La Ingeniería Social es sin duda uno de los métodos más eficaces a los que recurren los ciberdelincuentes con el objetivo de obtener rédito económico mediante la manipulación de los usuarios desprevenidos para que ejecuten algún código malicioso, o en este caso, que entreguen toda la información de su tarjeta de crédito como el número completo de la misma, fecha de expiración, código de seguridad, nombre y apellido del titular y número CPF (número de registro para identificar a los ciudadanos y residentes brasileños).

Mediante la falsa promesa sobre un concurso asociado a la marca de la tarjeta del usuario, los cibercriminales seducen a la potencial víctima para que entregue la información anteriormente mencionada, pero a través de tres pasos para no levantar la sospecha de la persona.  En una primera instancia se solicitan los primeros seis dígitos de la tarjeta de crédito. Luego, los otros dígitos faltantes y más datos como fecha de caducidad y código de seguridad. Finalmente, la víctima debe ingresar su CPF. Una vez que se han completado las etapas contempladas en este fraude, se le informa al usuario que el registro para el supuesto concurso se realizó de forma exitosa y se incluye un número falso de transacción como forma de legitimar el proceso.

Ver m�s… »

Categories: Phishing
No Comments »

El fenómeno de las redes sociales sigue experimentando alzas en cuanto al crecimiento de usuarios y la diversificación de opciones disponibles, de las cuales cada una ofrece características distintivas que atraen el interés de las personas y también el de los ciberdelincuentes, quienes ante este gran abanico de ofertas disponibles, buscan cómo engañar a los usuarios mediante Ingeniería Social para obtener algún rédito económico a través de la propagación de códigos maliciosos.

Si algunas redes sociales se distinguen por su sentido informativo, otras por ser más personales, o por contar la historia de una forma más gráfica, LinkedIn se diferencia del resto al ser un servicio enfocado principalmente al aspecto profesional y laboral, ofreciendo a sus usuarios la posibilidad de compartir con personas conocidas y generar nexos con varias compañías que pueden ofrecer empleo. De este modo, es común observar en los perfiles personales aspectos como estudios y grado académico, puestos de trabajos e información corporativa. También resulta útil para aquellos que buscan generar lazos profesionales con otras personas o compañeros de oficina.

Frente a tanta información publicada, los cibercriminales idean formas de manipulación que resulten más creíbles y por lo tanto efectivas para propagar malware y así obtener acceso a una organización. Perfectamente un atacante cuyo objetivo sea una empresa en particular, puede estudiar la información y el comportamiento de sus víctimas para luego crear una cuenta falsa que parezca pertenecer a un empleado real, pero que aparte de ser ilegítima, sirva como instrumento para ganarse la confianza de los compañeros, quienes no dudarían en ejecutar un código malicioso camuflado astutamente como algo de interés corporativo.

Por lo mismo, en ESET Latinoamérica hemos preparado una serie de medidas que puede adoptar el usuario para mejorar la protección de la cuenta con respecto a la privacidad y seguridad. Para acceder a las siguientes opciones se debe hacer clic sobre el nombre del usuario en la parte superior derecha y luego en configuración. Allí se encuentran agrupadas en cuatro categorías los parámetros disponibles:

Ver m�s… »

Categories: Redes Sociales
2 Comments »

No es la primera vez que los ciberdelincuentes emplean como tema de Ingeniería Social alguna noticia falsa que involucre a ciertas autoridades de un determinado país para propagar códigos maliciosos. Si en enero fue el turno del mandatario chileno Sebastián Piñera, esta vez es el de Ricardo Martinelli, actual presidente de Panamá. Dicho ataque fue reportado por nuestro distribuidor exclusivo en ese país, Micro Technology.

Según el correo malicioso propagado por los cibercriminales, Martinelli habría sido encontrado abusando de una menor de 12 años de forma ensordecedora y sin piedad, hecho que supuestamente fue registrado por una cámara oculta que instalaron los padres para probar el inventado acto de pedofilia. Dentro del texto también se afirma que el video fue subido a Internet como forma de evitar que se evada la justicia.

Aunque en esta oportunidad los ciberdelincuentes mejoraron su ortografía al hacer un uso más adecuado de tildes, la gramática sigue siendo un punto débil que podría despertar la sospecha de los usuarios más precavidos. Más allá de los errores de redacción que suelen cometer los autores de estas amenazas informáticas, el correo electrónico simula provenir de un conocido medio informativo panameño en el que se afirma que tendría la primicia y el material audiovisual exclusivo a disposición de los lectores.

