En los últimos días se ha comenzado a ver una nueva técnica de ataque llamada clickJacking mediante la cual se podría explotar una vulnerabilidad en los navegadores web más utilizados para realizar distintos tipos de ataques, que podrían terminar en robos de credenciales (nombre de usuario, contraseña, etc.), fraudes y estafas hacia el usuario.

Como era de esperar, los delincuentes informáticos comenzaron a explotar esta técnica para realizar ataques relacionados a phishing y malware. El ataque consiste básicamente en manipular un enlace web de manera de poder engañar al usuario y que termine ingresado a un sitio dañino sin saberlo. En este sitio se le podría robar sus credenciales de acceso o descargar malware como se demuestra a continuación.

En los últimos días, ESET ha hallado correos en donde se invita al usuario a ingresar a un sitio bancario para descargar un supuesto certificado de seguridad de la entidad. Al hacer clic, el usuario ingresa a un sitio falso de la entidad en cuestión. Hasta aquí podría pensarse que se trata de un caso de phishing normal.

Lo original de este caso es que justamente se utiliza la técnica denominada ClickJacking para manipular el enlace y, por intermedio del mismo, redireccionar al usuario hacia la descarga de un código malicioso que, en este caso, ESET NOD32 detecta como Win32/TrojanDownloader.Small.OFV.

El código mostrado en la parte inferior realiza justamente esta acción: por un lado se abre una ventana al usuario con las políticas de privacidad del banco auténtico (comando window.open) e inmediatamente después se ofrece la descarga del supuesto certificado (tag href) que en realidad es el malware mencionado. Este funcionamiento puede resultar confuso y, el usuario puede descargar, sin desearlo ni saberlo, el archivo dañino a su equipo.

Si bien este tipo de ataques aún se encuentra en desarrollo y estudio, es muy peligroso y es probable que sea cada vez más utilizado para realizar ataques como el descripto, ya que, como vemos, permite ocultar el redireccionamiento del enlace de manera que no sepamos hacia donde lleva el vínculo mostrado.

Es importante destacar que la técnica utilizada depende de la forma en que los navegadores manipulan (parsean) el código fuente, por lo que la solución al problema podría ser tardía y los delincuentes tendrían una mayor ventana de tiempo para realizar distintos tipos de ataques hacia el usuario. Por ejemplo, la técnica mostrada puede mejorarse y perfeccionarse y lograr descargar e instalar malware en el equipo del usuario sin que el mismo se percate de ninguna acción en su navegador.

Por el momento, como medidas preventivas para contrarrestar este ataque, podemos tener en cuenta las siguientes recomendaciones:

• Deshabilitar el scripting y los plugins en el navegador. Si bien JavaScript no se necesita para llevar a cabo el ataque, sí lo favorece notablemente.
• Utilizar Firefox como navegador, con la extensión NoScript podría evitar la ejecución de componentes JavaScript, Flash, entre otros.
• Utilizar Opera como navegador, deshabilitando los iframes es otra de las opciones viables para evitar el ataque.
• Si se utiliza Internet Explorer y otro navegador se pueden minimizar, pero no evitar este tipo de ataques.
• Este ataque afecta a todos los navegadores visuales por lo que utilizar navegadores en modo texto como Links, Lynx o w3m, podría ser una buena opción, aunque esto es recomendable sólo para usuarios con mayores conocimientos técnicos.
• En casos semejantes al mostrado, la mejor acción es no hacer clic en enlaces provistos en correos electrónicos.
• Instalar un antivirus con capacidades proactivas capaz de detectar malware desconocido en cualquier momento evitará los casos que descargan códigos maliciosos.

Esta vulnerabilidad representa un nuevo vector de ataque del cual debemos estar muy atentos, ser cautelosos y conscientes sobre que gran parte de la responsabilidad en cuanto a la prevención recae en nosotros mismos como usuarios, porque somos nosotros el objetivo de los atacantes.

Cristian

Vota primero

Categorias: Alertas, Malware, Phishing, Spam, Vulnerabilidades
Dejar un comentario »

Los casos de phishing en Latinoamérica son cada vez más comunes y en esta oportunidad, el engaño está dirigido a los usuarios de la entidad bancaria Santander Río de Argentina.

