Entre la multitud de emails que diariamente nuestro servidor de correo cataloga como spam, encontramos uno que nos llama la atención. Este correo dice provenir de la entidad Caja Cantabria y nos informa del ingreso de una cantidad (variable dependiendo del correo recibido) en nuestra cuenta.

Independientemente de que el usuario sea cliente de esa entidad, la simple curiosidad por ver si realmente se nos ha ingresado esa cantidad hace picar a más de uno. No es de extrañar que una cantidad nada despreciable de usuarios muerda el anzuelo y acceda a una web preparada para la ocasión. En esta web vemos como la referencia del banco pasa de Caja Cantabria al Banco de España, aunque, si nos fijamos atentamente, el dominio esta albergado en Rusia (pulse sobre la imagen para ampliarla).

Una vez aquí, lo único que se nos permite hacer es descargar un archivo ejecutable también albergado en el mismo dominio ruso. Si nos fijamos en estos detalles antes de descargar archivos de sitios sospechosos, podremos evitar muchas infecciones.

Si descargamos y ejecutamos este archivo, nuestro sistema se verá infectado por un malware del tipo bot, haciendo que nuestra máquina pase formar parte de un ejército de ordenadores zombies a disposición de un botmaster. Las soluciones de seguridad de ESET catalogan a este código malicioso como una variante de Win32/Kryptik.FZS.

Desde el laboratorio de ESET en Ontinet.com nos gustaría recordar que, cada día, miles de ordenadores caen en las redes de las botnets por infecciones parecidas. Es necesario que nosotros, como usuarios, estemos educados para prevenir estos engaños y descarguemos e instalemos un antivirus que nos permita bloquear las amenazas en el caso de que nos confiemos y pulsemos sobre ese enlace malicioso.

Josep Albors

Actualización 19/08: Horas después de publicar esta entrada observamos como se están enviando múltiples correos de este tipo pero usando como remitentes a la mayoría de cajas y bancos más conocidos. Aconsejamos eliminar cualquier correo parecido al que hemos analizado en este artículo, aunque como remitente aparezca su entidad bancaria.

Una vez hemos aclarado en qué consiste esta aplicación pasemos a ver qué riesgos de seguridad presenta. Según informan un grupo de investigadores de la universidad de Colorado, existen fallos en la comunicación entre los participantes de una sesión de Chatroulette que exponen la privacidad de los mismos y pueden utilizarse para espiar conversaciones o realizar ataques de phishing dirigidos. Estos investigadores consiguieron engañar a muchos usuarios poniendo un vídeo grabado previamente en el que se mostraba a una atractiva joven. Asimismo pueden realizarse ataques man-in-the middle para interceptar o modificar comunicaciones y engañar a víctimas potenciales. Todo esto unido a la posibilidad de identificar la IP de los usuarios de este servicio representa un importante vector de ataque para realizar infiltraciones elaboradas y especialmente dirigidas.

Pero, ¿cómo se pueden realizar un ataque con esta información?. Veamos cómo podría ser un ataque dirigido a usuarios de Chatroulette.

• Iniciamos una sesión de chat con el video grabado que muestra una atractiva joven. Sabiendo que la mayoría de usuarios de este servicio son varones, no nos resultará difícil captar la atención de nuestra víctima.

• Una vez tenemos la atención de la víctima intentamos sacarle información confidencial como el lugar de residencia, teléfono intereses o si tiene algún perfil creado en una red social.

• Si la víctima es reticente a proporcionar datos confidenciales, aun podemos obtener su localización geográfica ya que, mientras la conexión esté establecida, el audio y el video son enviados a través de paquetes UDP. Un atacante podría obtener fácilmente la dirección IP de la víctima desde la cabecera de un paquete y, a continuación, usar un sistema de geolocalización IP para averiguar la ubicación aproximada de la víctima.

• Una vez hemos obtenido estos datos y, tras realizar un poco de investigación en redes sociales, como Facebook o Tuenti, podríamos completar un perfil bastante amplio de nuestra víctima y empezar a preparar ataques usando la ingeniería social, por ejemplo, enviándole mensajes presentándonos como un conocido y proporcionando información que alguien no cercano a la víctima supuestamente no podría conocer. A partir de este punto ya queda a discreción del atacante el tipo de fechoría que desee realizar a la incauta víctima.

