Tag cibercrimen

Explicamos cómo puede mejorar enormemente su privacidad y seguridad en Zoom con las opciones de configuración que ofrece la herramienta.

Zoom está atrayendo mucha atención en los medios debido a la aceptación masiva de los servicios de videoconferencia durante el aislamiento social casi global provocado por el COVID-19. La compañía se está adaptando a la masiva demanda global y al éxito repentino, algo con lo que la mayoría de las empresas solo pueden soñar. Muchas empresas, como Zoom, ofrecen productos y servicios gratuitos para atraer nuevos usuarios, ya que al eliminar la barrera que impone el pago del servicio, con suerte, consiguen fidelizarlos. Luego, en algún momento, el usuario puede convertirse en un cliente que pague el servicio, ya sea por la funcionalidad adicional en el servicio que utiliza o por otros productos ofrecidos por la empresa.

Todos utilizamos servicios gratuitos: las herramientas de búsqueda o el correo electrónico son excelentes ejemplos; sin embargo, la realidad es que nada es del todo gratuito. Las empresas necesitan monetizar su uso para poder proporcionar el servicio o producto de forma gratuita. Esto generalmente implica alguna forma de publicidad o la recopilación de datos a través del uso. Una empresa que brinda servicios gratuitos generalmente tiene un modelo comercial y una política de privacidad que refleja la forma en que ganan dinero. El éxito repentino tomo a Zoom por sorpresa: la empresa tenía un modelo de negocio y una política de privacidad para respaldar un servicio gratuito, ingenioso y sin fricciones, y de repente, se convirtieron en la herramienta predeterminada para millones de organizaciones que de un momento a otro se encontraron con la necesidad de utilizar un servicio de videoconferencias.

No estoy defendiendo a Zoom; han tenido y continúan teniendo numerosos problemas relacionados con la privacidad y la seguridad. Solo estoy brindando la perspectiva de que pueden necesitar tiempo para adaptar su modelo comercial y política de privacidad para defender su repentino éxito. Esto se puede observar en las recientes actualizaciones que lanzó la compañía para solucionar problemas y los cambios recientes realizados en su política de privacidad.

Algunas organizaciones ahora están reflexionando sobre su apresurada decisión de usar Zoom y están migrando a otros servicios de videoconferencia que se adaptan mejor a sus necesidades. Según TechCrunch, la ciudad de Nueva York prohibió a las escuelas usar Zoom, citando preocupaciones de seguridad, pero un portavoz de la ciudad tampoco descartó regresar a Zoom. La razón por la cual las organizaciones corrieron a Zoom como si fuese un estándar de facto se debe a la simplicidad o la experiencia del usuario y a que ofrece una solución gratuita. Esto permitió a las organizaciones adoptar el servicio rápidamente, sin necesidad de capacitación, y eliminó la necesidad de aumentar las órdenes de compra.

No todas las organizaciones están en condiciones de evaluar otras opciones o pueden comprometerse a pagar por un servicio, especialmente en el sector de las pequeñas empresas donde las empresas están luchando solo por sobrevivir, o sectores como la educación pública que muchas veces no cuentan con el presupuesto suficiente. Por lo tanto, si ha tomado la decisión de usar Zoom, a continuación, comparto mis recomendaciones desde el punto de vista de la seguridad a la hora de configurar esta herramienta.

Configurar una reunión en Zoom

Utilice siempre la generación automática: de esta manera cada reunión tendrá un “ID de reunión” diferente. Si el ID de una reunión se ve comprometido, solo servirá para una sola reunión y no para todas las que organice.

Esto no significa que se necesita una contraseña para unirse a una reunión. El requisito de una contraseña debe permanecer marcado. Sin embargo, para que sea efectiva, la opción de embeber una contraseña debe estar deshabilitada; vea abajo.

Iniciar una reunión con la cámara apagada puede ayudarlo a evitar un momento incómodo. En este sentido, será mejor que los usuarios se vean obligados a encender la cámara durante la reunión si así lo necesitan o desean.

El anfitrión deberá admitir a cada participante en la sala de conferencias. De esta manera, el control total de los asistentes está en manos del anfitrión.

Con el mismo espíritu de comenzar la reunión con la cámara apagada, controlar el encendido del micrófono de los participantes al ingresar significa que no se unirán a la reunión mientras están hablando con alguien más y así se evitarán interrupciones.

