Buscar este blog

jueves, 25 de octubre de 2018

Ingeniería Social – Phishing

Maria José Montes | 24 Oct, 2018

La ingeniería social juega un papel fundamental en una gran cantidad de ciberataques. Podemos tener nuestro sistema fortificado y al día para mitigar vulnerabilidades, pero en muchos casos se nos olvida el elemento más importante: el ser humano.

image

Podemos definir la ingeniería social como la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos.

Los principios de la ingeniería social son:

  • Confianza. -El primer sentimiento es siempre de confianza hacia el otro.
  • Autoestima. -A todos nos gusta que nos alaben.
  • Deseo y curiosidad. -Son muy utilizados por los ciberdelincuentes.
    • Deseo: nos podemos encontrar mensajes, correos o enlaces en redes sociales en los que se regalan entradas (teatro, conciertos, partidos deportivos, etc.) o bonos con dinero para canjear en algún establecimiento.
    • Curiosidad: es un método muy utilizado por los ciberdelicuentes, crean distintas noticias en redes sociales con enlaces a vídeos o fotos a los que resulta difícil resistirse.

Normalmente van cargados de malware o redireccionan a encuestas, anuncios o páginas falsas con algún formulario para introducir datos si quieres ver las noticias o adquirir el regalo (entrada, bono, etc.).

¿Cómo piensa el atacante?

Insider. -Es un atacante que tiene privilegios o nivel de confianza ligados a su trabajo, empleados, compañeros, familia. Su objetivo puede ser económico y venganza.

Ciberdelincuente. -Es un atacante que va a buscar toda la información necesaria para poder acceder a la zona “privada” de la víctima y desde ahí perpetrar diferentes ataques.

Estafadores. -Saben elegir a sus víctimas para manipular y poder realizar el engaño con gran habilidad.

Pero no siempre se usa la ingeniería social para fines maliciosos, también es utilizada por investigadores, profesionales del sector de la ciberseguridad o cazatalentos.

Ataques comunes

  • Tailgating (Piggybacking). -Es utilizado cuando se quiere entrar a un lugar privado. El atacante seguirá a un individuo autorizado, dando la apariencia de ser escoltado legítimamente o unirse a una gran multitud autorizada para entrar, y pretender ser un miembro de la multitud.
  • Dumpster diving o trashing. -Es una técnica de obtener información privada, que consiste en revisar la basura de la persona u organización a investigar.
  • Eavesdropping. -Se trata de escuchar una conversación de forma secreta para recopilar información.
  • Shoulder surfing. -Es una técnica de observación directa para intentar recopilar información confidencial.
  • Office snooping. -Se trata de aprovechar la ausencia de un compañero en el trabajo, amigo para husmear en sus terminales.
  • Bribing. -Consiste en sobornar al personal de la organización ofreciendo dinero u otros incentivos para obtener cualquier tipo de información o ventaja en el ataque.
  • Baiting. -El atacante intentará poner algún cebo para poder sacar la información.

Ahora me voy a centrar en un ataque del que llevamos hablando mucho tiempo pero que no se consigue mitigar: PHISHING.

Phishing o suplantación de identidad es una modalidad de estafa con el objetivo de intentar obtener de un usuario sus datos, credenciales, cuentas bancarias, números de tarjeta de crédito, etc.

El estafador, conocido como phisher, se hace pasar por una persona o empresa en una aparente comunicación oficial electrónica, por lo general un correo electrónico, mensajería instantánea, redes sociales, incluso llamadas telefónicas.

Algunos tipos de Phishing

  • Phishing Tradicional. -Está vinculado a la copia de un sitio conocido por la víctima, en el cual se cambia la dirección a donde llegan los datos ingresados. De este modo, el ciberdelincuente roba las credenciales ingresadas por la víctima, que pueden estar alojadas en texto plano en un archivo de texto o ser enviadas a alguna casilla de correo electrónico.
  • Phishing Redirector. -Es un envío masivo de correos, no tiene un destinatario concreto.  Es muy utilizado para obtener datos bancarios.
  • Spear phishing. -En este caso está dirigido a personas o grupos reducidos. La campaña es más personificada y con un porcentaje mayor de víctimas. Consiste en crear un correo electrónico que aparenta ser de una persona o empresa conocida.
  • Smishing SMS. -Se envían mensajes de texto alertando a la víctima de que ha ganado un premio. La víctima debe responder con algún tipo de código o número especial para validar su falso premio.

image

image

Para evitar ser víctima de phishing, os dejo algunos consejos:

  • No respondáis a enlaces en correos electrónicos no solicitados.
  • No abráis adjuntos de correos electrónicos no solicitados.
  • No reveléis vuestras contraseñas
  • No proporcionéis información confidencial por teléfono, correo electrónico, mensajería instantánea, etc.
  • Comprobad si la URL es legítima.
  • Tened actualizado el navegador.
  • Utilizad antivirus y antiphishing.

