Comentarios al correo original de DIVINDAT sobre los incidentes de seguridad:

Subject:Re: [Alerta-informatica] ADVERTENCIA POSIBLES INCIDENTES DE SEGURIDAD
From:“Ronald Cornejo Benavente” <rcornejo@pj.gob.pe>
Date: 02/28/2013 10:21 AM
To: “Policia Informatica” <delitosinformaticos@policiainformatica.gob.pe>, <alerta-informatica@taapaq.pe>

https://webchat2.anonops.com/?channels=lulzsecperu
http://cdn-files.anonymousperu.com/RaulSalazar/index.html
http://cdn-files.anonymousperu.com/MinistroParedes/BancoNoviembre.html

Advertisements

El 66% de los phishings se cuelgan en páginas comprometidas

(Tomado de hispasec.com) Los creadores de phishing tienen dos opciones a la hora de colgar sus réplicas de páginas de banca online: o bien compran un dominio o espacio web o bien comprometen una página legítima y suben en ella los archivos necesarios para la estafa. Según el estudio interno basado en los casos tratados por nuestro departamento de antifraude, un 66% de los phishings se alojan en páginas a las que han atacado.

Las fases básicas de un ataque phishing son las siguientes:

1) El atacante realiza una copia de la página legítima. La modifica para pedir todas las coordenadas de la tarjeta, una segunda contraseña, o el móvil, o los datos de la tarjeta de crédito, etc. También para que los datos sean o bien enviados por email al atacante o bien retenidos en el servidor hasta que los recoja.

2) El atacante busca un lugar donde subir la réplica modificada de la página de banca online. Aquí puede decidir entre un hosting (de pago o gratuito), comprar un dominio (o usar uno gratuito), una web comprometida, etc.

3) Una vez con el sistema montado, envía el enlace de forma masiva a una lista de correos. Este envío se puede hacer a través de servicios de terceros, páginas comprometidas, o programas especiales. Por último, también a veces estos enlaces pueden servir de infraestructura para un troyano que debe “esparcir”.

En el paso 2, está en manos del atacante cómo hacerlo. Depende de su “profesionalidad” puede que elija un método u otro. Uno de los más “creíbles” resulta en la compra de un dominio parecido al dominio al que pretende suplantar. Esto lo aloja en un hosting “bulletproof” y desde ahí envía a sus víctimas el enlace. Un servidor “bulletproof” son los que, conocedores que sus servicios son usados para el fraude, reclamarán más dinero por alojar webs ahí, a cambio de hacer caso omiso de cualquier petición de eliminar el contenido ofensivo. Cuanto más tiempo online, más posibilidades de recoger los datos de más víctimas. Suelen estar alojados en Rusia.

La otra opción es la de romper la seguridad de una página cualquiera, y subir en ella el código. La elección de la web víctima suele hacerse por su tipo de software. Si el atacante conoce bien o sabe cómo aprovechar una vulnerabilidad en el software X, versión Y, buscará páginas de este tipo no aseguradas y ahí subirá su phishing. No compra ningún dominio ni se preocupa del aspecto de la URL.

Según nuestro estudio, basado sólo en casos de phishing (excluyendo troyanos), esta última opción es escogida en el 66% de los ataques en los casos que hemos tratado durante los últimos cuatro años. El 30% recurre a hostings gratuitos o de pago, y el resto opta por otras opciones (como por ejemplo adjuntar la página HTLM directamente en un correo, y que la víctima la cargue en local).

Este estudio está basado en los ataques que reciben nuestros propios clientes y atendidos con nuestro servicio de antifraude. Pero dado el número de casos estudiado y la variedad de entidades atacadas, creemos que puede resultar en una buena aproximación.

Conclusiones

Se pueden sacar dos sencillas conclusiones de esta pequeña recopilación basada en nuestra propia experiencia:

Los atacantes no se “complican la vida”. Obtienen un buen ratio de efectividad realizando un mínimo esfuerzo. Por tanto, simplemente con comprometer una web, no necesitan registrarse en hostings, comprar dominios, o realizar ningún tipo de inversión (en tiempo o dinero). Solo buscar una web vulnerable,  comprometerla y subir ficheros es lo más sencillo para ellos.