Deben considerarse configuraciones adicionales que están disponibles dentro del cliente web en lugar de la aplicación. Después de iniciar sesión en el lado izquierdo, haga clic en la opción ‘Configuración’ que aparece en ‘Personal’. A continuación, detallo las configuraciones que recomiendo modificar de la opción predeterminada.

Desactivar esto elimina la opción de un solo clic y evita que se incruste la contraseña en el enlace de la reunión. Esto significa que cada participante deberá ingresar la contraseña para unirse a la reunión. Establezca esto junto con las opciones de configuración a la hora de crear una reunión que mencionamos anteriormente.

Esto impide que cualquier participante comparta su pantalla, aunque el anfitrión puede pasar el control de la reunión a otro participante al convertirlos en el anfitrión para que pueda compartir su pantalla. Esta recomendación puede no ser la ideal para todos los escenarios. Por ejemplo, para aquellos que utilicen la herramienta en el campo de la educación puede no ser deseable pasar el control de anfitrión a un estudiante. Por lo tanto, considere las consecuencias de permitir que todos los participantes puedan compartan la pantalla o si es mejor limitar esta opción solo para el anfitrión.

Considere desactivar esta opción, ya que permitir ver el fondo real podría funcionar también como una verificación de que el participante no comparte de forma inadvertida contenido confidencial en un lugar público, como puede ser una cafetería.

Consulte la descripción dada anteriormente en la sección ‘configuración de una reunión’.

Los dispositivos iOS de Apple realizan capturas de pantalla de las aplicaciones abiertas para mostrar imágenes en el conmutador de tareas. Habilitar esta opción evita que se visualicen datos confidenciales en el conmutador de tareas.

Pensamientos finales

Las recomendaciones anteriores no reemplazan la necesidad de que el lector revise la política de privacidad de Zoom para asegurarse de que cumpla con sus requisitos. Tampoco deben considerarse estas sugerencias como una recomendación de mi parte para utilizar este servicio o sus aplicaciones. Las personas y las organizaciones deben tomar sus propias decisiones sobre estos asuntos. Las configuraciones sugeridas arriba son recomendaciones personales basadas en cómo configuraría Zoom en caso de utilizar esta herramienta para realizar una videoconferencia. Espero que sean de ayuda.

Fuente: www.welivesecurity.com

Usuarios de Zoom sufren la irrupción de trolls en videoconferencias, al tiempo que fue cuestionada por el manejo de la privacidad de los datos y reportes informan sobre un crecimiento en el registro de dominios falsos que utilizan el nombre de la herramienta para distribuir malware.

A lo largo de todo el mundo muchas empresas e instituciones educativas han implementado dinámicas de trabajo y clases a distancia para que los colaboradores y los estudiantes no se trasladen y así evitar el contagio con el COVID-19. En este contexto, el uso de herramientas colaborativas para realizar videoconferencias, como era de esperarse, ha crecido en el último tiempo. Sin embargo, distintos problemas de seguridad, y también vinculados a la privacidad de los datos que manejan herramientas como Zoom, han salido a la luz recientemente, lo cual no hace más que poner sobre la mesa las precauciones que deben tener empresas, instituciones educativas, colaboradores, docentes y estudiantes.

Zoom compartía datos de usuarios de iOS con Facebook

El 26 de marzo un artículo publicado por Motherboard revelaba que la herramienta para realizar videoconferencias, Zoom, no eran lo suficientemente clara en cuanto al manejo que hacían de los datos que recolectaba la herramienta en su versión para iOS, dado que la app para este sistema operativo enviaba datos a Facebook, incluso si los usuarios de Zoom no tenían una cuenta en la red social.

Según un análisis realizado por el medio, que fue confirmado por especialistas en privacidad, una vez descargada y abierta la aplicación, Zoom se conecta a la API Graph de Facebook para notificar cuándo el usuario abre la app y así brindar detalles sobre el dispositivo del usuario. Sin embargo, la política de Zoom dice que la compañía puede recopilar información del perfil de Facebook del usuario cuando éste inicia sesión en los productos de la app o para crear una cuenta, pero no menciona nada acerca del envío de datos en usuarios de Zoom que no tienen cuenta en la red social.

