Luego de alertar sobre el caso de phishing a entidades bancarias de República Dominicana, en el día de ayer hemos encontrado un nuevo caso que deja en evidencia el estado actual de los fraudes en línea a través de esta modalidad delictiva.

En este caso, la entidad bancaria cuya imagen es objeto del phishing es ABSA Bank (una de las entidades bancarias más importantes de Sudáfrica). A continuación podemos observar una captura de la misma:

Si bien no deja de ser un ejemplo más de ataque de phishing clásico, lo realmente interesante de este caso es que la página clonada se encontraba alojada en el sitio web de una entidad gubernamental de Colombia. Es decir, el atacante (phisher) ha encontrado alguna vulnerabilidad en el servidor donde se aloja el sitio de la entidad y la ha explotado alojando el contenido fraudulento.

A continuación se muestra la estructura de los archivos que componían el paquete de phishing.

Existe un detalle sumamente importante a destacar: la fecha de la última modificación de los archivos, donde la más reciente data del día 15 de marzo de este mismo año, mientras que los archivos más antiguos son del día 15 de septiembre de 2009.

Esto significa que el atacante tenía acceso al servidor de la entidad gubernamental desde hace seis meses, lo cual plantea la importancia de verificar las capas de seguridad que implementemos y los chequeos preventivos permanentes.

En casos similares a este, lo conveniente es que el administrador del sitio, verifique los archivos alojados cada determinado tiempo razonable, además de implementar los mecanismo de seguridad necesarios para evitar intrusiones no autorizadas.

Desde ESET alertamos a los responsables para que lleven a cabo las verificaciones oportunas y el contenido fraudulento ya fue eliminado.

Jorge Mieres
Analista de Seguridad

Categories: Alertas, Phishing
1 Comment »

Hace unos días alertamos sobre una campaña de ataques de phishing contra usuario de una conocida entidad bancaria de Brasil, y contra la Policía Federal, también de ese mismo país.

Ahora, hemos detectado la propagación de una nueva campaña, pero en este caso, contra usuarios de entidades bancarias de República Dominicana. Este ataque, que busca robar los datos de acceso al home-banking, utiliza como cobertura la imagen del Banco de Reservas y la del Banco Popular Dominicano.

Se trata de clonación de páginas web, una técnica ampliamente difundida entre la comunidad de phishers, mediante la cual se aloja en un servidor vulnerado el sitio falso. A continuación podemos observar una captura de ambos sitios:

Nótese que en ambos casos la descripción de las páginas es exactamente igual a la real. Sin embargo, como podemos apreciar en la siguiente captura, las direcciones web son completamente diferentes:

En este caso, ambos sitios fraudulentos se encuentran alojados en el mismo servidor vulnerado. Un detalle a destacar es que el phisher también aloja, en ese servidor, otros archivos que hacen referencia a populares redes sociales, lo que demuestra la intención de ampliar la cobertura hacia otros servicios.

Los ataques de phishing constituyen un modelo de fraude a través de Internet presente en el escenario delictivo hace muchos años. Esto llevó a que en la actualidad nos encontremos con infinidad de casos más sofisticados que los practicados en sus comienzos.

Por lo tanto, es sumamente importante tener en cuenta ciertas medidas de seguridad preventivas, como por ejemplo, verificar la existencia del protocolo seguro https (que en este caso está presente en ambos sitios reales), denunciar los casos encontrados y mantenerse informados en cuanto a las estrategias delictivas.

Jorge Mieres
Analista de Seguridad

Categories: Alertas, Phishing
1 Comment »

Como lo hemos mencionado en otras oportunidades, ZeuS constituye una de las botnets más populares y más grandes que actualmente se conocen, y se caracteriza fundamentalmente por sus esfuerzos en robar información privada de los usuarios, principalmente credenciales de acceso al home-banking.

Sin embargo, no sólo se centra en obtener credenciales de acceso a cuentas bancarias, sino también obtener información de autenticación de otros servicios utilizados masivamente en Internet, como en este caso, credenciales de acceso a Facebook, una de las redes sociales más utilizadas.

A continuación vemos una captura de la pantalla de autenticación que, a pesar de ser similar a la real, es falsa y generada por ZeuS:

De esta manera, el botmaster logra robar la información necesaria para continuar el reclutamiento de zombis empleando como cobertura esta popular red social. A partir del momento de la infección, el ciclo de propagación comienza a través de spam.