Es por todo lo expuesto en este post que, desde el laboratorio de ESET en Ontinet.com, recomendamos extremar la precaución cuando usemos alguna aplicación como Chatroulette ya que muchas veces podemos proporcionar más información de la estrictamente necesaria.

Josep Albors

Tal y como informan en la web poker.gamingsupermarket.com, han sido detenidos 33 hackers coreanos que ha utilizado una red botnet formada por 11.000 ordenadores, repartidos por toda Corea del sur, para acceder a 700 salas de poker. El software utilizado para infectar a las máquinas fue comprado a un hacker chino.

El funcionamiento era el siguiente, una vez el equipo se infectaba, cuando el usuario accedía a alguna de estas salas de poker para poder jugar online, los controladores de la red botnet podían ver las cartas del usuario y así poder ganarle fácilmente.

Este método podría ser también utilizado en casinos anunciados a través del correo no deseado, donde ofrecen como gancho una considerable cifra de dinero para poderlo utilizar en las diferentes salas de juego.

Desde el departamento técnico de ESET en Ontinet.com aconsejamos a los usuarios que accedan a salas de poker online que lo realicen en servidores de juego legítimos y desconfiar de cualquier anuncio referente a casinos o a salas de poker recibido por correo electrónico.

David Sánchez

Como suele pasar en casos recientes, todo comienza con la recepción de un correo que supuestamente viene remitido desde la entidad bancaria. En este caso, la redacción no es perfecta y podemos empezar a sospechar si prestamos atención al mismo (hacer clic sobre la imagen para ampliarla).

En el caso que pulsemos sobre el enlace proporcionado en el correo, se nos redirige a una nueva web que simula ser el portal de acceso de Caja Madrid a su apartado de banca online. Solo fijándonos en la dirección url de la web ya podemos sospechar que se trata de un engaño puesto que no se corresponde con el dominio de Caja Madrid ni se trata de una web segura.

Independientemente de los datos que introduzcamos se nos permitirá seguir y acceder a una nueva web donde se nos pedirán nuestros datos y los de nuestra tarjeta. Si observamos, no se conforman con el número de la tarjeta si no que también se nos solicita la fecha de caducidad de la misma y el CVV. Con estos datos, cualquier persona podría realizar compras online y cargarlos a nuestra cuenta.

Aunque pongamos información inverosímil como fechas imposibles o números de teléfono falsos no nos mostrará ningún mensaje de error y nos dejará continuar rellenando el formulario. Tras rellenar el formulario se nos mostrará una nueva web donde aparecerá el aviso de que el servicio no se encuentra disponible. Esta web y aquellas a las que nos dirige si pulsamos sobre los enlaces proporcionados, pertenecen a Caja Madrid y podemos comprobarlo si nos fijamos en que la web de registro sí que tiene una conexión segura.

No obstante, si hemos llegado a visualizar esta pantalla significará que los datos que hemos introducido ya están en manos de los delincuentes y, en el caso de que estos sean auténticos, podrán acceder a nuestra cuenta bancaría.

Desde el laboratorio de ESET en Ontinet recomendamos ignorar cualquier correo electrónico que diga venir de nuestra entidad bancaria puesto que nunca se usa este medio de comunicación para alertar de problemas de seguridad.

Josep Albors

Tal y como explica en su página web este tipo de fraude intenta aprovecharse de uno de los servicios bancarios más utilizados actualmente, el aviso de nuestro banco de un pago con tarjeta a través de sms.

Se ha detectado que se están enviando sms de falsos pagos realizados con nuestra tarjeta, donde además se indica un número de teléfono al que podemos llamar en caso de duda. La OCU informa que “al llamar a ese número de teléfono, se nos piden los datos de la tarjeta, número, fecha de caducidad y CVS para confirmarle que efectivamente se trata de un error, pero el número al que ha llamado no es el de su banco, por lo que le acaba de dar todos los datos a un desconocido”.

Los consejos proporcionados por la OCU son los siguientes:

• Omitir el sms en el caso de que no estén dados de alta en este servicio
• No llamar al número de teléfono proporcionado y llamar directamente a su oficina o al número de contacto que aparece en la parte posterior de la tarjeta de crédito.