Días después de la publicación de la noticia Zoom lanzó un comunicado indicando que recientemente corroboraron que el Kit de Desarrollo de Software (SDK, por sus siglas en inglés) de Facebook, que la app utilizaba para permitir la función “iniciar sesión con Facebook”, estaba recolectando datos innecesarios del dispositivo, por lo que eliminarían el SDK de Facebook y reconfigurarían la utilidad para que los usuarios puedan iniciar sesión con Facebook a través del navegador.

Un nuevo artículo publicado por Motherboard el día siguiente confirmó que Zoom lanzó una actualización para iOS que evitaba el envío de ciertos paquetes de datos a Facebook. Si bien Zoom no recolectaba información personal del usuario, sí enviaba información del sistema operativo del dispositivo y la versión, la zona horaria, el modelo del dispositivo, la empresa de telefonía contratada por el usuario, tamaño de la pantalla, núcleos del procesador y espacio en el disco.

Videoconferencias invadidas por trolls

Con el crecimiento reciente en el uso de Zoom, muchos usuarios han manifestado que han visto afectadas sus videoconferencias por terceros que interrumpen las llamadas y utilizan la función de compartir pantalla para molestar con videos e imágenes agresivas, que van desde violencia a pornografía, publicó Techcrunch. Si bien intentaron bloquear al intruso, éste volvía a ingresar a la llamada con un nuevo nombre.

El problema surge por dos razones. Por un lado, al compartir en redes sociales tanto el ID de las conferencias (por ejemplo, compartiendo capturas de pantalla de las videoconferencias que incluyen el número del ID en la barra del título) o enlaces a reuniones en Zoom, los mismos pueden ser descubiertos por usuarios malintencionados en las redes sociales y a partir de ahí ingresar. El otro problema está en cómo funciona Zoom, ya que el anfitrión de la llamada no necesita dar acceso para compartir pantalla a los participantes, aunque sí pueden deshabilitar esta función en las opciones de configuración de la llamada o en las opciones de configuración previo a la llamada. Por lo tanto, quienes compartan el enlace de una videoconferencia que pueda llegar a manos de un tercero no deseado deberá asegurarse de cambiar la opción de compartir pantalla para que solo el anfitrión pueda; como dijimos, esto se podrá hacer antes de comenzar la llamada o durante la misma.

Por su parte, desde Zoom, al tanto de esta problemática, publicaron una serie de recomendaciones para prevenir este tipo de incidentes y evitar que el evento se vea interrumpido por estos intrusos no deseados y molestos, y también publicaron recomendaciones para asegurar clases virtuales que utilicen esta herramienta.

Vale la pena destacar que este problema no solo afectó a los usuarios de Zoom. Recientemente se conoció que una escuela en Noruega dejó de utilizar video llamadas luego de que un hombre desnudo ingresó a una video llamada luego de encontrar el enlace o ID para acceder a la misma, publicó Techcrunch. Sin embargo, en esta oportunidad la plataforma utilizada era Whereby.

En este caso, el intruso se expuso frente a muchos niños que estaban presenciando una clase a distancia.

Falsos sitios de Zoom para distruibuir malware

Por último, un reporte publicado recientemente reveló un importante incremento en el registro de dominios que incluyen como parte de su nombre la palabra “Zoom”. Esto responde en gran medida al accionar de cibercriminales, que intentan aprovechar la demanda por herramientas de este tipo, dado que muchos trabajan remotamente para evitar el contagio del COVID-19, para engañar a los usuarios haciéndoles creer que se trata de la herramienta oficial para que descarguen ejecutables que derivan en la descarga de malware en sus dispositivos, explicó la empresa de seguridad CheckPoint.

Fuente: www.welivesecurity.com

Gobiernos, empresas y particulares permanecen atentos a cualquier información, y los ciberdelincuentes se están aprovechando de ello. Su principal ataque consiste en enviar correos informativos que parecen proceder de fuentes fiables, como la OMS y los CEO, junto a archivos maliciosos que infectan los ordenadores

Grupos de ciberdelincuentes y de hackers financiados por gobiernos de todo el mundo están aprovechando la actual pandemia del coronavirus (COVID-19) para espiar a sus respectivos adversarios, según alertan varias compañías de inteligencia de amenazas de ciberseguridad. En las últimas semanas, varios grupos de hackers vinculados a los gobiernos chino y ruso, entre otros, han estado enviando archivos maliciosos adjuntos en correos electrónicos con información sobre la pandemia.

