Todos los meses, nuestros lectores comparten con nosotros información y estadísticas a través de las encuestas preparadas en ESET Latinoamérica. En abril, el tópico planteado fue cómo los usuarios utilizan el correo electrónico y a qué amenazas o problemas se han tenido que enfrentar por medio de esta vía. A través de los años, esta plataforma ha revolucionado el mundo de las comunicaciones al ser una herramienta altamente eficiente y masiva. Debido a lo anterior, los cibercriminales han abusado ampliamente de estas características para propagar diversas amenazas informáticas como códigos maliciosos, phishing, correo basura o spam, fraudes electrónicos o scam, entre otros.

Con respecto a qué tipos de correos reciben los encuestados, un 87,4% afirmó recibir publicidad no deseada o spam, convirtiéndose este en el problema más frecuente para los usuarios de correo electrónico. Luego, un 75,9% aseveró lo mismo pero con cadenas, es decir, mensajes que buscan convencer al destinatario que reenvíe el mismo empleando cualquier excusa o incluso supersticiones, lo que provoca una pérdida de tiempo y saturación innecesaria de los servicios. En tercer lugar queda el phishing con un 37,2% de las elecciones. Interpretando estas cifras, específicamente las que respectan al spam, resulta preocupante que un 42% de los usuarios asegura leer este tipo de correos si el mismo le resulta interesante. Algo similar aunque más grave ocurre con el 2,3% que lee todos los correos sin excepción y otro 2,5% que lee con frecuencia mensajes con promociones en su interior. Aunque los correos indeseados no necesariamente contienen algún código malicioso que dañe la computadora, es importante destacar que cualquier producto, servicio, o promoción que llegue a través de este tipo de mensajes, es probable que no sea tal o no cumpla con las expectativas del usuario. Por lo mismo, es importante borrar este tipo de correos automáticamente sin leerlos ni menos visitar el o los enlaces que allí se ofrezcan.

Frente a la pregunta sobre si el usuario ha sufrido ataques informáticos por esta vía, destacamos que del 30,6% que aseveró aquello, un 28,1% afirmó haberlo sido específicamente por no tener cuidado y abrir un enlace recibido dentro de un correo electrónico. Abrir hipervínculos de correos, redes sociales u otros, debe evitarse en lo posible, y de no ser así, comprobar que el enlace sea el correcto y no uno falso que esté camuflado. Sobre el otro 2,5% que fue estafado por alguna promoción falsa recibida por este medio, y al 21,1% que desconoce si ha sido víctima de ataques informáticos relacionados al correo electrónico, le recomendamos la lectura de nuestra publicación Guía para identificar correos falsos en donde se explican algunos puntos que el usuario debe considerar al momento de comprobar si un correo es genuino o no para prevenir aquellos que resulten maliciosos.

Ver más… »

Categories: Estadísticas
No Comments »

Quienes trabajamos o hemos trabajado con las empresas y su seguridad de la información, sabemos que uno de los principales mitos a destruir cuando se trata del mundo corporativo es que la seguridad de la información no se trata únicamente de “protegerse contra los hackers“. Y cuando hablamos de “hacker” no hablamos en el término que quienes trabajan en seguridad entienden, sino al cibercriminal que se conectará remotamente a la red de la empresa y generará daños, porque le gusta o porque obtiene una ganancia. De lo que estamos hablando es de la creencia de que la seguridad de la información solo debe ocuparse de los ataques externos por parte de atacantes maliciosos. Sobre este tema, aparecía la semana una interesante noticia relacionada a este tema: el popular diario New York Times se convirtió en emisor de spam al enviar más de 8 millones de correos no deseados. ¿Cómo ocurrió este incidente de seguridad? Todo se ha dado por este peculiar personaje presentado en el título de este post: el inocente atacante interno.

Tal como indica el reporte del diario, el correo fue enviado por accidente por un empleado (supuestamente el correo estaba destinado solo a 300 personas). El mismo indicaba que el usuario había pedido la cancelación del servicio y ofrecía un 50% de descuento para renovar el uso del mismo. De esta forma, por un pequeño error, uno de los diarios más importantes del mundo fue acusado de spammer durante muchas horas en redes sociales, como así también se inundó de sospechas sobre posibles “hackeos” al diario.

Entre los impactos, también debe considerarse la exposición de información confidencial: la costumbre del diario de ofrecer descuentos a quienes cancelen su suscripción, lo cual puede motivar a muchos usuarios a pedir la misma para recibir el descuento, lo cual podría impactar en una pérdida económica para la organización.

Este pequeño incidente de seguridad, por el cual el diario envió 8 millones de correos de spam, pone en evidencia lo presentado en la introducción: los incidentes de seguridad no siempre son ocasionados por atacantes externos, como así tampoco no siempre son causados con fines maliciosos, sino que muchas veces se trata simplemente de un error. Estos incidentes (los internos y no intencionados) también son un problema de seguridad de la información que muchas compañías suelen obviar.

Una correcta gestión de la seguridad en las empresas debe abarcar los cuatro posibles incidentes:

1. Riesgos por incidentes externos y maliciosos (aquí se encuadra el cibercrimen).
2. Riesgos por incidentes externos y no maliciosos
3. Riesgos por incidentes internos y maliciosos
4. Riesgos por incidentes internos y no maliciosos

Sin embargo, en muchos casos solo se considera el primero de ellos, subestimando o directamente obviando los riesgos asociados a los otros tipos de incidentes.

