Aunque a muchos usuarios les empieza a sonar este tipo de amenazas, no son pocos los que siguen picando en ellas, debido al desconocimiento o a la buena suplantación de las webs y correos electrónicos que realizan los ciberdelincuentes.

Para evitar que sigan aprovechándose del desconocimiento de algunos usuarios, ha nacido una alianza entre empresas como Google, Microsoft, Facebook, Yahoo! y otras once más que se hace llamar DMARC. La finalidad de esta alianza es evitar que los mensajes de phishing lleguen a nuestras bandejas de entrada, revisando que el remitente es quien dice ser y bloqueando aquellos correos fraudulentos.

Esta iniciativa no es nueva, puesto que ya vimos un adelanto cuando PayPal emprendió junto a Google y Yahoo! un proceso de verificación de sus correos. Quienes tengan una cuenta en Gmail o Yahoo! habrán comprobado desde hace meses cómo los mensajes verificados de PayPal tienen un tratamiento especial en sus casillas de correo.

Con esta iniciativa se evita que sea el usuario quien tenga que averiguar si el mensaje que acaba de recibir es fraudulento revisando su cabecera, algo que la gran mayoría de usuarios desconoce cómo hacer. Esta automatización, de funcionar tal y como está previsto, supondrá una capa de protección adicional a los filtros antispam y antiphishing tradicionales, evitando de paso la recepción de correos innecesarios.

Desde el laboratorio de ESET en Ontinet.com apoyamos iniciativas como esta, puesto que hacen de Internet y sus servicios un lugar más seguro, sin que el usuario tenga que realizar un esfuerzo adicional. No obstante, no conviene bajar la guardia, y hay que revisar siempre cualquier mensaje sospechoso que podamos recibir de nuestra entidad bancaria, sobre todo si nos pide acceder a un enlace e introducir nuestros datos de usuario.

Josep Albors
@JosepAlbors

Pero esta actividad lúdica no debe hacernos bajar la guardia, puesto que los cibercriminales siempre están al acecho preparando nuevos engaños con los que propagar sus amenazas. Nuestros compañeros del laboratorio de ESET Latinoamérica han analizado estos días dos amenazas orientadas claramente a los jugones, y que nosotros pasamos a comentar a continuación.

La primera de ellas es un clásico entre los engaños orientados a jugadores de juegos online, y no es otro que una versión actualizada del típico phishing de World of Warcraft. Este popular juego tiene más de 10 millones de jugadores suscritos, por lo que suele ser uno de los más usados en este tipo de engaños.

En este correo se nos indica que estamos intentando vender nuestra cuenta asociada al juego. Estas cuentas son personales e intransferibles, por lo que Blizzard, la desarrolladora detrás de dicho juego, persigue estas actividades. Este correo amenaza al jugador con cancelar su cuenta si no se revisa esta y se proporciona un enlace que simula ser auténtico y al que el usuario debe acceder si no quiere que su cuenta se cierre permanentemente.

No obstante, el análisis realizado por nuestros compañeros de ESET Latinoamérica muestra que ni el correo se enviaba desde una dirección de Blizzard (usando técnicas de spoofing para camuflar la auténtica dirección de Hotmail que enviaba el correo) ni la página a la que accedíamos tras pulsar el enlace era oficial, además de contener algunos fallos de diseño.

Este caso de phishing es uno más entre otros tantos a los que los usuarios veteranos de World of Warcraft se han ido acostumbrando. No obstante, los ciberdelincuentes cuentan con la continua entrada de nuevos jugadores inexpertos para propagar sus engaños y amenazas.

Otra de las amenazas detectada y analizada por nuestros compañeros al otro lado del charco son archivos que simulan ser cracks de juegos recientes y populares. Estos archivos suelen sustituir el ejecutable original, que tiene un icono característico, y suelen tener un tamaño superior al que corresponde.