Gobiernos

Foto: El documento malicioso de Microsoft Word sobre el coronavirus utilizado por el grupo de hackers chino conocido como TEMP.Hex. Crédito: FireEye

Las empresas de ciberseguridad FireEye y Check Point han informado de que dos grupos de hackers vinculados al Gobierno chino atacaron a Vietnam, Filipinas, Taiwán y Mongolia. Su técnica consiste en archivos adjuntos de correo electrónico con información médica real sobre el coronavirus acompañada de malware como Sogu y Cobalt Strike, según el analista de inteligencia de FireEye Ben Read. El experto afirma: «Las verdaderas declaraciones de líderes políticos y los consejos auténticos, probablemente tomados de fuentes públicas, sirvieron como señuelo para quien se preocupaba por la enfermedad«.

Un grupo ruso conocido como TEMP.Armageddon envió correos electrónicos de spear–phishing a objetivos ucranianos. El spear-phishing es una táctica que los hackers usan para enviar enlaces maliciosos específicamente diseñados que engañan a los objetivos para que hagan clic, lo que les permite infectarlos de forma inadvertida.

Los analistas de FireEye también sospechan que los hackers norcoreanos están detrás de un reciente ataque de este tipo contra un objetivo surcoreano. Al igual que China, Corea del Sur se ha visto especialmente afectada por el brote. El correo electrónico de phishing tenía como asunto en coreano «Carta sobre el coronavirus».

«La gente espera recibir información de fuentes gubernamentales, y por eso es muy probable que abra y descargue los documentos adjuntos para ver lo que pone. Resulta muy útil empezar así un ataque. El brote del coronavirus es un gran vehículo para los ciberdelincuentes, especialmente para los que dependen del phishing para iniciar sus ataques», explica el jefe de inteligencia de amenazas en Check Point, Lotem Finkelstein.

Criminales

Además de la actividad en curso de los hackers financiados por gobiernos, los ciberdelincuentes particulares también se están aprovechando del caos de la situación actual. Estos hackers ya se habían aprovechado de la ansiedad que nació a raíz del Ébola, el Zika y el SARS para ganar dinero. 

En un comunicado, FireEye afirma: «Hemos detectado a actores con motivación económica que utilizan phishing con la temática del coronavirus en muchas campañas, con un gran aumento de volumen mensual desde enero hasta hoy. Esperamos el uso continuo de señuelos con la temática del coronavirus por parte de los atacantes con motivos económicos tanto oportunistas como específicos debido a la relevancia global del tema».

Los blancos (o víctimas) «han aumentado su interés por las noticias y las novedades relacionadas con el virus, por lo que probablemente resultan más susceptibles a la ingeniería social que los engaña a hacer clic en enlaces maliciosos», explicaron los investigadores de la empresa de ciberinteligencia RiskIQ.

Aunque es relativamente simple, la técnica de phishing (enviar un enlace o archivo destinado a infectar a cualquiera que haga clic) es el tipo de ataque más común y exitoso año tras año. Los hackers que se intentan aprovechar el coronavirus se han dirigido tanto a individuos como a empresas con correos electrónicos falsos que afirmaban proceder de organizaciones confiables como los Centros para el Control de Enfermedades de EE. UU. (CDC) y la Organización Mundial de la Salud (OMS). 

Los correos electrónicos de phishing prometen desde información sobre medicamentos hasta equipos médicos. Pero, en realidad, su objetivo es lanzar el malware o robar contraseñas intentando sacar provecho del caos.

Los hackers buscan objetivos en todo el mundo, pero algunos se han centrado en los países más afectados. Italia, que hasta ahora ha visto la peor erupción del contagio fuera de Asia, ha sido el objetivo de una campaña de phishing contra empresas. Los correos electrónicos falsos, que fingen ser de la OMS, dicen ofrecer medidas de precaución en forma de un documento de Microsoft Word, pero lo que en realidad se descarga es un troyano bancario llamado Trickbot destinado a robar grandes sumas de dinero.

Aunque el remitente del correo electrónico afirma ser de la OMS, el dominio del remitente no coincide con el sitio web who.int de la OMS. 

