Los ataques de phishing son en la actualidad muy frecuentes y prácticamente ningún servicio que se ofrezca a través de Internet escapa del accionar de los phisher. Sin embargo, poco se dice sobre el “detrás de escena” respecto a cómo operan estos delincuentes. Tratemos entonces de ejemplificar mediante un caso real cuál es el proceso típico que se esconde detrás de un ataque de phishing.

En primera instancia, el delincuente necesita un servidor web donde alojar el paquete de phishing adquirido en el mercado clandestino, disponibles a un costo promedio de entre 10 y 30 dólares, según el nombre de la entidad bancaria con la cual se pretenda encubrir el ataque. Generalmente, estos servidores web son computadoras infectadas que forman parte de alguna botnet o servidores vulnerados por el atacante.

En el caso que ejemplicamos, el delincuente realiza un ataque de phishing dirigido a usuarios de un banco español, intentando robar los datos de la tarjeta de crédito de los clientes de esta entidad bancaria. La estrategia de engaño que utiliza es enviar de forma masiva correos electrónicos con determinado mensaje incitando al usuario a hacer clic sobre un enlace incrustado en el cuerpo del correo. Quienes accedan al mismo, serán direccionados a una página como la que se muestra a continuación:

Ver más… »

Categories: Educación, Phishing
10 Comments »

Desde que se instalaron en el 2004 las oficinas de ESET Latinoamérica acá en Buenos Aires hemos crecido y, ya cumplido el sexto aniversario con presencia local en la región, y aprovechando no sólo los nuevos proyectos, sino también los nuevos espacios de oficinas, seguimos en búsqueda de talentos para sumarse a nuestro equipo.

Y aprovechando el crecimiento que estamos creciendo, aprovecho para compartir en el Blog de Laboratorio algunas búsquedas que tenemos para puestos técnicos, ya que muchos de nuestros lectores seguramente tienen los conocimientos y habilidades suficientes para venirse a trabajar con nosotros. En este momento tenemos abiertas dos búsquedas para puestos técnicos, y los estamos esperando: programador web y analista de seguridad.

Para el puesto de desarrollador web buscamos una persona entre 21 y 27 años, que estudie carreras de sistemas informática o afines, y que tenga experiencia en el desarrollo de sitios y aplicaciones web y tecnologías HTML, XHTML, CSS, XML, PHP, Javascript y bases de datos MySQL. ¿Cumplis con los requisitos? Entonces postulate a la búsqueda de programador web.

Por otro lado, también estamos buscando un especialista en seguridad, para sumarse a nuestro equipo de Laboratorio y Educación. Si tenés entre 22 y 35 años, estudios relacionados a carreras afines a tecnología, un perfil orientado a la investigación y concientización, y te fascina la seguridad de la información, podés sumarte a nuestro equipo y en unos meses estar, entre otras, escribiendo en este mismo blog. ¿Te gusta la idea? Postulate a la búsqueda de analista de seguridad.

En los próximos meses seguiremos buscando personas con ganas de sumarse a nuestros equipos, pero ahora ya tienen la oportunidad de sumarse a estos perfiles técnicos que estarán trabajando con nosotros en las próximas semanas. ¿Qué estás esperando?

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Corporativo
6 Comments »

A lo largo del tiempo los códigos maliciosos fueron evolucionando en función de las nuevas tecnologías y, paralelamente, las necesidades delictivas de los delincuentes informáticos. Es así que actualmente existe una importante gama de programas maliciosos catalogados según sus actividades y nivel de criticidad.

Uno de estos códigos maliciosos con un alto porcentaje en su tasa de propagación/infección son los ransomware. Existen varias generaciones, desde las primeras versiones empleando criptovirología hasta los actuales, más triviales pero aún así muy peligrosos, bloqueadores del sistema. La siguiente captura muestra un ejemplo de ransomware que se encuentra In-the-Wild:

Como podemos apreciar, su estrategia consiste en bloquear el acceso al sistema operativo eliminando toda posibilidad de poder ejecutar programas, incluso aquellos que pueden ser llamados a través de la combinación de teclas.

Una de las recomendaciones básicas para la exploración de los sistemas es reiniciarlos en Modo Seguro, la cuestión es que esa regla no funciona para este estilo de ransomware, ya que al intentarlo genera una BSoD (Blue Screen of Death – Pantalla azul de la muerte) obligando nuevamente a reiniciar el sistema en modo normal.

Su complejidad no radica en su código ya que generalmente no están desarrollados en lenguajes de programación a bajo nivel, sino en el problema de no poder acceder al sistema una vez infectado, además de las consecuencias particularidades y propias de cualquier malware. En consecuencia ¿cómo solucionar el problema?

Desde la visión del delincuente, la solución sería enviar un mensaje de texto del tipo SMS a determinado número telefónico para recibir la clave que permite desbloquear el acceso.