Obviando la polémica que supone usar este tipo de cracks para utilizar software comercial sin pagar, nos vemos en la obligación de decir que, en la actualidad, muchos de estos archivos contienen malware, y este caso no es una excepción. La mayoría de cracks son fácilmente detectables por usuarios experimentados, puesto que suelen tener un tamaño de unos pocos Kilobytes. No obstante, el que hemos analizado tiene un tamaño superior al del fichero original (de varios Megabytes), por lo que se consigue pasar por alto ese filtro inicial.

Si caemos en la trampa y ejecutamos uno de estos archivos infectados, veremos cómo el proceso empieza a ejecutar varios subprocesos, lo que ocasiona un incremento en el consumo de memoria en nuestro sistema que puede llegar a colapsarlo.

Se han detectado varios archivos de este tipo que simulan ser cracks de algunos de los juegos más populares del momento, por lo que su tasa de propagación puede ser relativamente elevada. Con respecto a las amenazas que contienen estos archivos, estas varían desde los molestos adware a todo tipo de troyanos, tal y como vemos en el análisis de estos ficheros realizado con las soluciones de seguridad de ESET.

Hace tiempo que los jugadores de videojuegos empezaron a ser uno de los objetivos de los ciberdelincuentes, y no esperamos que esto cambie a corto y medio plazo. En el laboratorio de ESET en Ontinet.com somos varios los que disfrutamos jugando a videojuegos, y con artículos como este queremos ayudar a todos nuestros usuarios, algunos de ellos compañeros de partidas, como nuestros amigos del club de videojugadores profesionales X6tence.ESET, a disfrutar de sus juegos favoritos sin poner en riesgo su seguridad.

Josep Albors

Según informa el investigador Denis Maslennikov, se han empezado a usar códigos QR para propagar enlaces maliciosos entre los usuarios que descargan troyanos. Este tipo de códigos están usándose cada vez más con fines publicitarios, debido sobre todo a que los terminales móviles hace tiempo que tienen la capacidad de leerlos e interpretarlos.

Aprovechándose de esta circunstancia, los ciberdelincuentes están usando estos códigos QR para publicar enlaces en los que se aloja malware. Realmente solo se está reutilizando una vieja técnica como la de introducir un enlace en un contenedor como puede ser un correo electrónico, una publicación en Facebook, una imagen o incluso un archivo multimedia.

Además de para propagar malware, un uso malintencionado de este tipo de códigos puede emplearse para preparar ataques de phishing, como nos demuestran desde el blog de spamloco.net. También puede usarse la ingeniería social para obtener datos de los usuarios que capturen un código especialmente preparado con su móvil, muy útil para conseguir números de teléfono de chicas guapas, como apuntan en el blog de Flu Project.

Como vemos, cualquier vector de ataque puede ser aprovechado por los ciberdelincuentes para propagar malware. Desde el laboratorio de ESET en Ontinet.com recomendamos evitar acceder a enlaces proporcionados por códigos QR de origen desconocido (enviados por SMS, email o impresos en papel y colocados en lugares con gran afluencia de gente). Asimismo, instalar una solución antivirus en nuestro dispositivo móvil puede ayudarnos a evitar problemas si nos puede la curiosidad.

Josep Albors

Este engaño llega en forma de correo electrónico y tiene como remitente una dirección (visa-master@sac.info) que nos hace pensar que el email ha sido enviado conjuntamente por estas dos compañías (cosa altamente improbable). Este hecho, junto a una redacción un tanto pobre, debería hacernos pensar si debemos pulsar sobre el enlace.

En el caso de que pulsemos, seremos redirigidos a un enlace donde se nos pedirá nuestros datos personales. Como curiosidad, se nos indica que ese sitio web utiliza cifrado SSL cuando no es así y se puede verificar en la misma barra de direcciones del navegador, ya que no aparece indicación alguna que nos lo asegure.

Seguidamente se nos solicitará los datos de la tarjeta de crédito, datos que incluyen el nombre del titular, el número, su código CVV, pin de seguridad, fecha de expiración y DNI. Con todos estos datos, los delincuentes podrán realizar pagos con todas las tarjetas robadas, tanto de forma online como en tiendas físicas, o incluso sacar dinero de los cajeros automáticos.