Desde el departamento técnico de ESET en Ontinet.com aconsejamos a los usuarios, que no llamen a teléfonos incluidos en mensajes de desconocidos o de dudosa procedencia, y además, les mostramos una serie de consejos de seguridad para el uso seguro del teléfono móvil.

David Sánchez

El desarrollador Thuat Nguyen y sus aplicaciones han sido eliminadas de la App Store por violar la Licencia de Acuerdo para Desarrolladores, incluyendo patrones de compra fraudulentas.

Además de esta nota, se incluye la información proporcionada por Clayton Morris en su blog, en la que indica que Apple ha informado que son unos 400 usuarios de iTunes los afectados por este fraude, de los 150 millones de usuarios registrados. También comentan que sus servidores no se han visto comprometidos y que además van a tomar medidas antifraude a partir de ahora como por ejemplo, la introducción de forma reiterada de los datos de la tarjeta de crédito.

David Sánchez

Si pulsamos sobre el enlace que se nos proporciona, accederemos a una web con distintivos claramente reconocibles y que muestra una encuesta. No obstante el enlace real apunta a una web con dominio brasileño y, bajo ese domino, muestra la web preparada para usuarios de habla hispana.

Es posible que, bajo ese mismo dominio, se almacenen otras encuestas en otros idiomas pero vamos a centrarnos en la versión española:

Como vemos la encuesta no tiene nada fuera de lo normal aparte de una redacción un poco pobre y una inquietante imagen de la mascota de la empresa. Si seguimos adelante con la encuesta, pasaremos a otra página donde se nos pedirán nuestros datos para hacer el ingreso del bono regalo en nuestra cuenta:

Si nos fijamos, se nos piden TODOS los datos de nuestra tarjeta de crédito con los que, una vez introducidos y enviados, los creadores de esta falsa encuesta tendrán los datos necesarios para vaciar la cuenta corriente asociada a nuestra tarjeta.

Como vemos, este nuevo caso de phishing usa muy bien la ingeniería social para engañar a los usuarios a pesar que el diseño de la página seguramente no habrá requerido de mucho tiempo para realizarse.

Ante este tipo de ejemplos, lo mejor es desconfiar de aquellas webs que nos pidan demasiados datos personales y, por supuesto, NUNCA proporcionar los datos de la tarjeta de crédito en sitios que no cuenten con una certificación de seguridad reconocible y un protocolo seguro de comunicación.

Josep Albors

La primera consiste en introducir lectores falsos en las bocas de los cajeros que leen y almacena los datos de la tarjeta. Al mismo tiempo, una cámara oculta puede grabar el número PIN del usuario para que el delincuente pueda después usarlo para sacar dinero desde un cajero con la tarjeta clonada. Existen variantes más avanzadas de esta técnica, que incluyen un teléfono móvil que envía las imágenes y datos capturados mediante mensajes MMS a un número controlado por los delincuentes, de forma que se evita tener que ir al cajero a recoger los datos robados.

La segunda técnica, que nos toca más de cerca a los que nos dedicamos a la seguridad informática, consiste en el robo de los datos de las tarjetas de crédito usando técnicas de engaño en sitios webs preparados a tal efecto. Lo más común es recibir correo no deseado de tiendas online que ofrecen diversos bienes, aunque las más habituales suelen ser farmacias con medicamentos falsos (con el riesgo para la salud que eso supone) y réplicas de artículos de lujo (principalmente relojes, bolsos y joyería). Una vez recibido un correo donde se nos ofrece adquirir estos artículos a un precio muy interesante, el usuario incauto suele pulsar sobre el enlace proporcionado para terminar en una web donde se ofertan los diferentes artículos.

El procedimiento de compra es igual al de cualquier otra tienda online. Primero seleccionamos un producto que nos interese, observamos su descripción y, si nos convence el precio, lo agregamos a nuestro carrito de la compra. Una vez ya hemos seleccionado todos los artículos que nos interesen, procedemos a finalizar el pedido y a proporcionar nuestros datos. Es en este punto donde se nos pedirán los datos de nuestra tarjeta de crédito y quedarán almacenados en la base de datos de la tienda que, muy probablemente, sea propiedad de una mafia organizada de ciberdelincuentes.