Desde nuestra visión, la solución es ser proactivo, y para poder ser proactivo debemos pensar un poco más en cómo estar prevenidos. En consecuencia, la pregunta que nos deberíamos formular ante los incidentes de seguridad generados por códigos maliciosos, independientemente de que se trate de un ransomware, no pasa por cómo solucionar el problema, sino por cómo prevenirlo.

Para fortuna de los usuarios que utilizan productos de ESET, ya sea a nivel hogareño o a nivel corporativo, proactivamente este y todo tipo de códigos maliciosos son detectados, previniendo así la potencial posibilidad de ser víctimas. En este caso particular, del ransomware detectado por ESET NOD32 como Win32/LockScreen.VT.

Jorge Mieres
Analista de Seguridad

Categories: Alertas, Malware
No Comments »

Según informa hoy el diario El País, el ordenador de Spanair que anotaba los fallos en los aviones estaba infectado por un troyano informático. Para los que no lo recuerden, se trata del reporte sobre uno de los sistemas de la compañía aérea utilizado hace dos años, cuando ocurrió el accidente de un vuelo que se dirigía a las Islas Canarias, donde fallecieron 154 personas. El equipo infectado era el encargado, nada más y nada menos, de registrar los fallos en los aviones, y de reportar alarmas en el caso que existan más de tres alertas para un mismo avión; cosa que no ocurrió al momento del accidente.

Según informa la noticia original, el mismo día del accidente se identificó un parte interno de la compañía, que afirmaba que el sistema “estaba contaminado de troyanos“. El hecho de que un equipo esté infectado puede causar problemas de rendimiento, e incluso denegación de servicio del mismo; así como también robo o alteración de información, fallas en las aplicaciones y cualquier otro síntoma que los lectores ya conocerán relacionados al malware. Es muy importante destacar que no se ha identificado alguna relación directa entre el troyano y el accidente.

Sin embargo, ¿puede una empresa permitirse este riesgo en un sistema de tamaña importancia? Eso es lo que me resulta más destacable de la noticia: que muchas veces solemos olvidar que sobre infraestructuras críticas también se utilizan sistemas no tan distintos a los de un usuario final, y que los riesgos pueden ser los mismos. Solemos conocer casos de infecciones en usuarios hogareños, en alguna computadora en la empresa o a lo sumo en algún servidor corporativo. Pero los sistemas críticos también pueden infectarse, hoy en día computadoras que controlan la electricidad en las ciudades, equipos médicos de alta complejidad o el caso presente de control de fallos en aviones; utilizan sistemas y aplicaciones que tranquilamente pueden sufrir infecciones por códigos maliciosos y deben ser protegidas.

La protección antivirus debe ser considerada en todos los sistemas de la red, y en los casos en que exista una infección conocida (particularmente si se trata de un sistema crítico) deben tomarse los recaudos de inmediato para garantizar el correcto funcionamiento del equipo.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Curiosidades
3 Comments »

Debido al impacto económico, los ataques de phishing han logrado acaparar la atención de profesionales de seguridad y de cualquier compañía que ofrezca algún tipo de servicio a través de Internet y que requiera un proceso de autenticación para su acceso.

Actualmente el phishing no se limita sólo a páginas web clonadas de entidades bancarias, sino que podemos encontrar ataques de este estilo dirigidos a servicios de webmail, redes sociales, juegos y casinos en línea, y por supuesto, sitios de eCommerce.

Uno de los sitios de eCommerce más atacados, además de PayPal, es eBay. A continuación observamos un ejemplo de phshing:

Sin embargo, la pregunta que quizás muchos se harán es cómo y dónde se almacena la información robada. Muchos imaginarán que los datos terminan siendo almacenados en grandes bases de datos con usuarios y contraseñas que luego son comercializados en el mercado negro, lo cual es cierto. Pero antes, suelen ser guardados en registros para beneficio del delincuente. ¿Cómo? Veamos un ejemplo:

En esta imagen se observa de qué manera se almacena la información robada en un archivo de texto plano, únicamente con la información de utilidad para el delincuente: dirección IP de la víctima, nombre de usuario y contraseña de acceso al servicio.

Lo cierto es que de esta manera los delincuentes logran recolectar un importante volumen de información que luego es utilizada para cometer fraudes en línea como, siguiendo el ejemplo de eBay, la compra de productos a través de la identidades robadas.

Aunque parezca una metodología trivial, los paquetes de phishing también se comercializan en el mercado clandestino, incluso de desarrollan programas para automatizar su creación, y existe un importante porcentaje de usuarios que caen en este tipo de trampas, por lo tanto, no solo es recomendable mantener actualizado nuestro producto antivirus, sino también incorporar la cultura de buenas prácticas de seguridad tendientes a prevenir incidentes de este estilo.

Jorge Mieres
Analista de Seguridad

Categories: Phishing
2 Comments »