Nuevos kits de herramientas para “Phishing”, disponibles a bajo costo en los callejones oscuros de Internet, están siendo utilizados por atacantes para tener un alcance mas amplio en el engaño a personas que creen visitar sitios legítimos, acorde a una investigación realizada por Symantec Corp.

“Los últimos kits de herramientas para “Phishing” utilizan certificados SSL (Secure Sockets Layer) para simular ser un sitio legítimo”, dijo Zahid Raza, investigador de Symantec. Los “Cyber-Criminales” utilizan estas herramientas para penetrar en un servidor web comprometido e instalar sus páginas-trampa (phishing) en dichos servers, asegurándose que la información contenida en el certificado identifica la página como legítima.

Read More

El dinero siempre es el objetivo final

En el pasado, una poderosa herramienta de ataque contra sistemas de empresas o usuarios finales era la llamada “Ingeniería Social”. Hoy lo sigue siendo, solo que esta modalidad se ha modernizado en cuanto a técnicas y metodologías empleadas.

Tiempo atrás y tal como se conocía, dicha práctica consistía en realizar un llamado telefónico a la víctima haciéndose pasar por un proveedor de servicios, ya sea un ISP, una empresa de hosting, de telefonía, etc. con el propósito de recabar información valiosa para un atacante, como ser contraseñas de acceso a internet (aún vía modem), claves de mails, etc. Solo bastaba con afirmar que había inconvenientes con la cuenta/conexión/etc de la víctima y persuadir a la misma para que voluntariamente provea credenciales de acceso, nros de tarjeta de crédito, etc al atacante.
Esta técnica dio algunos resultados por un tiempo, hasta que la explosión de internet llevó a tomar mas conciencia de todas las cuestiones inherentes a la seguridad y ya no ocurre frecuentemente (aunque podría seguir ocurriendo).

Hoy en día, la ingeniería social ha tomado otro rumbo y se ha adaptado mas a las costumbres actuales. Con la llegada de los “Home Bankings”, “Paypal” y sitios de subasta y compra/venta con tarjeta entre otros, representa algo mas que sacar una clave de acceso a internet, sino que hablamos de fraudes bancarios, robo de identidades, nros de pin, etc, todos con el mismo fin, obtener dinero de forma ilegal.

La técnica no ha cambiado mucho: se trata de engañar a la víctima para que ésta entregue voluntariamente la información sensible y necesaria para cometer la actividad fraudulenta en cuestión, solo que ya no es mediantes llamados telefónicos comunes sino que se emplean otros métodos.

A continuación, detallaremos algunos de ellos con sus correspondientes contramedidas:

Read More

Recomendaciones Anti-Phishing

Las siguientes medidas publicadas por ArCERT (Coordinación de Emergencias en Redes Teleinformáticas) buscan asistirlo para minimizar los efectos negativos de un ataque de “phishing” y de ser posible, impedirlo:

Si recibe un correo electrónico que le pide información personal o financiera, no responda.
Si el mensaje lo invita a acceder a un sitio Web a través de un enlace incluido en su contenido, no lo haga. Las organizaciones que trabajan seriamente están al tanto de este tipo de fraudes y por consiguiente, no solicitan información por medio del correo electrónico. Tampoco lo contactan telefónicamente, ni mediante mensajes SMS o por fax. Si le preocupa el estado de la cuenta que posee en la organización que dice haber enviado el correo, o que lo ha contactado, comuníquese directamente utilizando un número telefónico conocido y provisto por la entidad u obtenido a través de medios confiables, como por ejemplo de su último resumen de cuenta. Alternativamente, puede ingresar en la página oficial de la organización, ingresando usted mismo la dirección de Internet correspondiente en el navegador.

No envíe información personal usando mensajes de correo electrónico.
El correo electrónico, si no se utilizan técnicas de cifrado y/o firma digital, no es un medio seguro para enviar información personal o confidencial.

No acceda desde lugares públicos.
En la medida de lo posible, evite ingresar al sitio Web de una entidad financiera o de comercio electrónico desde un cybercafé, locutorio u otro lugar público. Las PCs instaladas en estos lugares podrían contener software o hardware malicioso destinado a capturar sus datos personales.

Verifique los indicadores de seguridad del sitio Web en el cuál ingresará información personal.
Si es indispensable realizar un trámite o proveer información personal a una organización por medio de su sitio Web, escriba la dirección Web usted mismo en el navegador y busque los indicadores de seguridad del sitio. Al acceder al sitio Web, usted deberá notar que la dirección Web comienza con “https://”, donde la “s” indica que la transmisión de información es “segura”. Verifique también que en la parte inferior de su navegador aparezca un candado cerrado. Haciendo clic sobre ese candado, podrá comprobar la validez del certificado digital y obtener información sobre la identidad del sitio Web al que está accediendo.

Read More