El hecho de que lo más sencillo para los atacantes sea subir una página web en una página comprometida indica que “hay donde elegir”, es decir, es más fácil comprometer una web que buscar un espacio en un hosting.

Laboratorio Hispasec

Spear Phishing: estafa, no deporte.

(Tomado de norton.com)

Introducción

La última novedad del phishing es el “spear phishing”. No, no se trata de un deporte, es una estafa y usted es el blanco. El llamado spear phishing consiste en crear un correo electrónico que aparenta ser de una persona o empresa conocida. Pero no lo es. Es un mensaje que proviene de los mismos hackers que quieren sus números de tarjeta de crédito y cuentas bancarias, sus contraseñas y la información financiera almacenada en su PC. Averigüe cómo puede protegerse.

Correo electrónico de un “amigo”

El phisher se vale de la familiaridad. Conoce su nombre y su dirección de correo electrónico, y tiene un mínimo de información acerca de usted. Por lo general, el saludo del mensaje de correo electrónico es personalizado: “Hola, Bob”, en lugar de “Estimado señor”. Es posible que el correo electrónico haga referencia a un “amigo en común”. También puede referirse a alguna compra online reciente. Dado que el correo electrónico parece provenir de alguien conocido, es posible que usted esté menos atento y proporcione la información que le solicitan. Y cuando se trata de una empresa que usted conoce y le solicita que actúe con urgencia, usted seguramente lo hará sin pensarlo.

Usar su presencia en la Web en su contra

¿Cómo se convierte en el blanco de ataques de spear phishing? A partir de la información que publica en Internet desde su PC o su smartphone. Por ejemplo, puede que analicen sitios de redes sociales, encuentren su página, su dirección de correo electrónico, su lista de amigos y una publicación reciente en la que comenta a sus amigos lo estupenda que es la nueva cámara que se compró en un sitio de ventas online. Con esa información, un atacante de spear phishing puede simular ser amigo suyo, enviarle un correo electrónico y solicitarle la contraseña de su página de fotos. Si usted le da la contraseña, el atacante la usará, junto con otras variantes, para intentar acceder a su cuenta de ese sitio de ventas online del que habló. Si la descubren, la usarán y le dejarán una buena deuda. También es posible que el atacante utilice esa misma información para hacerse pasar por alguien del sitio de ventas online y solicitarle que restablezca su contraseña o que vuelva a verificar su número de tarjeta de crédito. Si usted le responde, el atacante le hará un gran daño financiero.

Mantenga en secreto sus secretos

Su nivel que seguridad y el de su información depende, en parte, de ser cuidadoso. Analice su presencia online. ¿Cuánta información acerca de usted hay publicada que podría combinarse para estafarle? ¿Su nombre? ¿Su dirección de correo electrónico? ¿Nombres de amigos? ¿Sus direcciones de correo electrónico? ¿Usted tiene un perfil, por ejemplo, en algún sitio conocido de redes sociales? Examine sus publicaciones. ¿Hay algo allí que no desea que caiga en manos de un estafador? ¿Publicó algún dato en la página de un amigo que podría resultar revelador?

Contraseñas que funcionan

Piense en sus contraseñas. ¿Utiliza solamente una o variantes fáciles de descubrir de una sola? Si pone en práctica alguna de las dos opciones, deje de hacerlo, porque les facilita a los estafadores el acceso a su información financiera personal. Cada contraseña para cada sitio que visita debe ser diferente, realmente diferente. Las combinaciones aleatorias de letras y números son la mejor opción. Cámbielas con frecuencia. Su software de seguridad en Internet y el sistema operativo pueden ayudarle a realizar un seguimiento de sus contraseñas.

