Revela Sophos

Mediante falsos e-mails donde se alegan supuestos problemas en las cuentas, los ciberdelincuentes extraen los datos de las ID de Apple para poder acceder a servicios o realizar compras.

Sophos, compañía de seguridad TI y protección de datos, ha informado acerca de un nuevo objetivo en los ataques de phishing, no centrado en extraer datos bancarios, de tarjetas de crédito o contraseñas de facebook, sino focalizado en acceder a las credenciales de las cuentas de Apple de los usuarios.

En la actualidad millones de usuarios alrededor del mundo tienen ID de Apple que utilizan principalmente para comprar software para sus Macs o iPhones en los Apple Stores, o para descargarse música de iTunes. Por este motivo, los ciberdelincuentes han centrado su interés en hacerse con esta suculenta base de datos que les daría acceso a tantos servicios y compras de forma fraudulenta.

Según fuentes de Sophos, el ataque de phishing a las ID de Apple ha consistido en un e-mail trampa donde, haciéndose pasar por la compañía, se informa al titular de la cuenta de la necesidad de actualizar sus datos de facturación. Este correo, firmado por “Apple Customer Support” lleva hasta un link falso, concretamente de una página web alemana.

En estos momentos dicho link no está operativo, pero desde Sophos se alerta sobre la posible creación por parte de los ciberdelincuentes de una página web falsa que emule la de Apple y desde donde se puedan recoger en un futuro los datos de los usuarios que no se percaten de la estafa.

Si los atacantes consiguen mediante este método hacerse con los datos de los usuarios, éstos se hallarán expuestos a que usen su identidad para realizar compras en los stores de Apple, así como para acceder a diferentes servicios.

Desde Sophos se informa de que esta campaña de phishing está teniendo una amplia difusión, y que sigue siendo esencial seguir las normas básicas para evitar estos ataques: no abrir ni hacer clic en enlaces de correos no solicitados, ni acceder a páginas de las cuales no nos fiemos plenamente.

Todos los productos de Sophos ya bloquean este falso link bajo el que se esconde un ataque de phishing y lo identifican como spam.

“El phishing sigue buscando nuevas fórmulas y objetivos para robar datos y obtener una recompensa económica. Es importante estar atento a estas nuevas formas de estafa, que no van ya dirigidas a los clásicos objetivos bancarios y que, por este preciso motivo, pueden encontrar a los usuarios con la guardia baja” afirma Pablo Teijeira, Corporate Account Manager de Sophos Iberia y experto en seguridad.

Para más información sobre este tema, puede visitar el blog de seguridad de Pablo Teijeira: pabloteijeira.wordpress.com
O bien en: nakedsecurity.sophos.com

En los 2 últimos años

El phishing y las redes sociales son las principales fuentes de este tipo de amenazas en las que no se utilizan técnicas de hacking, sino que se manipula a los usuarios para que revelen contraseñas u otra información.

Check Point® Software Technologies Ltd. presentó las conclusiones de un nuevo informe que revela que un 48% de las empresas encuestadas ha sido víctima de ataques de ingeniería social y ha sufrido 25 o más ataques a lo largo de los dos últimos años.

El coste empresarial de estos incidentes de seguridad está entre 18.000 y 73.000 euros. Este tipo de ataques implica que un estafador, en lugar de utilizar técnicas de hacking, manipula o engaña a los usuarios para que realicen ciertas acciones o divulguen información personal.

El informe “Riesgo de la Ingeniería Social en la Seguridad Informática” señala el phishing y las redes sociales como las principales fuentes de amenazas y anima a las empresas a combinar estrategias tecnológicas y de concienciación para minimizar la frecuencia y el coste de los ataques.

Tradicionalmente, estos ataques tenían como objetivo a personas con información delicada o que tienen acceso a la misma. En la actualidad, los hackers recurren a una amplia gama de técnicas y aplicaciones para obtener información personal y profesional y detectar el eslabón más débil en una organización.

“Los resultados de la encuesta muestran que casi la mitad de las empresas encuestadas son conscientes de que han sufrido ataques de ingeniería social. Sabiendo que muchos de estos ataques pasan desapercibidos, debemos tener en cuenta que este es un vector de ataque muy amplio y peligroso que no debe ser ignorado”, señala Oded Gonda, vicepresidente de productos de seguridad de red de Check Point Software Technologies.

Si bien las técnicas de ingeniería social confían en aprovecharse de las vulnerabilidades de una persona, la omnipresencia de la Web 2.0 y las tecnologías móviles también han incrementado las alternativas de cara a acceder a información personal, creando nuevas vías de penetración para la ejecución de estos ataques concretos. Los nuevos empleados (60%) y contratistas (44%), menos familiarizados con las políticas de seguridad corporativas, fueron señalados como los colectivos más susceptibles de convertirse en víctimas de estas amenazas, seguidos por personal de contratas, administrativos, recursos humanos y el departamento de informática.

