claro el significado de Phishing; para esto vamos a recurrir a wikipedia:

Anzuelo o Estafa electrónica (inglés phishing. Ver Origen de la palabra) es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas, y que se comete mediante el uso de un tipo de ingeniería socialcontraseña o información detallada sobre tarjetas de créditoestafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantáneao incluso utilizando también llamadas telefónicas. caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una u otra información bancaria).

Dado el creciente número de denuncias de incidentes relacionados con el phishingealizado intentos con leyes que castigan la práctica, campañas para prevenir a los usuarios y con la aplicación de medidas técnicas a los programas. se requieren métodos adicionales de protección.

Según Wikipedia es phishing es un delito informático, una estafa a base de mentiras (ingeniería social). En muchos países este delito está regulado, sin embargo, en muchos otros aún no hay leyes que protejan a los usuarios de este tipo de actividades.

Vamos a ver un ejemplo prático de cómo se realiza el phishing:

1. Se envía un mensaje al usuario, en el cual se le informa que realice una actualización en sus datos de cuenta debido a cuestiones de seguridad ó simplemente se le anuncia algún tipo de oferta o engaño al respecto, aquí es donde se aplica la ingeniería social por parter del phisher o estafador. Si el mensaje es recibido vía correo electrónico, lo más común es que parezca proceder de una e-mail de confianza, sin embargo, esto es muy fácil de conseguir. Así que no debemos confiarnos.

Veamos la imagen de la trampa:























2. Acto seguido, el usuario da clic en el enlace proporcionado por el estafador. Una parte muy importante de la prevención del phishing es el ver las urls de los enlaces, observe que en la barra de estado aparece un vínculo a:
http://www.itelcel.mx.kz (sitio copia falsa)
el enlace debería ser:
http://www.ideastelcel.com
Veamos la imagen del vínculo:












3. El tercer paso consiste en que el usuario visite el sitio estafa e ingrese sus datos de cuenta o bancarios.
Para evitar ser defraudados por un phiser, debemos de tener en cuenta lo siguiente:
Una vez estando en la web donde queremos proporcionar los datos, debemos volver a validar la url de la barra de direcciones, que corresponda al dominio original.
Además debemos observar que la página se encuentre bajo el protocolo seguro, la url debe de empezar: https://www.dominio.dom y además incluir el típico candado de seguridad. En este Ejemplo la url es: http://www.itelcel.mx.kz/ y debería ser: http://www.ideastelcel.com




















4. El cuarto y último paso consiste en que el usuario complete los datos del formulario falso y los envíe.


Mucho cuidado con el phishing, observen las direcciones y sean precavidos. Además actualicen su navegador web, ya que Mozilla Firefox e Internet Explorer 7 cuentan con sistema de anti-phishing.