Ahora… ¿cómo se genera la infección? En el caso particular de esta variante de ZeuS, la infección se genera a través de la descarga de un archivo binario, en nuestro ejemplo, llamado word.exe que ESET NOD32 detecta bajo el nombre de Win32/Spy.Zbot.VM.

Una segunda alternativa de ataque e infección es a través de un archivo PDF, explotando determinada vulnerabilidad, generalmente, en las aplicaciones Adobe Reader, Adobe Acrobat y Foxit PDF. Es detectado como JS/Exploit.Pdfka.NNT trojan.

Evidentemente las alternativas maliciosas empleadas por ZeuS son muchas y, en la mayoría de los casos, muy efectivas; con lo cual un factor importante para ganar seguridad en nuestro sistema es la implementación de una solución de seguridad antivirus con capacidades heurísticas como el que ofrecen los productos de ESET.

Jorge

Categories: Alertas, Malware, Phishing
2 Comments »

Luego de la publicación de nuestro post Cazando mitos: HTTPS y del vídeo educativo sobre Ataques de Phishing por HTTPS que realizamos sobre la misma noticia, la misma ha sido publicada por innumerables medios en español e inglés, tales como PC World (Chile), Sputnik (México), IT Now (Centro América), el blog de ESET en inglés y la prestigiosa revista SC Magazine de Inglaterra.

Sin embargo, en algunos casos la información ha sido mal interpretada y nos parece oportuno clarificar algunos conceptos de forma tal de que si otros lectores han tenido las mismas dudas que se presentaron, poder compartir los comentarios con todos ellos.

En el blog de StartCom, Eddy Nigg escribió un post en donde manifestaba, como respuesta a nuestro artículo, un ataque de nuestra parte a los certificados gratuitos que emite la empresa donde trabaja.

A través de los comentarios del post, hemos explicado al autor del mismo la mal interpretación de nuestro post (que el mismo Eddy manifestó entender en comentarios subsiguientes), y aprovecho la oportunidad para clarificar esas ideas con ustedes, compartiendo el comentario que dejé en el post:

Estimado,

En nuestro post en ningún momento nos oponemos al uso de certificados gratuitos. Tampoco es nuestra intención discutir la calidad de StartCom como empresa.

Sin embargo, es nuestro deber alertar a la comunidad si cierta tecnología puede ser usada maliciosamente. El problema en cuestión no son los certificados gratuitos, sino el falso mito que tienen los usuarios respecto a que HTTPS es garantía de que un sitio es seguro.

Cuando nosotros reportamos, por ejemplo, que atacantes usan las redes sociales para propagar malware; no nos estamos oponiendo a las redes sociales, sino informando a los usuarios de los riesgos a los que se exponen, para utilicen dichas tecnologías, pero con el cuidado necesario ante las amenazas.

No nos oponemos al uso de certificados gratuitos, pero la noticia de que los mismos serían aceptados por los navegadores era el momento para explicar a nuestros lectores qué es HTTPS y qué no. La falsa creencia de que HTTPS garantiza la seguridad total de un sitio no es nuestra responsabilidad ni de StartCom, pero nosotros tenemos el deber de informar a la comunidad para que no se expongan a riesgos innecesarios.

Esperando haber clarificado sus dudas, y agradeciendo la comunicación, le dejo un cordial saludos.

Al igual que con Eddy Nigg espero que, para los lectores, este post sirva para clarificar si quedaron dudas sobre el mito del protocolo HTTPS.

Sebastián

Categories: Educación, Phishing
2 Comments »

Completando nuestro anterior post sobre el mito del protocolo HTTPS, y existiendo la posibilidad de realizar ataques de Phishing utilizando certificados SSL, hemos realizado para ustedes un video educativo simulando un robo de contraseñas y utilizando este método para hacerlo.

En el video, podrán observar cómo un atacante puede realizar un ataque de Phishing, utilizando un sitio web duplicado que funciona bajo el protocolo HTTPS, y aprovechar la seguridad que este transmite para engañar al usuario. Como siempre, en el mismo video encontrarán los principales consejos sobre qué debería hacer un usuario para evitar ser víctima de estos ataques.

Ahora sí, espero que disfruten nuestro vídeo educativo sobre Ataques de Phishing por HTTPS:

Teniendo en cuenta el incidente ocurrido esta semana, con la publicación de miles de cuentas de correo, es recomendable estar atentos a los ataques de Phishing y conocer las medidas más importantes de prevención.

Sebastián

Categories: Educación, Phishing
5 Comments »