“A fin de cuentas, las personas son un componte crítico del proceso de seguridad, en tanto y en cuanto son susceptibles ser víctimas de los engaños de los criminales y cometer errores que pueden llevar a infecciones por malware o pérdidas de datos no intencionadas. Muchas organizaciones no ponen suficiente empeño en involucrar a sus usuarios, cuando, de hecho, los empleados deberían ser la primera línea de defensa”, añade Gonda. “Una buena manera de hacer que los usuarios sean más conscientes de su importancia es involucrarlos en el proceso de seguridad, otorgándoles capacidades para evitar y remediar incidentes de seguridad en tiempo real.”

Principales Conclusiones de Informe:

Las amenazas son reales – El 86% de los profesionales informáticos y de seguridad son conscientes o muy conscientes de los riesgos que comportan los ataques de ingeniería social. Aproximadamente el 48% de las empresas encuestadas admite haber sufrido más de 25 ataques en los dos últimos años.

Estos ataques salen caros – Los encuestados cifran entre 18.000 y 73.000 euros el coste de los incidentes de seguridad, teniendo en cuenta costes de disrupción de negocio, retrasos con clientes, pérdida de ingresos y daños de marca.

Las fuentes más comunes de ataques de ingeniería social – Los correos electrónicos de phishing ocupan el primer puesto en el ranking (47%), seguidos de las redes sociales, donde se expone información personal y profesional (39%) y dispositivos móviles inseguros (12%).

El ánimo de lucro es la principal motivación de estos ataques (51%) – seguido por el acceso a información propietaria (46%), la obtención de ventajas competitivas (40%) y la venganza (14%).

Los nuevos empleados son más susceptibles a las técnicas de ingeniería social – Según los encuestados, los nuevos empleados son los más expuestos a estos riesgos, seguidos por los contratistas (44%), secretarios/as de dirección (38%), recursos humanos (33%), altos ejecutivos (32%) y personal informático (23%). Independientemente de su función en la organización, tanto la implementación de programas de formación adecuados, como la concienciación, son componentes críticos en cualquier política de seguridad.

Falta de formación proactiva para evitar los ataques – El 34% de las empresas carece de políticas de seguridad o programas de formación para prevenir que sus usuarios sean víctimas de las técnicas de ingeniería social, si bien el 19% tiene previsto implementarlos.

Para alcanzar el grado de protección que los entornos informáticos modernos demandan, el concepto de seguridad tiene que ampliarse, otorgándole la misma consideración que a cualquier otro proceso efectivo de negocio, en lugar de verla como una mera colección de tecnologías dispares. 3D Security de Check Point ayuda a las empresas a implantar un esquema de seguridad que trasciende la tecnología, educando a los empleados involucrándoles en el proceso. “Así como los empleados cometen errores y son responsables de la aparición de amenazas o vulnerabilidades en la organización, también pueden desempeñar un papel crucial en la mitigación de los riesgos”, añade Gonda. Gracias a la tecnología UserCheck™ de Check Point, las empresas pueden informar y educar a sus empleados acerca de las políticas corporativas a la hora de acceder a la red, los datos y las aplicaciones corporativas—ayudando a las empresas a minimizar la frecuencia, los riesgos y los costes asociados a las técnicas de ingeniería social.

Puede acceder al informe y completar el sondeo online aquí www.checkpoint.com

“La seguridad no es sólo un problema para los administradores informáticos; sino que tiene que ser parte de las funciones de cada perfil profesional. A medida que las amenazas a las que se enfrenta la industria se hacen más sofisticadas y especializadas, la colaboración de los usuarios incrementa el grado de inteligencia y de efectividad de las tecnologías de seguridad,” concluye Gonda.

De acuerdo con un informe de Symantec, los atacantes liberaron más de 286 millones de programas maliciosos diferentes en 2010 y en junio de este año, 1 de cada 286.7 mensajes de correo incluía alguna forma de phishing, mientras que el porcentaje global de virus contenidos en el tráfico de correo electrónico fue de 1 de cada 300.7 mensajes.

La mayoría de los ciberataques tiene como objetivo obtener información crítica de los usuarios y de las organizaciones como los secretos industriales, los planes de productos, y los resultados de investigaciones, entre otros, misma que después puede ser comercializada en el mercado negro.

Además, en promedio, existen aproximadamente 5.415 sitios web que hospedan diariamente software malicioso y otros programas potencialmente no deseados, entre los que se incluye spyware y adware; lo que representa un incremento del 70.8 por ciento comparado con mayo de 2011.

Si hablamos de ataques de phishing por sectores, el sector público fue el más atacado con 1 de cada 83.7 mensajes de este tipo, seguido del sector educativo con 1 de cada 151.4 y el sector financiero con 1 de cada 160.8.