Japón, otro país que se enfrenta a un gran brote, también ha visto campañas de hackeo selectivas que pretendían ofrecer información sobre el coronavirus de las autoridades sanitarias. Sobre este asunto, los investigadores de la empresa cibernética Proofpoint escribieron: «Los atacantes también atentan contra la credibilidad interna de las empresas. Hemos visto un ataque que utilizaba un correo electrónico con el asunto Coronavirus diseñado para parecerse a un correo electrónico interno del presidente de la compañía a todos los empleados… Este correo electrónico está muy bien elaborado y pone el verdadero nombre del presidente de la empresa».

La mejor defensa

Las plataformas online se han convertido en el estándar de facto para demostrar el elevado interés de la gente sobre la propagación de esta enfermedad. Así que no es de extrañar que también hayan empezado a aparecer portales maliciosos que piden descargar una aplicación para difundir el malware AZORult  para Windows. Dicha aplicación roba datos personales y financieros, criptomonedas y cualquier otra cosa de valor que haya en una máquina infectada. 

No es la primera vez que los hackers utilizan los titulares y la ansiedad colectiva para tratar de engañar a las víctimas, y no será la última. La mejor defensa consiste en mantener actualizada la tecnología, no descargar software ni hacer clic en enlaces de personas desconocidas y limitarse a consultar las fuentes autorizadas de noticias sobre temas tan importantes.

Fuente: www.technologyreview.es

Se han detectado varias campañas en distintos países del mundo en las que los cibercriminales utilizan el coronavirus como excusa para comprometer el equipo de sus víctimas o robar datos personales.

us datos son muy importantes, aunque no lo creas.

Desde distribuir códigos maliciosos como Emotet o Trickbot, entre otros, hasta realizar campañas de engaño que buscan robar datos personales de los usuarios, son algunas de las acciones maliciosas que los cibercriminales están llevando adelante en países como Italia, España o Colombia. Como suele ocurrir, los actores maliciosos aprovechan temas actuales y de interés masivos, como es en este caso el Coronavirus (COVID-19), para realizar campañas de phishing que suplantan la identidad de organismos o entidades oficiales y de esa manera engañar y comprometer a más víctimas. A continuación, compartimos algunas campañas recientes que han sido alertadas por autoridades locales y organismos internacionales para evitar que los usuarios caigan en este tipo de engaños.

Campaña en Colombia suplanta identidad del Ministerio de Salud

Una de las alertas más recientes fue comunicada por el Ministerio de Salud de Colombia, quien a través de su cuenta de Twitter advirtió la existencia de una campaña que circula por correo electrónico y por WhatsApp, suplantando la identidad del Ministerio de Salud, en la que envían un adjunto (archivo PDF) para distribuir un código malicioso que se instala en el dispositivo de la víctima. El objetivo de esta campaña es robar información personal, asegura el organismo de salud colombiano.

⚠️CUIDADO⚠️ Por e-mail y WhatsApp circula información falsa, a nombre del @MinSaludCol, que advierte la llegada del coronavirus a su sector, junto con un archivo que se instala en su dispositivo móvil y roba información personal. Informate solo en canales oficiales de MinSalud pic.twitter.com/4ZFtumFmsr

— MinSaludCol (@MinSaludCol) March 5, 2020

Campaña en España se hace pasar por el Ministerio de Sanidad

Por su parte, la Guardia Civil en España también alertó a los usuarios a través de su cuenta de Twitter sobre una campaña que al parecer solo circula por WhatsApp, en la que se suplanta la identidad del Ministerio de Sanidad para compartir recomendaciones relacionadas sobre este virus que tiene paralizado al mundo entero. El mensaje incluye una URL en la que supuestamente se venden mascarillas o barbijos, cuando en realidad lo que busca la campaña es robar datos personales de las víctimas.

#NiCaso a este mensaje que circula por #Whatsapp. Suplantan al Ministerio de Sanidad @sanidadgob para dar supuestas “recomendaciones” contra el #coronavirus #COVID19 y un enlace para venderte mascarillas. pic.twitter.com/hzw4f2oWhc

— GDT Guardia Civil (@GDTGuardiaCivil) March 1, 2020

Advertencia de la Organización Mundial de la Salud por campañas maliciosas en su nombre

La semana pasada la Organización Mundial de la Salud (OMS) emitió un comunicado alertando también ante la existencia de campañas que circulan a través del correo en la que los cibercriminales utilizan técnicas de ingeniería social para hacerle creer al usuario que se trata de un correo legítimo de la OMS con el objetivo de robar dinero o información personal.