Nosotros en ESET tenemos una solución muy efectiva incluida en nuestros productos, que permite bloquear sitios web conocidos por distribuir contenido phishing.

image

Cuando accedáis a un sitio web de phishing, recibiréis la siguiente notificación en vuestro navegador web:

La tecnología antiphishing protege frente a intentos de acceder a contraseñas, información bancaria u otros datos sensibles por parte de sitios web falsos enmascarados en otros legítimos. Cuando el equipo del usuario intenta acceder a una URL, los sistemas de ESET la comparan con una base de datos de sitios de phishing conocidos. Si se encuentra una coincidencia, la conexión a la URL es abortada y se dispara un mensaje de alerta. En esta instancia, el usuario podrá optar por acceder al sitio bajo su propia responsabilidad o reportar la URL como un falso positivo de phishing.

Twitter Intelligence



Seguimiento y análisis en Twitter
Expertos en forense digital presentan Twitter Intelligence, un proyecto de inteligencia de fuentes abiertas (OSINT) escrito en Python para realizar tareas de seguimiento y análisis de Twitter sin utilizar la propia API de Twitter.
Prerrequisitos
  • Este proyecto es una aplicación Python 3.x
  • Las dependencias del paquete están en el archivo Requirements.txt. Ejecute el siguiente comando para instalar las dependencias:
pip3 install -r requirements.txt
Base de Datos
  • SQLite se utiliza como base de datos
  • Los datos de los tweets se almacenan en las tablas Tweet, Usuario, Ubicación, Hashtag, HashtagTweet
  • La base de datos es generada automáticamente, reportan expertos en forense digital
Ejemplos de uso
  • Pedir ayuda
python3 tracking.py -h
  • Obtener tweets por nombre de usuario
python3 tracking.py –username “HaberSau”
  • Obtener tweets por consulta
python3 tracking.py –query “sakary
  • Obtener tweet en un intervalo de fechas específico
python3 tracking.py –username “HaberSau” –since 2015-09-10 –until 2015-09-12 –maxtweets 10
  • Si obtiene la ubicación de los tweets, agregue el parámetro –location “True”pero la aplicación se hará lenta debido a los nuevos tiempos de respuesta
python3 tracking.py –query “sakarya” –location “True”
Análisis
analysis.py realiza el procesamiento de análisis. Acorde a especialistas en forense digital del Instituto Internacional de Seguridad Cibernética, Twitter Intelligence realiza análisis de usuario, hashtag y ubicación.
  • Obtener ayuda
python3 analysis.py –h
  • Análisis de ubicación
python3 analysis py –location (el análisis de ubicación se ejecuta a través de la dirección http://localhost:5000/locations). Debe escribir Google Map Api Key en setting.py para mostrar el mapa.
twitterintelligence01
  • Ejecutar análisis de hashtag
python3 analysis.py –hashtag
twitterintelligence02
  • Ejecutar análisis de usuario
python3 analysis.py –user

FUENTE:


















lunes, 8 de octubre de 2018

FASTCash: el nuevo ataque utilizado para sacar dinero de los cajeros automáticos


El US-CERT ha emitido una alerta técnica conjunta con el DHS y el FBI en la que informan de que el grupo de ciberdelincuentes 'Hidden Cobra' está comprometiendo servidores bancarios

Resultado de imagen de atm hacked
El conocido grupo, supuestamente avalado por el gobierno de Corea del Norte, es el autor de este ataque en el que comprometen de forma remota los servidores de aplicaciones de pago para facilitar las transacciones fraudulentas.
En principio los objetivos son África y Asia tal y como explica el US-CERT en el siguiente mensaje.
https://www.us-cert.gov/ncas/alerts/TA18-275A
El cual han publicado en su cuenta de Twitter oficial.

¿Cómo funciona el ataque?
Siempre que un usuario utiliza su tarjeta en un cajero automático o en un TPV de una tienda, el software solicita al servidor de aplicaciones de cambio del banco para validar la transacción y que esta se acepte o rechace en base al saldo disponible en la cuenta.

Sin embargo, los ciberdelincuentes consiguieron comprometer estos servidores para que interceptaran la solicitud de transacción y diera una respuesta afirmativa falsa pero legítima sin validar realmente su saldo disponible con los sistemas bancarios centrales, lo que finalmente engaña a los cajeros para que escupan la cantidad solicitada sin siquiera notificar al banco.

"Según la estimación de un socio de confianza, los componentes de 'Hidden Cobra' han robado decenas de millones de dólares", explican en el informe.

¿Cómo llegaron los atacantes a comprometer los servidores de aplicaciones de pago?


Aunque no está confirmado, las autoridades de EE.UU. creen que los ciberdelincuentes utilizaron correos electrónicos de phishing que contendrían ejecutables maliciosos de Windows.

Una vez abierto, estos servían de conexión para que los atacantes pivotaran en la red del banco utilizando las credenciales legítimas del empleado afectado y conseguir inyectar el malware en el servidor de aplicaciones de pago.


A pesar de que la mayoría de los servidores utilizaban versiones del sistema operativo AIX sin soporte, no se han encontrado pruebas de que los atacantes aprovecharan alguna vulnerabilidad sobre el mismo.

El US-CERT ha recomendado a los bancos que hagan obligatoria la autenticación de dos factores cuanto antes.

Daniel Púa

Mensaje US-CERT:
https://www.us-cert.gov/ncas/alerts/TA18-275A