Parches, actualizaciones y software de seguridad

Cuando reciba avisos de los distribuidores de software para actualizar su software, hágalo. La mayoría de las actualizaciones de los navegadores y los sistemas operativos incluyen parches de seguridad. Su nombre y su dirección de correo electrónico pueden ser datos suficientes para que un hacker se infiltre en su sistema por un fallo de seguridad. Y no hace falta decir que usted debe contar con la protección de un software de seguridad en Internet, que siempre debe estar actualizado.

Sea inteligente

Si un “amigo” le envía un correo electrónico y le solicita una contraseña u otro dato, llámelo o escríbale (en otro mensaje de correo electrónico) para verificar que en efecto fue él quien le escribió. Lo mismo se aplica a los bancos y las empresas. En primer lugar, las empresas legítimas no envían correos electrónicos para solicitarle contraseñas ni números de cuentas. Si piensa que el mensaje puede ser real, llame al banco o a la empresa y pregúnteles. También puede visitar el sitio web oficial. La mayoría de los bancos tiene una dirección de correo electrónico donde es posible reenviar los mensajes sospechosos para su verificación.

Y recuerde siempre: no proporcione demasiada información personal online porque nunca sabe quién puede usarla en su contra. Ni cómo.

 

¿Qué es Phishing?

(Tomado de pandasecurity.com) El “phishing” consiste en el envío de correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario, que posteriormente son utilizados para la realización de algún tipo de fraude.

Para ello, suelen incluir un enlace que, al ser pulsado, lleva a páginas web falsificadas. De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que, en realidad, va a parar a manos del estafador.

La siguiente imagen es un típico ejemplo de phishing:
Los principales daños provocados por el phishing son:

  • Robo de identidad y datos confidenciales de los usuarios. Esto puede conllevar pérdidas económicas para los usuarios o incluso impedirles el acceso a sus propias cuentas.
  • Pérdida de productividad.
  • Consumo de recursos de las redes corporativas (ancho de banda, saturación del correo, etc.).

Una de las modalidades más peligrosas del phishing es el pharming. Esta técnica consiste en modificar el sistema de resolución de nombres de dominio (DNS) para conducir al usuario a una página web falsa.

Cuando un usuario teclea una dirección en su navegador, esta debe ser convertida a una dirección IP numérica. Este proceso es lo que se llama resolución de nombres, y de ello se encargan los servidores DNS.

Sin embargo, existen ejemplares de malware diseñados para modificar el sistema de resolución de nombres local, ubicado en un fichero denominado HOSTS.

Este fichero permite almacenar de forma local esa resolución de nombres asociadas a direcciones IP. De esta manera, aunque el usuario introduzca en el navegador el nombre de una página web legítima, el ordenador primero consultará a ese fichero HOSTS si existe una dirección IP asociada a ese nombre. En caso de no encontrarla, lo consultará con el servidor DNS de su proveedor.

Esta técnica conocida como pharming es utilizada normalmente para realizar ataques de phishing, redirigiendo el nombre de dominio de una entidad de confianza a una página web, en apariencia idéntica, pero que en realidad ha sido creada por el atacante para obtener los datos privados del usuario, generalmente datos bancarios.

A diferencia del phishing, el pharming no se lleva a cabo en un momento concreto, ya que la modificación del fichero HOSTS permanece en un ordenador, a la espera de que el usuario acceda a su servicio bancario.
¿Cómo llega?

El mecanismo más empleado habitualmente es la generación de un correo electrónico falso que simule proceder de una determinada compañía, a cuyos clientes se pretende engañar. Dicho mensaje contendrá enlaces que apuntan a una o varias páginas web que imitan en todo o en parte el aspecto y funcionalidad de la empresa, de la que se espera que el receptor mantenga una relación comercial.

Respecto a la relación entre spam y phishing, parece claro que este tipo de mensajes de distribución masiva puede ser una eficiente forma de captación utilizada por los ciberdelincuentes. De hecho, uno de los métodos más habituales de contacto para la comisión de delitos informáticos es el correo electrónico.

Sin embargo, el canal de contacto para llevar a cabo estos delitos no se limita exclusivamente al correo electrónico, sino que también es posible realizar ataques de phishing a través de SMS, conocido como smishing, o de telefonía IP, conocido como vishing.