Ver m�s… »

Categories: Alertas, Malware
No Comments »

Con tal de obtener el mayor rédito económico posible, los cibercriminales innovan constantemente para crear nuevos temas de Ingeniería Social o modificar aquellos existentes para adaptarlos a un grupo objetivo de personas y así lograr cometer el delito financiero. Dentro de las variadas amenazas informáticas que los ciberdelincuentes emplean para dicho fin, se encuentran todos los tipos de códigos maliciosos, phishing y fraudes electrónicos o scam. A diferencia del phishing, en donde el objetivo que se busca es que la víctima ingrese su información bancaria producto de la manipulación y el uso de frases amedrentadoras, en el scam, el atacante le solicita a la persona directamente una suma de dinero. Por lo general, se ofrecen increíbles ofertas laborales y de dinero, o se apela a la caridad de los usuarios haciéndoles creer que el aporte irá en beneficio de países o individuos más pobres.

En esta oportunidad, los cibercriminales han decidido optar nuevamente por la modalidad de scam, al utilizar el tema de una supuesta herencia de USD $12.750.000 que podría cobrar el usuario debido al fallecimiento de un señor. La falsa noticia llega en un correo electrónico procedente de un estudio de abogados inexistentes en donde se afirma que se adjunta una propuesta en formato PDF que habría sido enviada al domicilio de la persona hace casi un mes, pero que al no tener respuesta, se le está enviando nuevamente, aunque esta vez en formato digital. Finalmente, se insta a que el usuario abra el documento en cuestión.

Leyendo el texto del documento, se pueden apreciar faltas de ortografía y redacción típicas que cometen los creadores de estos fraudes. Por otro lado, también se utiliza la conocida técnica de ofrecerle una suculenta suma de dinero al usuario a cambio de que este deposite una cifra considerablemente menor, o en este caso, simplemente responder el correo para poder continuar con la estafa. Además, se puede observar que el supuesto abogado ofrece la posibilidad de contacto telefónico, pero, no ofrece ningún número para hacerlo. Hasta aquí, todo relativamente similar a cualquier otro caso de scam.

Ver m�s… »

Categories: Alertas
No Comments »

Siempre se ha dicho que meterse en líos de parejas es algo muy delicado que debe evitarse en lo posible, de lo contrario, puede tener resultados desastrosos. Sin embargo, los cibercriminales han optado por hacer caso omiso a esa recomendación, al utilizar Ingeniería Social e inventar una elaborada historia que involucra un supuesto romance o affaire entre el jugador chileno de fútbol Alexis Sánchez y la cantante colombiana Shakira.

El código malicioso que utiliza este relato de amorío e infidelidad llegó a nuestro laboratorio en un correo electrónico que simula provenir de un portal informativo chileno, y en el que se ofrece un video que habría sido entregado por la ama de llaves del “Niño Maravilla” a la prensa. Para seducir al usuario y tentarlo a que siga ese enlace malicioso, en el texto se afirma que en dicho registro audiovisual se puede observar a Shakira bailándole al jugador de fútbol. Como forma de manipular aún más a los usuarios curiosos, se asegura que el material multimedia también incluye los comentarios de algunos de los compañeros de equipo de Alexis que aparecerían opinando al respecto. Sumado a todo lo anterior, los ciberdelincuentes decidieron apelar a la picardía del internauta al sugerir que la causa principal de toda esta historia ficticia, es la falta de dotes de la verdadera pareja de la cantante colombiana, el futbolista español Gerard Piqué.

Si el usuario no es precavido y decide seguir interiorizándose de esta falsa noticia, estará descargando un troyano detectado por ESET NOD32 Antivirus como Win32/Qhost.OQJ. Si además la víctima no está protegida por una solución de seguridad con capacidad de detección proactiva y ejecuta dicho archivo .EXE, el código malicioso procede a modificar los archivos hosts de la computadora afectada  para redirigir ciertas direcciones pertenecientes a entidades financieras chilenas, hacia otros sitios ilegítimos (pharming local) cuyo objetivo es conseguir rédito económico mediante la obtención de información bancaria a través del phishing.

Ver m�s… »

Categories: Alertas, Malware
1 Comment »