Como se puede apreciar en la captura, el phishing solicita que el usuario haga clic en el supuesto enlace del sitio web real de la entidad bancaria para actualizar su información. Sin embargo, al pasar el cursor sobre dicho enlace, se visualiza en la barra de estado que no redicciona hacia el sitio web que debería ser.

Estas estrategias de engaño son muy utilizadas por los ataques de phishing; por lo tanto, es importante que los usuarios estén atentos y sean cautelosos al recibir este tipo de correos electrónicos, y que además, se tenga en cuenta ciertas acciones tendientes a prevenir ser víctimas de este tipo de engaños como:

• La entidad bancaria jamás solicitará el cambio o confirmación de información sensible a través del correo electrónico.
• Siempre es conveniente pasar el cursor sobre los enlaces incrustados en el cuerpo del mensaje para verificar hacia donde nos redirige.
• Es recomendable copiar o la dirección web y pegarla o directamente escribirla en la barra de direcciones.
• Verificar que al acceder a la zona de Home-Banking, se encuentre presente el protocolo seguro HTTPS.

Estos casos pueden ser denunciados desde su propio navegador web como lo explicamos en denunciar casos de phishing. También pueden acceder a nuestra sección de Video Educativos donde encontrarán uno que explica el funcionamiento del phishing y la manera de prevenirlos.

Jorge

Promedio: 4.75

Categorias: Alertas, Phishing
Dejar un comentario »

Tal y como mencionamos cuando describimos el robo de información a través de MSN y en el robo de direcciones de correo, existen personajes que facilitan este tipo de acciones a personas sin tantos conocimientos técnicos y ponen en manos de cualquier persona este tipo de herramientas (por cierto dinero, claro).

Este es el caso del sitio web mostrado a continuación, en donde nos ofrecen el servicio para obtener cualquier tipo de correo a un módico precio:

Si bien estos servicios son comunes, no quiere decir que los mismos sean legales y mucho menos éticos y es importante saber que las personas que los ofrecen suelen ser delincuentes que no dudarán en estafar a quien le ofrezca el dinero suficiente.

Por eso, no confíe en este tipo de servicios.

Cristian

Vota primero

Categorias: Educación, Phishing
1 Comentario »

En las últimas horas nuestro Laboratorio ha recibido correos con mensajes que simulan provenir de la red social Orkut, pero que en realidad tienen el objetivo de engañar al usuario para que este descargue un malware a su equipo.

Como puede verse el enlace conduce a un sitio que no pertenece a Orkut y, al hacer clic se descarga un archivo llamado Msg_111200310.scr. La extensión .scr en realidad es un archivo ejecutable renombrado que procede a infectar el equipo con un troyano que ESET NOD32 detecta como Win32/Agent.ETH.

Cristian

Vota primero

Categorias: Malware, Phishing, Spam
1 Comentario »

En el día de la fecha hemos recibido diversas denuncias de un caso de Phishing a Banamex, el cual se encuentra alojado en un servidor al cual se accede a través de una dirección IP y a través de un correo con el asunto “Perdoname bebe luego te marko =/”.

Por supuesto el sitio web falso luce como el original pero su URL no coincide:

En el caso que Ud. encuentre algún tipo de sitios del cual sospecha, le sugerimos denunciarlos como Phishing.

Cristian

Vota primero

Categorias: Alertas, Phishing
Dejar un comentario »

Sin lugar a dudas, los casos de phishing son cada vez más comunes en Latinoamérica. Sin embargo, para muchos usuarios todavía existe la creencia de que los ataques de phishing son páginas web clonadas que siempre están dirigidas a entidades bancarias.

Si bien parte de esto es verdad debido a que la mayoría de las entidades bancarias suelen llevarse la mayor tasa de casos, el tema es que el phishing busca obtener información sensible de los usuarios, información crítica y confidencial que luego le permita al phisher llevar a cabo un fraude.