Una vez finalizada la introducción de datos se nos redirigirá a la web auténtica de Visa España. Nótese la diferencia con respecto a la web suplantada, ya que la auténtica incluye la letra ñ. Esto demuestra que los delincuentes que hay detrás de este engaño no se han molestado en localizar completamente el ataque.

Aun a pesar de los fallos cometidos por los creadores de esta estafa (mala localización lingüística, enlaces que no tienen relación con los verdaderos, etc.), son muchos los usuarios que ignoran estas advertencias e introducen los datos de sus tarjetas.

Desde el laboratorio de ESET en Ontinet.com volvemos a recordar, una vez más, que ni las entidades bancarias ni aquellas empresas responsables de nuestras tarjetas de crédito se pondrían en contacto por email para comunicarnos un problema, y mucho menos nos pedirían que introduzcamos nuestros datos en una web sin ningún tipo de cifrado.

Josep Albors

En los últimos días hemos estando observando la propagación de diferentes enlaces a través de Facebook que tienen en común determinadas características. Una de ellas es la temática veraniega y los consecuentes efectos de las altas temperaturas, y la otra es que están orientados al público español. Veamos un ejemplo:

Como vemos, el enlace es de lo más sugerente, suficiente para que muchos usuarios decidan pulsar sobre él y pasar un buen rato en los calurosos días (y noches) estivales. Al hacer clic, nos dirige a una web donde, si observamos, comenzamos a percibir cosas extrañas a poco que nos fijemos en los detalles.

Antes de ver el supuesto video se nos muestra un mensaje solicitándonos que confirmemos que somos mayores de edad. Hasta aquí, podría parecer normal. Pero este enlace, a pesar de usar un diseño como el de Facebook, se encuentra fuera de esta red social. Primera señal de alerta.

También resulta extraño que el botón que tenemos que pulsar no esté en nuestro idioma. Aunque a primera vista puede parecer que su significado derive del “ja” alemán, cuyo significado es “sí”, en realidad se trata de una palabra finlandesa cuya traducción literal sería “compartir”, pero que adaptado a Facebook equivaldría a pulsar el botón “Me gusta”.

Si pulsamos sobre la tecla “Jaa” pasaremos a otra web donde se nos pedirá volver a confirmar que aceptamos “compartir” este enlace. Curiosamente, todas las opciones vuelven a estar en finlandés, siendo la opción “Peruuta” la equivalente a “Cancelar”.

Si a pesar de las claras señales de advertencia nos empeñamos en seguir adelante, este enlace se copiará en nuestro muro, provocando que nuestros contactos también puedan caer en la trampa. A todo esto, el usuario seguirá sin poder ver el video, ya que en realidad no existe y sólo se trata de un gancho para atraer a más gente.

Por si fuera poco, no contentos con ensuciar nuestro muro con este tipo de mensajes, se nos abrirá una nueva web en las que se nos ofrece introducir nuestro número de teléfono. Algunos usuarios creerán equivocadamente que al introducirlo recibiremos un código para visualizar el video inexistente, pero lo único que conseguiremos haciéndolo es suscribirnos a un sistema de envío de mensajes premium de elevado coste.

Como siempre, los avezados estafadores buscan engañar a sus víctimas con cualquier tipo de gancho. Sobre todo en verano, cuando estamos más distendidos y nos apetece más ver y compartir otro tipo de contenido. Desde el laboratorio de Ontinet.com, distribuidor en exclusiva para España de ESET, recomendamos extremar las precauciones con los calores estivales y evitemos ser un canal más de distribución de este tipo de amenazas. Tus amigos de Facebook te lo agradecerán .