Una vez los delincuentes posean nuestros datos de la tarjeta de crédito, lo normal es que empleen los fondos que se tengan en ella para cualquier actividad. Esto incluye la compra de dominios web que se usarán posteriormente para albergar todo tipo de malware o páginas de phishing, o incluso la de certificados de seguridad para hacer creer al usuario que está accediendo a una web segura. Lo más probable, no obstante, es que los datos de la tarjeta robada terminen vendiéndose junto con los de otras miles de tarjetas al mejor postor.

No cabe duda de que Internet es un lugar excelente para encontrar todo tipo de gangas, pero siempre hay que saber a qué sitios acudir. De la misma forma que no obtendremos las mismas garantías comprando un artículo en el rastro que en unos grandes almacenes en la vida real, en las compras online también existen una serie de sellos de calidad que otorgan confianza al consumidor a la hora de adquirir un producto en determinado sitio web. Prueba de que las tiendas online más conocidas ofrecen plena garantía a sus usuarios son los recientes intentos de suplantar a Amazon por parte de farmacias online o falsos antivirus.

Por todo lo expuesto, recomendamos a los usuarios que deseen realizar sus compras online, se aseguren de donde lo hacen y eviten correos o enlaces sospechosos que dirijan a sitios web de dudosa confianza.

Josep Albors

Si observamos el enlace que se nos proporciona en el correo y lo analizamos detenidamente, veremos como la dirección a la que apunta no tiene nada que ver con la original. Si,seguimos el enlace y tenemos una versión bastante reciente de los navegadores más comunes, el filtro anti-phishing que incorporan debería avisarnos y mostrarnos un mensaje similar al siguiente:

Este filtro y su correcto funcionamiento en este caso en particular ya deberían hacer sospechar a la mayoría de usuarios que viesen este aviso. No obstante, si hay algún usuario inconsciente que decidiera ignorarlo o usase un navegador que no incluyese esta función o estuviese desactivada, lo que se encontraría sería una copia de la página original del BBVA donde introducir los datos de acceso, que pasarían a formar parte de la base de datos de los ciberdelincuentes.

A pesar de la mala redacción de este tipo de mensajes, de que los navegadores actuales incorporen un filtrado que detecta las webs falsificadas y de que el propio sentido común nos debería hacer sospechar, puesto que los bancos han repetido miles de veces por activa y por pasiva que no envían este tipo de correos, los usuarios siguen picando en este tipo de engaños. A las pocas horas de detectar este caso, empezamos a ver otros similares pero con el Banco de España como objetivos, lo que demuestra que merece la pena seguir realizando ataques de phishing tan simples como el que hemos comentado.

Josep Albors

Actualización 18/06: Hace pocas horas hemos recibido otros correos simlando ser del BBVA y que proporcionaban un nuevo enlace también relacionado con suplantación de webs legítimas. Lo curioso en este caso es que en el propio correo electrónico se indica al usuario que no confíe en los mensajes que le solicitan sus datos personales de acceso a la banca online. Resulta paradójico advertir de algo que no debe hacerse cuando en el mismo mensaje se esta pidiendo que se haga. No obstante, también puede tratarse de una nueva estategia para engañar a usuarios desconfiados ya que este mensaje se encuentra mucho mejor redactado que el anterior. A continuación mostramos un ejemplo de estos correos electrónicos:

La Agencia Tributaria ya ha sido informada de este caso y ha tomado las medidas oportunas para perseguir y detener a los responsables de este fraude.

Este tipo de casos no son infrecuentes ya que, sin ir más lejos, el año pasado también se aprovecho el nombre de la Agencia Tributaria y la declaración de la renta 2008 para un caso de phishing prácticamente idéntico al que estamos comentando. Los creadores de este tipo de fraudes saben que los contribuyentes están pendientes de cualquier comunicación relativa al pago de los impuestos y resulta muy sencillo suplantar las webs oficiales por otras falsas.

Desde el departamento técnico de Ontinet.com recordamos que, tal y como anuncia la propia Agencia Tributaria en su comunicado, nunca se nos solicitarán nuestros datos bancarios mediante ningún tipo de formulario para realizar el abono de cualquier cantidad que nos corresponda tras hacer la declaración de la renta.

Josep Albors