En el smishing el usuario recibe un mensaje de texto intentando convencerle de que visite un enlace fraudulento. En el vishing el usuario recibe una llamada telefónica que simula proceder de una entidad bancaria solicitándole que verifique una serie de datos.
¿Cómo protegernos?

Para protegernos es básico tener un programa antivirus instalado y actualizado con filtro anti-spam. Cualquiera de las soluciones de Panda Security mantendrá limpia de phishing su bandeja de entrada. Para ver una animación que le ayudará a protegerse contra el phishing, visite este enlace

Además, a continuación proporcionamos una serie de consejos que pueden ayudarle a reducir el riesgo de sufrir un ataque de phishing:

  • Verifique la fuente de información. No conteste automáticamente a ningún correo que solicite información personal o financiera.
  • Escriba la dirección en su navegador de Internet en lugar de hacer clic en el enlace proporcionado en el correo electrónico.
  • Compruebe que la página web en la que ha entrado es una dirección segura. Para ello, ha de empezar con https:// y un pequeño candado cerrado debe aparecer en la barra de estado de nuestro navegador.
  • Revise periódicamente sus cuentas para detectar transferencias o transacciones irregulares.
  • No olvide que las entidades bancarias no solicitan información confidencial a través de canales no seguros, como el correo electrónico.
  • Haga un análisis gratuito de su equipo y compruebe si está libre de phishing.

Ejército chino domina ciberataques en Internet, según informe de EE. UU.

(Tomado de nacion.com) Washington (AFP). El ejército chino controla centenares e incluso miles de hackers entre los más peligrosos del mundo, según una firma estadounidense de seguridad en Internet que identificó la fuente de numerosos ciberataques en un edificio anónimo de Shangai.

Estos piratas informáticos atacaron recientemente a periódicos estadounidenses, empresas y agencias del gobierno de ese país. Según la firma Mandiant, están “basados principalmente en China y el gobierno chino está totalmente al corriente de sus actividades”.

Esa compañía es una de las consejeras del gobierno estadounidense en materia de seguridad informática y entregó al Ejecutivo un informe de 74 páginas, después de haber realizado cientos de investigaciones sobre el tema a lo largo de los tres últimos años.

La búsqueda se concentró finalmente en un grupo, llamado “APT1”, acrónimo de “Advanced Persistent Threat” (amenaza importante persistente, en inglés), que habría robado enormes cantidades de información y atacado infraestructuras tan importantes como las de las actividades energéticas estadounidenses.

“Creemos que APT1 es totalmente capaz de armar una campaña de espionaje muy vasta en Internet porque recibe un apoyo directo del gobierno (chino)”, indicó Mandiant.

Esta organización sería, de hecho, una filial del Ejército de Liberación del Pueblo llamada Unit 61398, y las firmas de sus ciberataques han podido ser identificadas en un edificio de 12 pisos en las afueras de Shangai, según el informe, que estima que APT1 cuenta con “centenares, e incluso miles, de empleados”.

Por su parte, China desmintió con fuerza estas afirmaciones: “No es ni profesional ni responsable hacer estas acusaciones sin fundamento, sin pruebas tangibles, y eso no contribuye a resolver los problemas que cuentan”, declaró en Pekín el portavoz del ministerio de Relaciones Exteriores chino, Hong Lei.

“China se opone firmemente a la piratería”, continuó, argumentando que ellos mismos eran víctimas muchas veces de esos ataques. “Entre todos los ciberataques contra China, los más numerosos proceden de Estados Unidos”, continuó.

No se hicieron esperar reacciones estadounidenses, aunque mesuradas, si bien todos los funcionarios entrevistados subrayaron su “preocupación” por el tema.

Las autoridades estadounidenses “evocan a menudo este tema con los funcionarios chinos, incluidos entre ellos los líderes militares”, dijo el portavoz de la Casa Blanca, Jay Carney.

“En repetidas ocasiones expresamos nuestra preocupación sobre el vuelo (datos) a través de Internet al más alto nivel con funcionarios chinos, incluido el ejército, y vamos a seguir haciéndolo”, añadió el portavoz George Little Pentágono.