Josep Albors

Todo empieza con la recepción de un correo que se hace pasar por la entidad bancaria suplantada. Los gráficos usados coinciden con el emblema de la entidad pero, si nos fijamos, observaremos la falta de tildes en el texto y alguna frase extrañamente construida:

En el centro del mensaje destaca la palabra ACEPTAR, en mayúsculas, la cual nos invita a que la pulsemos. No obstante, si observamos el enlace al que nos dirige, veremos que no parece tener nada que ver con la entidad bancaria.

Al comprobar la dirección IP, observamos que esta pertenece a una empresa del estado de Nueva York especializada en soluciones de comunicaciones para empresas.

De hecho, si eliminamos la redirección que realiza el enlace e introducimos solamente la dirección IP, nos aparece la página de registro de Outlook Web Access, con lo que deducimos que, o bien alguien ha introducido archivos no autorizados en los servidores de la empresa, o alguno de los clientes a los que esta empresa da servicio ha visto su seguridad comprometida y está sirviendo enlaces maliciosos.

Volviendo al archivo que se descarga tras pulsar sobre el enlace, observamos que la dirección IP desde la que se realiza esta descarga no tiene nada que ver con la anterior y que el archivo malicioso responde al nombre de ONLINE.EXE.

Obviamente, como en la mayoría de estos casos, el archivo oculta una amenaza que las soluciones de seguridad de ESET detectan como un troyano bancario con nomenclatura Win32/Spy.Banker.WFJ.

En cuanto a la IP desde la que se descarga el archivo, esta pertenece a una empresa española que seguramente habrá visto comprometida la seguridad de alguno de sus servidores y que, al poco tiempo de descubrirse esta amenaza, ha bloqueado el acceso a sus páginas web, incluido el servidor desde el que se descargaba este código malicioso.

Este caso resulta curioso por la redirección, que se realiza desde una máquina comprometida en Estados Unidos a otra en España. Lo habitual es utilizar un único enlace que puede estar en cualquier parte del mundo, pero en este caso se han usado dos, estando el que almacena propiamente el malware ubicado en el mismo país que la entidad a la que ataca, cosa que los atacantes suelen evitar para así no ser descubiertos por las fuerzas de seguridad.

Como vemos, en este ejemplo sigue siendo posible reconocer las pistas que nos pueden hacer sospechar que estamos ante un caso de suplantación de una entidad bancaria. Fallos en la redacción del mensaje, direcciones IP que no se corresponden con los de la entidad o la descarga de un archivo ejecutable sospechoso son tres puntos que deberían hacernos usar nuestro sentido común para evitar pulsar sobre el enlace.

Desde el laboratorio de ESET en Ontinet.com recordamos la importancia de tener todos los sentidos alerta para evitar este tipo de amenazas y, en el caso de que lleguemos a descargar un archivo sospechoso, usemos algún tipo de análisis previo, como el que proporcionamos con ESET Online Scanner.

Josep Albors

Son un grupo de aficionados cada vez más numeroso y que se aleja del estereotipo de jugón solitario con el que la mayoría de la gente los  identifica, tal y como demuestran los últimos estudios realizados. Y es que a videojuegos juega una buena parte de la sociedad, aunque en diferentes niveles.

Durante los últimos años, el crecimiento de la industria relacionada con los videojuegos ha experimentado un crecimiento exponencial y ya supera al cine o a la música como alternativa de ocio en datos de facturación. No es de extrañar, por lo tanto, que una industria que genera tanto beneficio y que tiene tantos usuarios, atraiga las miradas de los ciberdelincuentes.

Desde hace años, las amenazas que tienen como finalidad robar datos de registro de juegos online se encuentran entre las primeras posiciones de las más detectadas, y por lo tanto, distribuidas. Y teniendo en consideración que, según un reciente estudio sobre los hábitos de seguridad en videojugadores, la concienciación sobre seguridad no es todo lo alta que debería ser, no sólo este colectivo es blanco de los ciberdelincuentes, sino que, además, es un blanco “fácil”.