Según reportaron distintos medios, en Italia ha estado circulando a través del correo una campaña de spam de estas características en la que simulan ser de la OMS con la intención de instalar el malware TrickBot al convencer a las potenciales víctimas para que descarguen un archivo Word adjunto que tenía embebido un código malicioso. Según los investigadores que detectaron y analizaron esta campaña, una vez descargado TrickBot en el equipo de la víctima, la amenaza recolectará información del dispositivo, robará datos y credenciales de administrador e intentará moverse lateralmente a través de la red en busca de más información para luego eventualmente descargar otra amenaza.

En el caso de la campaña detectada en Italia, el asunto del correo pretende hacer creer a la víctima que se trata de recomendaciones para estar protegidos ante la propagación del Coronavirus en nombre de un doctor de la OMS.

Japón y una campaña que distribuye Emotet

Hacia fines de enero comenzaron a verse campañas maliciosas que utilizaban al Coronavirus como pretexto. En Japón se detectó una campaña de spam intentando distribuir Emotet en la que los operadores detrás de la misma pretendían convencer a las potenciales víctimas que se trataba de una notificación oficial con recomendaciones y medidas preventivas a raíz de la llegada del virus a la isla. A raíz de esto fue que el CERT de Japón publicó EmoChek, una herramienta para detectar la presencia de Emotet en el equipo de quienes crean pueden haber sido comprometidos.

Otros países en los que se han reportado casos similares ha sido Ucrania. En este país ha estado circulando un correo en nombre del centro de salud pública ucraniano que incluye un archivo Word que también utilizaba documentos de Office para ocultar código malicioso con funcionalidades de backdoor, robar datos del portapapeles, contraseñas y con capacidad para realizar capturas de pantalla.

Estas son solo algunas de las advertencias que han sido divulgadas en las últimas semanas a lo largo del mundo, pero no son las únicas. En Estados Unidos también han estado presentes campañas a través del correo, mensajes de texto e incluso redes sociales que se aprovechan del Coronavirus, advirtió la Comisión Federal del Comercio (FTC, por sus siglas en inglés).

Recomendamos a los usuarios a estar atentos. Si llegan a recibir un correo o mensaje que incluye un enlace o un archivo adjunto utilizando el tema del Coronavirus, recuerden que puede ser un engaño, por lo que se recomienda no descargar ni abrir el archivo y tampoco el enlace.

Fuente: www.welivesecurity.com

Repasamos cuáles fueron los mensajes y los asuntos de correo que más efectivos resultaron para los cibercriminales al momento de llevar adelante sus ataques de ingeniería social en 2019.

Al igual que en otros años, este 2019 uno de los ataques más efectivos han sido los de ingeniería social, entre ellos los ataques de phishing. Si bien ya hemos hablado anteriormente en varias oportunidades acerca de este tipo de ataque, a continuación, vamos a repasar algunos de los conceptos que explican el porqué de este fenómeno.

Un detalle, que no es nuevo, sino que se ha mantenido a lo largo de los últimos años, inclusive en 2019, es el hecho de que los cibercriminales permanentemente están buscando mejorar sus técnicas para llevar adelante ataques cada vez más ingeniosos y elaborados. Esto lo hemos visto, por ejemplo, en una gran cantidad de campañas de phishing analizadas durante el 2019 en las cuales se incorporaron certificados SSL en los servidores, logrando de esta manera que el mismo navegador le informe al usuario que está navegando en una página “segura”. También han sido una constante los mensajes que apuntan directamente a dispositivos móviles, en los cuales la URL completa es muy difícil de ver, al igual que el crecimiento de los ataques homográficos, donde la dirección del sitio al que se invita a acceder es prácticamente la misma que el sitio real.

Los mensajes más efectivos a la hora de buscar captar posibles víctimas, según el último reporte de KnowBe4, son los relacionados a los problemas se seguridad de los usuarios finales; principalmente los dirigidos a entornos corporativos. Entre ellos, los que utilizan algunas de las siguientes excusas:

• Verificación de contraseña requerida de forma inmediata
• Un intento de entrega fue realizado
• Desactivación de la [dirección correo] en proceso
• Nuevos “food trucks” llegan a la [nombre de la empresa]
• Nuevos beneficios para los empleados
• Política de vacaciones y licencias por enfermedad revisada
• Tiene un nuevo mensaje de voz
• Nuevos cambios en la organización
• Cambio de contraseña requerido de forma inmediata
• Revisión de personal [año]

El uso de mensajes de tipo corporativo se explica a partir de la intención de buscar comprometer sistemas de empresas para así lograr exfiltrar su información.