Recientemente se ha encontrado un intento de phishing a dos importantes empresas:

Lo interesante de estos ejemplos es que queda mucho más claro que la finalidad del phisher es “coleccionar datos confidenciales” y que no siempre estos ataques están diseñados para simular ser los sitios oficiales de entidades bancarias.

Quienes se encuentren con este tipo de casos, sepan que pueden denunciar los casos de phishing a través del propio navegador web.

Por otro lado, en nuestra sección de Video Educativos podrán encontrar un video que explica cómo funcionan los ataques de phishing y cómo identificarlos.

Jorge

Vota primero

Categorias: Phishing
Dejar un comentario »

Lo advertíamos ayer con el Phishing a Facebook que este tipo de ataques podían comenzar a ocurrir masivamente y hoy nuestras sospechas se ven confirmadas, ya que hemos encontrado casos de sitios falsos en la red Hi5.

Como en cualquier caso de phishing este sitio falso es idéntico al original y, como en el caso anterior, se trata de dominios formados por letras y números que buscan engañar al usuario.

Una cosa curiosa es que todos los dominios creados para este ataque contienen el mismo mensaje “Website Undeconstruction!” en el directorio raíz:

Volvemos a advertir que este ataque es masivo y que sin dudas tiene como objetivo a las redes sociales, por lo que se debe permanecer alerta a cualquier correo que se reciba con invitaciones a las mismas.

Cristian

Promedio: 3

Categorias: Alertas, Phishing
3 Comentarios »

En las últimas horas nuestro Laboratorio ha recibido una gran cantidad de correos con invitaciones falsas a participar de la popular red social FaceBook.

Si se intenta aceptar estas invitaciones o ingresar a la cuenta personal, en realidad se ingresa a un sitio falso, copia del original y creado con el fin de robar las credenciales (usuario y clave) del usuario engañado:

Los dominios involucrados (ocultados en la imagen) corresponden a sitios .com que contienen letras y números tales como client[eliminado], civv[eliminado], [eliminado]goo6, dort[eliminado], [eliminado]zu390.com, ring[eliminado], etc.

Por supuesto se trata de un caso de Phishing para robar usuarios y contraseñas de servicios de comunidades virtuales. Si recibe este tipo de correo sólo ignórelo, ya que no descartamos que puedan comenzar a aparecer masivamente para cualquier servicio de este tipo.

Cristian

Promedio: 3

Categorias: Alertas, Phishing
4 Comentarios »

Una vez más nos enorgullecemos de lanzar un video educativo sobre prevención de amenazas para todos los usuarios.

En esta oportunidad le ha llegado el turno al video sobre phishing en donde se muestra cómo funciona un ataque de este tipo a una entidad bancaria y luego lo que tendría que hacer el usuario para evitar caer en estos engaños.

Espero que disfruten de este nuevo video y queden a la espera de los próximos.

Cristian

Promedio: 5

Categorias: Educación, Multimedia, Phishing
Dejar un comentario »

Un ataque de phishing a la entidad bancaria Bancomer de México está circulando a través del correo electrónico de muchos usuarios.

Este caso en particular, es una prueba de que los ataques de phishing son cada vez más eficaces debido a la similitud con la página web real. En esta oportunidad, la metodología de engaño consiste en modificar la URL de la siguiente manera:

http://[dirección IP fraudulenta]/www.bancomer.com.mx/

En la siguiente imagen se aprecia mejor el engaño:

De esta forma, intenta simular que el usuario esta accediendo al sitio web verdadero de la entidad bancaria.

Aquella persona que acceda al enlace incrustado en el cuerpo del mensaje, accederá a la página clonada, creada por el phisher.

Nunca debe acceder a páginas bancarias a través de enlaces en correos electrónicos, es conveniente escribir la dirección web de su banco directamente en la barra de navegación del browser.

En la Plataforma Educativa de ESET Latinoamérica se encuentra disponible un curso en línea y gratuito sobre Seguridad en las transacciones comerciales donde podrán aprender mucho más sobre cómo prevenir y detectar este tipo de acciones.

Jorge

Vota primero

Categorias: Phishing
Dejar un comentario »