La presidenta del Comité de Inteligencia del Senado, la senadora Dianne Feinstein, destacó por su parte que el informe Mandiant (Mandiant_APT1_Report) pone de relieve la necesidad de aplicar las normas internacionales contra los ataques cibernéticos, como las que ya existen contra la delincuencia o para regular la guerra.

 

Twitter, Facebook y Apple, en el punto de mira de los hackers

(Tomado de antifraude.org)

Los ataques a redes sociales y grandes compañías de internet se han multiplicado en el último año. El objetivo de «hackers» y ciberdelincuentes ha cambiado. Hasta su forma de actuar. Ahora, según los expertos consultados, dirigen sus miradas hacia las plataformas de internet con gran número de usuarios en vez de atacar diretamente a los usuarios. ¿Están protegidos los datos de los usuarios?


Facebook, Twitter o Apple han recibido en las últimas semanas varios ataques. La última compañía en comunicarlo ha sido la fundada por Steve Jobs, quien ha reconocido que ha sido recientemente atacada por un grupo de «hackers» que infectaron los ordenadores Mac de algunos empleados, desmontando la teoría de muchos usuarios de la marca que aseguran que los ordenadores de la manzana son totalmente seguros.

El grupo de «hackers» desconocido ha infectado los ordenadores de algunos trabajadores de Apple al visitar un sitio web para desarrolladores de software que previamente había sido infectado con software malicioso. El «malware» ha sido diseñado para atacar los ordenadores Macintosh. El mismo software, que infectó a los Macs explotando un fallo a través de un «plugin» de Java de los navegadores web, se utilizó también para lanzar ataques contra la red social Facebook el pasado viernes.

Este «malware» también fue utilizado en los ataques contra los ordenadores Mac utilizados por «otras empresas», ha dicho Apple, sin dar más detalles sobre la magnitud del asalto. Twitter, que reveló que había sido atacada el pasado 1 de febrero y donde los delincuentes pudieron acceder a cierta información de cerca de 250.000 usuarios, fue golpeado en la misma campaña, de acuerdo con una persona cercana a la investigación.

Otra persona informada sobre el caso ha dicho en declaraciones a Reuters que cientos de compañías, incluyendo a los contratistas de defensa, habían sido infectados con el mismo software malicioso. Aunque esta persona ha asegurado que el «malware» podría tener su origen en China, por el momento no hay pruebas que lo corroboren.

«Esta es una nueva campaña. No es como las otras sobre las que se ha leído en las que todo el mundo puede decir que se ha producido China», explicaba una de estas fuentes. Las investigaciones sobre estos ataques continúan. No esta claro si los ataques habían comenzado, en la medida en que los «hackers» habían logrado robar datos de los sistemas específicos, o si todas las máquinas infectadas han sido identificadas.

El «malware» ha sido distribuido al menos en parte, a través de un sitio destinado a los desarrolladores para el iPhone, que todavía podría infectar a los visitantes que no han deshabilitado Java en su navegador, ha dicho una de las personas cercanas al caso. Además también hay una versión que infecta los equipos con Windows.

La firma de seguridad F-Secure ha asegurado que los atacantes podrían haber estado tratando de obtener acceso al código para las aplicaciones en los teléfonos inteligentes, buscando una manera de infectar a millones de usuarios finales. Por ello ha instado a los desarrolladores a que comprueben su código fuente para los cambios deseados.

Apple ha revelado que las tensiones se están calentando debido a las acusaciones estadounidenses de que los militares chinos se están involucrando en el espionaje cibernético hacia empresas estadounidenses. La empresa de seguridad estadounidense Mandiant ha informado que el fin de semana se descubrió una evidencia de que el ejército chino está detrás de una serie de ataques cibernéticos contra empresas estadounidenses.