Otra modalidad que estuvo muy presente este año fue la que se conoce como Business Email Compromise (BEC), que no se trata de otra cosa que de correos dirigidos en los que los cibercriminales suplantan la identidad de la cuenta de correo de una empresa (ya sea mediante técnicas de spoofing o directamente habiendo conseguido acceso a la misma) con la finalidad maximizar la efectividad del mensaje enviado al hacerse pasar por un remitente conocido. Generalmente, el contenido de estos mensajes está relacionado a temas de injerencia directiva o decisoria en cuanto; por ejemplo, un mensaje que reciben todos los empleados desde una supuesta casilla de recursos humanos, o bien un departamento determinado (financias por nombrar alguno) que recibe un pedido urgente por parte de su superior.

Según el reporte al respecto de la empresa Barracuda, este tipo de ataques son veinte veces más efectivos que los phishing convencionales y han generado pérdidas superiores a los 26 mil millones de dólares en los últimos 4 años.

Volviendo al tema de los mensajes que incluyen en el asunto de los correos de phishing, algunos de los asuntos que más clics generaron durante 2019 en correos que apuntaban a cuentas no corporativas, son los siguientes:

• Nuevo mensaje de voz en Skype
• Reembolso de la transacción
• [Nombre de un contacto] compartió un documento contigo
• Microsoft Teams: por favor autentificar su cuenta
• Bonos para empleados seleccionados
• Cisco Webex: su cuenta de ha sido bloqueada
• Amazon: dirección de facturación no coincide
• USPS: Paquete de alta prioridad: ¡Verifique por dónde va!
• Verizon: actualización seguridad
• Adobe Cloud: compartieron un documento con usted

En la mayoría de los casos los ciberdelincuentes buscan enviar correos con este tipo de mensaje en el asunto para robar credenciales de acceso a servicios masivos, ya sea con la finalidad de obtener datos sensibles de las víctimas almacenados en los mismos o generar bases de datos para luego comercializarlas en el mercado negro.

En el caso de los mensajes que buscan captar credenciales de redes sociales, el reporte muestra que LinkedIn, la red social de perfiles corporativos y laborales, recibe casi la mitad de los intentos, con el 48% de los envíos con mensajes del tipo: “Agrégame”, “Su cuenta aparece en nuevas búsquedas”, “Su perfil fue visitado”, “Reseteo de contraseña” o “Pedido de desactivación”.

Redes sociales más apuntadas

En el caso de Facebook, los mensajes más frecuentes son del tipo: “Alguien te mencionó en una publicación”, “Tus amigos te etiquetaron en las siguientes fotos”, “Cuenta de correo principal modificada”.

En menor medida, en el caso de Twitter los mensajes que se registraron con mayor frecuencia son del tipo: “Alguien te envió un mensaje directo” o los servicios online de Motorola con “Alerta de acceso de Chrome en Motorola Moto X”.

Cómo estar protegido ante este tipo de ataques

Algunas de las prácticas recomendadas para estar protegidos ante este tipo de ataques, son:

• Verificar la dirección del remitente. Si bien los cibercriminales en algunas oportunidades utilizan técnicas como el spoofing de remitente, a través de las cuales pueden hacerse pasar por una dirección real, si se verifica el encabezado del mismo se puede llegar a detectar que el envío se realizó a través de otro servidor.
• En caso de que el remitente sea el real, pero se dude de la veracidad del mensaje, contactarlo por otro medio y validar si el mensaje realmente existió.
• De la misma manera que es necesario verificar el remitente, se debe analizar minuciosamente el enlace al cual se invita a hacer clic. En general no se recomienda acceder directamente a un enlace que viene incluido en un mensaje. Si se trata de un caso real y el usuario debe acceder a su cuenta, es recomendable que lo realice de la manera tradicional, desde su acceso directo, a través de una app o ingresando manualmente la URL del servicio al cual desea acceder en el navegador.
• Es sumamente importante activar en todas las cuentas que así lo permitan el Doble Factor de Autenticacion, ya que, de esta manera, en caso de que el usuario se haya visto afectado por una filtración de sus credenciales, este código aleatorio que llega al dispositivo móvil vía aplicación o SMS, es muy difícil de adivinar u obtener.
• Para los usuario de Google Chrome es posible activar la extensión de verificación de contraseñas, la cual permite recibir alertas en tiempo real si se quiere utilizar una contraseña que ha formado parte de alguna filtración.