Este escenario ha creado un desafío para las organizaciones que emplean soluciones de seguridad tradicionales basadas en firmas ya que es prácticamente imposible seguirle el ritmo al creciente volumen de ataques. Por ello, y pensando en las necesidades actuales, Symantec anunció Symantec Endpoint Protection 12, la nueva versión de la solución de protección para endpoints de organizaciones de todos los tamaños, disponible para el mercado hispanohablante.

Mes de abril

La intrusión a la red de Sony expuso los datos de 77 millones de usuarios de la popular consola de videojuegos. Además, durante Abril, se verificaron casos de phishing y rogue a través de Skype.

Durante abril, un acceso no autorizado al sistema de Sony expuso los datos de 77 millones de cuentas de usuarios de PlayStation. Entre la información extraída se encontraría nombre, dirección (estado, ciudad y código postal), dirección de correo electrónico, fecha de nacimiento, contraseña y usuario de PlayStation Network y, posiblemente, datos de tarjetas de crédito.

“Dado que todos los usuarios de PlayStation Network han sido afectados, es recomendable cambiar la contraseña y, si desean una mayor seguridad, siempre es factible cancelar la tarjeta de crédito y pedir su reemplazo, ya que es posible que esos datos hayan sido comprometidos y podrían afectar su economía. Por otra parte, la exposición de datos puede hacer que circulen correos fraudulentos, por lo tanto, recuerden siempre verificar la legitimidad de los mismos”, aseguró Federico Pacheco, Gerente de Educación e Investigación de ESET.

Por otra parte, durante Abril, los usuarios de Skype reportaron llamadas no identificadas informando que su equipo había sido atacado por un malware y debían visitar una página web para desinfectar el sistema. Pero en realidad, se trataba de una amenaza denominada vishing, una modalidad de phishing combinada con telefonía de voz sobre IP (VoIP) que hace uso de la Ingeniería Social con el fin de obtener información sensible del usuario, como puede ser número de tarjeta de crédito, PIN, etc.

Al atender la llamada, una voz grabada afirma que el sistema ha sido infectado y que todos los usuarios de Microsoft Windows XP, Vista y 7 se encuentran en situación de riesgo. Por último invita en reiteradas ocasiones a visitar una página web en la que se encuentra una amenaza del tipo rogue, es decir, un falso antivirus que intentará cobrar al usuario por desinfectar su equipo.

“Si bien el usuario que realizó estos ataques ya ha sido reportado, es muy probable que aparezcan nuevos intentos, por lo que se recomienda cambiar la configuración de Skype y habilitar únicamente las llamadas entrantes de usuarios que se encuentran en nuestra lista de contactos. Como queda evidenciado, los ciberatacantes están continuamente explorando nuevos medios para acceder a los usuarios, por lo que es importante mantenerse atentos”, concluyó Sebastián Bortnik, Coordinador de Awareness & Research de ESET.

Fuente: ESET.

Informe de BitDefender

PayPal, eBay, HSBC son las instituciones más suplantadas en este tipo de ataques. China y Rusia alojan la mayoría del malware.

BitDefender ha lanzado su informe sobre el primer semestre de 2010 donde se muestra un importante incremento de los códigos maliciosos que aprovechan plataformas de la web 2.0 para propagarse. Respecto al phishing, el informe señala a PayPal y eBay como las compañías más suplantadas, mientras que Facebook sube hasta la cuarta posición. El volumen del spam farmacéutico ha llegado a representar dos tercios del total del spam detectado entre enero y junio.

Las instituciones financieras fueron el objetivo preferido de los ciberdelincuentes, siendo la entidad suplantada en más del 70% del total de los mensajes de phishing. Las redes sociales también fueron víctimas de un intenso ataque, colocándose Facebook en cuarto lugar. Como los perfiles de los usuarios suelen ser una fuente muy importante de información personal, se han convertido en un objetivo muy importante, dándose el caso que muchos perfiles sufren ataques de phishing para recoger información que luego es usada para nuevos ataques personalizados.

El campeonato del mundo de fútbol y las inundaciones masivas en Guatemala fueron dos de los eventos utilizados para lanzar ataques de Black-Hat SEO (posicionamiento en buscadores con fines maliciosos) que colocaron en los primeros lugares de los buscadores páginas que distribuían malware.

Entre enero y junio el spam creció hasta representar el 86% del total de correos emitidos, debido, sobre todo, al aumento del spam farmacéutico que pasó de representar el 51% del correo basura al 66%.

Los expertos de BitDefender alertan que mientras que los seis primeros meses de 2010 han estado dominados por amenazas convencionales como troyanos y gusanos, varios exploits que atacan aplicaciones populares han ganado terreno rápidamente, tanto en cantidad como en daños producidos. Como se ve ya en el caso de Exploit.Comele.A, las vulnerabilidades “zero-day” (aún no solucionadas por el fabricante), podrían ser usadas con fines que van más allá del robo de identidad o de datos bancarios, para ser usadas en ataques relacionados con la ciberguerra o el espionaje industrial a alto nivel.