La Casa Blanca ha expresado en repetidas ocasiones su preocupación por los ataques cibernéticos. La brecha de seguridad descrita por Apple marca el ataque cibernéticos de más alto perfil hasta la fecha sobre las empresas que utiliza Mac. Los «hackers» se han centrado tradicionalmente en atacar los equipos que ejecutan el sistema operativo Windows, a pesar de que poco a poco han dirigido su atención a los productos de Apple en el último par de años, ya que la compañía ganó mercado a Microsoft.

«Este es el primer ataque realmente grande en Mac», aseguraba. Un destacado experto en seguridad de Apple y coautor del Manual del Hacker para Mac, Charlie Miller, ha dicho que los ataques demuestran que los «hackers» están invirtiendo más tiempo estudiando el sistema operativo Mac OS X para poder atacar los ordenadores de Apple.

Los ciberataques han ido en aumento

En el debate del estado de la Unión la semana pasada, el presidente de EE.UU., Barack Obama, emitió una orden ejecutiva para buscar una mejor protección de las infraestructuras críticas del país frente a los ataques cibernéticos. El portavoz Jay Carney ha dicho a los periodistas este martes que el gobierno de Obama ha retomado su preocupación por el robo cibernético chino en Pekín, incluidos los militares del país. No había ninguna indicación en cuanto a si el grupo descrito por Mandiant estuvo involucrado en los ataques descritos por Apple y Facebook.

En el caso de Twitter, cuyo segundo país que más usa la plataforma es España según un informe de GlobalWebIndex, sus ataques han ido en aumento y los cibercriminales han utilizado esta red social para lanzar sus ataques «hackeando» cada vez más cuentas. Personalidades de todos los ámbitos, desde el grupo musical La Oreja de Van Gogh o futbolistas como David de Gea, a grandes organizaciones como BP, han sido víctimas de un ataque a manos de hackers para piratear su cuenta oficial. Dichas brechas en seguridad no sólo son embarazosas sino que afectan también a la reputación y credibilidad del usuario.

Cómo proteger tu cuenta de Twitter

  • Utiliza contraseñas «fuertes»: Para generar una contraseña «fuerte» no utilices palabras que se puedan encontrar en un diccionario o datos personales, ya que son fáciles de descifrar. Una contraseña segura debe contener una combinación de letras, números y caracteres especiales, según aconseja Karspersky.

  • Cuidado con el «phishing»: Ten cuidado con las páginas de «phishing» que te preguntan por tu contraseña o por cualquier otro tipo de información confidencial. Si recibes un email pidiéndote que restablezcas tu contraseña sin haberlo pedido tú con anterioridad no hagas nada. Además, debes ser precavido con las URLs acortadas (por ejemplo, bit.ly); éste es el mecanismo que utilizan los estafadores para enmascarar los links maliciosos.

  • No utilices el equipo si sabes que está infectado: Si puedes trabajar con tu ordenador, aunque esté infectado, otros también pueden hacerlo. Toma las medidas necesarias para limpiar el sistema y, aún mejor, evita que esto vuelva a suceder. Mantén tus aplicaciones y programas siempre con las últimas actualizaciones.

  • No uses ordenadores públicos: Nunca utilices un equipo de terceros para acceder a cuentas personales. Nunca se sabe si esos equipos pueden estar infectados por alguna clase malware o «script» malicioso.

ABC/ Tecnología

Recopilación de ejercicios para los CERT/CSIRT

(Tomado de cert.inteco.es)

La ENISA comenzó a desarrollar y difundir estos materiales en 2008 (primeros doce ejercicios) hasta completarlos en 2012 con un total de veintitrés ejercicios para que los CERT/CSIRT puedan realizar prácticas de preparación y/o entrenamiento de sus capacidades de respuesta ante incidentes de seguridad.

Entre los materiales publicados se encuentran el manual para el instructor, los ejercicios a realizar con su enunciado y tiempo estimado, y el conjunto de materiales que pueden utilizar los estudiantes. Este conjunto de instrumentos incluyen todo el material necesario para llevar a cabo los ejercicios y prácticas incluyendo tanto maquinas virtuales para la realización de las prácticas como trazas de red para ejercicios concretos, etc.

El artículo completo se encuentra en el Blog de INTECO.