Los responsables de seguridad de las empresas deben considerar todas estas variables si planean gestionar eficientemente la seguridad de la información en el entorno corporativo. El “atacante” interno y no malicioso también debe ser tenido en cuenta al momento de evaluar los riesgos. Si no pregunten al New York Times.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Curiosidades, Spam
No Comments »

Los creadores de amenazas que utilizan técnicas de Ingeniería Social deben ser muy hábiles al momento de llamar la atención de la víctima, a tal punto que esta olvide o pase por alto las medidas de seguridad que le permiten evitar este tipo de ataques. Por lo general, las técnicas para llamar la atención del usuario son correos que simulan provenir de una entidad bancaria indicando que se necesita información, contenido pornográfico o la promesa de imágenes comprometedoras de famosos.

A continuación presentaremos un caso enviado por uno de nuestros usuarios, donde el sitio web lleva la Ingeniería Social un paso más adelante. El atractivo de esta página web es que los usuarios pueden compartir sus secretos, ya sean graciosos o trágicos, con los demás. Para esto, luego de escribir el secreto a compartir, el usuario deberá ingresar su correo y su contraseña:

Esto, por lo general no debería presentar ningún inconveniente porque el sitio web debería hacer lo que dice en los términos y condiciones, donde se podrá observar que dicen que no se va a almacenar ni intercambiar datos de los usuarios con otros sitios:

El usuario que nos ha enviado el caso ha podido localizar, dentro de los directorios del sitio web, Esto es un poco contradictorio con lo que ha encontrado el usuario que nos envió el caso en uno de los directorios del sitio web:

Como se puede observar, el sitio web guarda cada uno de los correos enviados automáticamente cuando el usuario ingresa su correo electrónico y contraseña, por lo que cual no solamente almacena los datos del usuario que escribe el secreto, sino que también todos los correos de sus contactos. Además  no es aclarar que este es solamente un ejemplo entre los 118.818 que actualmente se encuentran alojados en este sitio web.

Resumiendo, se trata de una manera más de obtener casillas de correo a través del uso de Ingeniería Social. Estas casillas pueden ser utilizadas para enviarles spam o, las ingresadas por los escritores de los secretos, utilizadas para enviarlo. Para poder resguardarse de este tipo de ataques es importante que no se ingresen sus datos de inicio de sesión en sitios desconocidos o extraños, sino que solamente hacerlo en páginas web recomendadas, de confianza o que manejen cierta seguridad como el protocolo HTTPS.

Gonzalo Presa
Analista Jr. de Seguridad

Categories: Ingeniería Social, Phishing
No Comments »

Una vez más, como todos los meses, compartimos con ustedes el reporte mensual de amenazas, esta vez el correspondiente a  noviembre. Este mes se caracterizó por el descubrimiento de un bootkit para Windows 8:

• Stoned Lite es el nombre del exploit, creado por el ingeniero en software Peter Kleissner para saltar las políticas de seguridad de Windows 8. Este exploit debe ser ejecutado vía USB o CD al inicio del sistema y así permitir la ejecución de aplicaciones que no estén firmadas digitalmente, es decir, que no posean permiso de Windows para ser ejecutadas.
• AnserverBot es una amenaza creada para atacar los smartphones con sistemas Android que se propaga inyectado dentro de otras aplicaciones ubicadas en repositorios de aplicaciones en China alternativos al Android Market. La funcionalidad principal de este malware es convertir al dispositivo en parte de una botnet, mientras que también tiene la capacidad de carga dinámica y ofuscación de código, cifrado de datos, auto verificación de firmas y la posibilidad de detectar y eliminar ciertas herramientas de seguridad para dispositivos móviles.

• Se descubrió un troyano bancario el cual está focalizado en 5 bancos brasileros. Esta amenaza, al infectar el sistema, no modifica el archivo hosts como acostumbran hacerlo este tipo de malware, sino que modifica la configuración del sistema a través de un proxy.

• Un nuevo ataque de phishing a Facebook encubierto bajo la promesa de un nuevo video con contenido sexual de Silvina Luna. Al hacerse miembro del grupo se podrá acceder al link con el supuesto video, que llevará a la víctima a un sitio web de aspecto similar a la famosa red social para que ingrese nuevamente sus credenciales.

• El envío de spam y malware en las redes sociales es importante en estos días, por lo que es importante para los cibercriminales poseer distintos perfiles. Para esto han creado una herramienta que genera múltiples perfiles de Facebook con tan sólo unos pocos clics.

Para obtener mayor información sobre las amenazas destacadas de Noviembre, pueden visitar nuestro ranking de propagación de amenazas destacadas del mes.

Gonzalo Presa
Analista Jr. de Seguridad

Categories: Malware, Reportes mensuales
1 Comment »

Tal cual comentamos en el post titulado Inscripción a Gran Hermano 2012 un tanto peligrosa, utilizando ingeniería social los creadores de malware aprovecharon el interés de las personas que quieren participar en el reality show Gran Hermano para propagar malware. En esta oportunidad analizaremos mas en profundidad el archivo ejecutable que es utilizado para realizar el robo de credenciales bancarias.

Esta archivo malicioso en particular, detectada por ESET NOD32 Antivirus como Win32/Spy.Banker.WQR Troyano, esta orientada al robo de datos de home banking de dos bancos de Argentina. Como podemos apreciar la URL de login de estos bancos aparecen en la captura.

En esta muestra, no solamente encontramos URLs de bancos sino que también contiene otras URLs con contenido interesante. Haciendo un análisis estático del binario, vemos que crea una sección en memoria la cual contiene varios dominios los cuales se utilizan para diferentes funciones.

Ver más… »

Categories: Análisis de malware
No Comments »