Como siempre decimos, el primer paso para los usuarios es aprender a reconocer este tipo de correos y tomarse unos minutos para corroborar que no hay nada sospechoso. Para eso, recomendamos leer 8 señales que indican que eres un blanco fácil de las estafas por Internet, un artículo en el que encontrarás una guía con algunas de las técnicas más comunes utilizadas por los cibercriminales para engañar a los usuarios. Por último, para el próximo año plantéate la meta de utilizar mejores contraseñas. Para ello te recomendamos leer el siguiente artículo: Contraseñas, la llave maestra de tu información.

Fuente: www.welivesecurity.com

En el día de ayer se confirmaron que fueron 22 las entidades afectadas por el ataque de ransomware y que el 25% de las mismas ya están en fase de “reparación y recuperación”

En la mañana del pasado viernes, 23 organizaciones gubernamentales a lo largo del estado de Texas fueron víctimas de un ataque de ransomware. Según publicó el Departamento de Información y Recursos de Texas (DIR, por sus siglas en inglés), en su mayoría se trató de pequeñas entidades.

Según el organismo, están trabajando para reestablecer los sistemas afectados y aseguran que los sistemas del Estado de Texas y sus redes no fueron impactadas por el ataque, el cual estiman que tiene como responsable a un único actor.

En el día de ayer, martes 21 de agosto, la cifra inicial de 23 entidades afectadas pasó a ser de 22, informó el DIR en un comunicado de prensa publicado a través de su cuenta de Twitter. Asimismo, más del 25% de las entidades víctimas del ataque pasaron del estado “respuesta y evaluación” a “reparación y recuperación”, estando algunas de los organismos afectadas operando de manera normal.

De momento no se sabe cuál fue el ransomware que afectó a los sistemas afectados ni se conocen detalles acerca del ataque simultáneo, como es, por ejemplo, cuáles son específicamente las entidades afectadas, el monto que reclaman los operadores por el rescate, cómo se fue el método de infección o si se consideró la opción de pagar, ya que tal como explica el DIR en su comunicado, dado que se está llevando adelante una investigación federal, no es posible aportar información adicional.

Además del DIR, varias agencias nacionales y del estado de Texas trabajan en este caso, como son, por ejemplo, el Departamento de Seguridad Nacional y el Buró Federal de Investigaciones, más conocido como FBI.

Una de las ventajas que tiene Texas es la existencia de un sistema de respuesta a incidentes consolidado, comentó el especialista Allan Liska a Threatpost, lo cual se hace que sea más fácil que ante la aparición de un problema como este puedan tener claro con quien comunicarse, agregó.

Cabe recordar que este no es el primer ataque de ransomware dirigido a entidades gubernamentales locales que se registra entre 2018 y 2019 en los Estados Unidos, ya que en junio de este año dos ciudades de Florida, como Lake City y Riviera Beach fueron impactadas por un ataque de ransomware y tomaron la decisión de pagar a los atacantes. En 2018 varios sistemas en la ciudad de Atlanta fueron víctimas de otro ataque de ransomware, mientras que en mayo de este año fue el turno de la ciudad de Baltimore, cuando un ataque de ransomware que demandaba el pago de 76.000 dólares por el rescate afectó a servicios como la emisión de facturas de agua, entre otros.

Semanas atrás se llevó adelante la Conferencia de Alcaldes de Estados Unidos, un evento en el que se reunieron más de 1.400 alcaldes de ciudades de todo el país, y en el cual los presentes se comprometieron a no ceder ante las extorsiones impuestas por cibercriminales en caso de que sus sistemas se vean comprometidos por un ataque de ransomware.

Los ataques de ransomware que afectaron a varias ciudades en los Estados Unidos confirman la tendencia que especialistas de ESET predijeron para 2019, donde era de esperarse ver un giro por parte de los cibercriminales al llevar adelante ataques de ransomware dirigidos en busca de una mayor rentabilidad, a diferencia de ataques en “mosaico” menos específicos mediante campañas de spam maliciosas y con la esperanza de que cada una de estas piezas del mosaico generen una retribución económica sustancial.

Fuente: www.welivesecurity.com