También según dicho estudio, hay un 20% de usuarios que no utiliza ninguna protección antivirus en su sistema, y de los que tienen instalado protección, otro 20% no lo actualiza. Esta actitud no hace sino aumentar sobremanera el riesgo que sufren los jugones de infectarse por no cumplir una de las reglas más básicas de la seguridad informática: contar con un sistema antivirus actualizado.

Desde Ontinet.com, como patrocinador de uno de los equipos más sobresalientes en juegos, x6tence, tenemos mucho contacto con este colectivo, y de forma frecuente nos hacen la misma pregunta: ¿para qué querría un ciberdelincuente robarme los datos de acceso al juego?.

Las venta de los datos de acceso a los juegos más famosos son un negocio desde hace muchos años: cuanto mayor nivel y objetos más poderosos posea el usuario, más valiosos son. Sobre todo porque hay muchísimos usuarios que, lejos de estar dispuestos a comenzar desde cero, prefieren empezar “la casa por el tejado” y están dispuestos a pagar grandes sumas por personajes de elevado nivel y objetos poderosos en el mercado negro.

En definitivas cuentas: siempre que haya un usuario dispuesto a comprar algo sin importarle demasiado cómo haya sido obtenido, habrá ciberdelincuencia. Y a este hecho hay que añadir que, de paso, puedan robar otro tipo de información más sensible, como datos bancarios, personales, etc.

Por todo esto, desde el laboratorio de ESET en Ontinet.com aconsejamos a todos aquellos que quieran disfrutar de una buena experiencia lúdica que apliquen la máxima del sentido común (que muchas veces es el menos común de los sentidos) y que utilicen un antivirus efectivo como medida de prevención. Porque… “más vale prevenir que curar”.

Josep Albors

Sin duda, y aunque las filtraciones de datos no son ninguna novedad, desde el incidente de la PlayStation Network, estos han cobrado un protagonismo inusitado y raro es el día en el que no tengamos información acerca de un nuevo incidente. Algo parecido ocurrió hace unos meses cuando se puso de moda realizar ataques de denegación de servicio contra multitud de webs de empresas, gobiernos o instituciones. Actualmente, el número de empresas que han reconocido un ataque sobre sus sistemas con obtención de datos sensibles es elevado y se espera que este número aumente en las próximas semanas.

Así pues, han habido ataques contra empresas del sector del ocio y del videojuego como la ya mencionada Sony con los ataques sufridos en la PlayStation Network, Qriocity, Sony Online Entertainment, Sony Music y Pictures, Square-Enix, Codemasters y Epic Games, con visos de aumentar esta lista según uno de los últimos tweets del grupo LulzSec (responsable de parte de los ataques más recientes).

No obstante, también ha habido ataques contra intereses más importantes, sobre todo en lo que respecta al tema económico. Citibank informó la semana pasada de un acceso no autorizado a los datos de más de 200.000 usuarios de tarjetas de crédito en Estados Unidos. Estos datos incluyen el titular y el número de la cuenta, así como información de contacto que, si bien no puede ser usada para realizar cargos fraudulentos, sí que puede utilizarse para lanzar ataques de phishing orientado, ganándose la confianza de la víctima con datos que, supuestamente, solo el banco debería conocer.

Precisamente, uno de estos ataques de phishing orientados, junto con la vulnerabilidad descubierta en los tokens de autenticación de RSA parece que sirvieron como puerta de entrada para lanzar un ataque de lo más sofisticado contra el Fondo Monetario Internacional. Aunque se ha reconocido el ataque, aún no se sabe a ciencia cierta la magnitud que ha tenido y los datos que pueden haberse filtrado. Recordemos que esta entidad almacena información sensible relativa a los rescates económicos de Grecia, Irlanda y Portugal, además de otra información económica que podría desestabilizar los mercados si se hiciese pública.