“Con Facebook superando los 400 millones de usuarios, la mayoría de los autores de malware se centrará en las plataformas de redes sociales para lanzar sus nuevas creaciones. Algunos de estos ataques se centrarán en trucos de ingeniería social (como el lanzamiento de varias oleadas de malware desde ordenadores comprometidos), mientras que otros intentarán aprovecharse de vulnerabilidades o características de la plataforma”, dijo Catalin Cosoi, Jefe del Laboratorio de amenazas online de BitDefender.

Fuente: BitDefender.

Incremento de un 27%

A la fecha, Symantec ha identificado diferentes tipos de engaños, phishing y spam que contiene archivos adjuntos maliciosos relacionados con el evento deportivo más grande del año.

El spam sobre la Copa del Mundo 2010 de la FIFA se ha incrementado en cerca de 27% de acuerdo con Symantec.

De acuerdo con especialistas de Symantec Security Response en estos días, los usuarios podrían recibir varios tipos de spam, como ofertas para boletos, videos falsos que supuestamente muestran las mejores jugadas pero en su lugar distribuyen malware y ofertas engañosas sobre productos oficiales de la FIFA.

“Nosotros observamos los primeros engaños relacionados con el tema de la Copa del Mundo 2010 hace cinco años, es decir, en 2005, cuando se anunció que Sudáfrica sería la sede del Mundial de Fútbol 2010. Sin embargo, el alto volumen de correos engañosos o falsos se ha incrementado significativamente en los últimos doce meses”, dijo Paulo Vendramini, gerente de Ingeniería de Symantec para América Latina.

Symantec sigue analizando el spam relacionado con la FIFA y ha identificado algunas palabras obvias usadas en los correos (encabezado, contenido, etc.), entre las que se encuentran “FIFA 2010″, “2010 FIFA”, “Football World Cup”, y “FIFA World Cup”.

“Mes a mes el spam ha aumentado conforme se acerca la fecha de inicio del Mundial. Si comparamos el volumen de spam registrado alrededor del tema de la Copa del Mundo de abril a mayo, éste ha aumentado 27%”, dijo Vendramini.

Fuente: Symantec.

Robo de imágenes
Técnicamente la política de Facebook abre la puerta a un aprovechamiento no restringido/ no castigado de la identidad visual.

BitDefender advierte que el robo de imágenes y postales electrónicas parece ser una tendencia creciente entre los ciberdelincuentes, tal y como demostró el caso de una postal navideña de una familia estadounidense robada y usada con fines comerciales.

“Las imágenes son robados en línea por muchas razones, pero sobre todo con fines de lucro”, apunta Catalin Cosoi, BitDefender Senior Researcher. “Usando imágenes robadas de sitios como Facebook, se evitan pagar los cánones habituales por el uso de fotografías con derechos de autor, por ejemplo. Otras razones son la creación de identidades falsas o dar mayor credibilidad a ataques de phishing y spam”.

Entre todas las redes sociales, Facebook destaca por su gran número de usuarios. Precisamente, el no proteger adecuadamente a esa gran cantidad de personas, asegurándoles una adecuada política de privacidad es uno de los aspectos que más se critica de la red social, algo que también se aplica a las imágenes.

Técnicamente la política de Facebook abre la puerta a un aprovechamiento no restringido/ no castigado de la identidad visual como revela el uso abusivo de imágenes de usuarios de Facebook utilizadas en campañas promocionales.

Para preservar la imagen y la identidad, BitDefender ofrece los siguientes consejos:

Evitar subir fotografías
Es una medida drástica, pero es la mejor manera de asegurarse que ninguna imagen va a ser robada.

Chequear las opciones de privacidad
Facebook y otras redes sociales ofrecen varias opciones para restringir el acceso al contenido publicado, incluyendo las fotografías subidas.

Insertar una marca de agua
Otro método de proteger una imagen visual es insertar en las fotografías una marca de agua digital, como un nombre o un logo. Aunque estropea un poco la imagen, puede ser suficiente para disuadir a un ladrón de imágenes.

Usar imágenes de baja calidad y poco tamaño
Subir las imágenes a una resolución de 72 dpi y no exceder el tamaño de 640 x 480 pixeles. Esto frenará a muchos ladrones, ya que esas imágenes no son válidas para carteles, publicidades, etc.

No publicar imágenes individuales o retratos
Las fotos de las personas (tanto adultos como niños) tienen más probabilidades de ser utilizadas con fines comerciales sin el consentimiento de sus dueños que fotos de grupos.

Fuente: BitDefender.