Como vemos, este tipo de incidentes afectan a todo tipo de empresas y pueden llegar a revelar datos muy sensibles. No obstante, la gran mayoría de intrusiones son posibles debido a una mala política de seguridad en lo relativo a la protección de este tipo de datos. Desde el laboratorio de ESET en Ontinet.com recordamos que es necesario proteger el acceso a este tipo de información no solo de ataques externos, sino también de posibles filtraciones internas. Asimismo, no solo los equipos críticos merecen nuestra atención. Se han de vigilar y asegurar todos aquellos equipos que puedan acceder a nuestra red para evitar que ejerzan de vector de ataque.

Josep Albors

Rebuscando entre los mensajes que hemos recibido hoy en nuestro laboratorio, hemos encontrado este que dice provenir de Caja España y nos avisa de que se detectó un acceso no autorizado a nuestra cuenta. Obviamente, este mensaje es un engaño que trata de convencernos para ejecutar el archivo HTML que adjunta.

Si caemos en la trampa y abrimos el archivo HTML adjunto, aparecerá un formulario con varios campos a rellenar. Estos campos son los necesarios para acceder a nuestra cuenta y poder sustraer dinero de ella. Si observamos el formulario con atención, comprobaremos que incorpora el logo de la entidad bancaria pero, por otra parte, contiene fallos tipográficos como la ausencia de letras con tilde, lo que demuestra que ha sido elaborado por alguien que no dispone de un teclado en español.

Pero lo más curioso de este caso de phishing es que no se detiene en pedirnos nuestro usuario y contraseña sino que, tal y como hemos visto en otros casos, nos pide también todos los códigos de nuestra tarjeta de coordenadas para poder transferir dinero a otras cuentas. Todo ello adornado con una bonita bandera pirata que debería despertar las alertas del usuario más despistado.

Si hemos sido lo suficientemente ingenuos de rellenar todos los campos con nuestros datos y de pulsar el botón “Enviar solicitud”, los ciberdelincuentes tendrán la llave para acceder a nuestra cuenta y vaciarla sin impunidad.

Como vemos, los casos de phishing como el que hemos comentado son fáciles de detectar si prestamos un poco de atención. Desde el laboratorio de ESET en Ontinet.com recordamos que nuestro banco no nos solicitará nuestros datos de acceso por correo (o teléfono) así que lo más inteligente es eliminar todos los correos de este tipo que recibamos.

Josep Albors

Así pues, cuando recibimos un correo como el que mostramos a continuación, bastantes usuarios pulsarán sobre los enlaces proporcionados, accediendo al sitio web falso.

Es en este punto donde el filtro anti-phishing de los navegadores suele bloquear la web falsa y advertirnos del riesgo que corremos si accedemos a ese sitio web. Al intentar abrir el enlace malicioso en los navegadores Firefox y Google Chrome se nos muestra la respectiva alerta.

No obstante, la detección de este tipo de sitios maliciosos puede tardar más en otros navegadores. En este caso en concreto, por ejemplo, tanto Internet Explorer 9 como Opera no detectan el caso de phishing y nos dejan acceder.

Esto no significa que un navegador sea 100% eficaz a la hora de detectar los casos de phishing, puesto que en otros casos analizados ha ocurrido a la inversa. Es de suponer que en breve estos y otros navegadores incorporen esta web a sus filtros e impidan el acceso de sus usuarios a la misma.

Una vez nos encontramos en la web maliciosa (que se encuentra albergada bajo un dominio ruso) accedemos a una serie de pantallas donde se nos irán solicitando los datos de nuestra tarjeta, incluyendo el pin y el CVV.

Como hemos visto, contar con un navegador que use un buen filtro anti-phishing es importante para evitar caer en este tipo de trampas. Actualmente, los navegadores más usados disponen un filtrado eficaz aunque, tal y como pasa con los antivirus, no es efectivo al 100%. Para evitar que los datos de nuestra tarjeta caigan en manos no autorizadas, desde el laboratorio de ESET en Ontinet.com recomendamos acceder siempre a nuestra entidad bancaria escribiendo nosotros mismos la dirección web en nuestro navegador, evitando seguir enlaces proporcionados por email.

Josep Albors