Tal y como indica el título del artículo, la Guardia Civil y la compañía estadounidense Amazon (dedicada al comercio on-line) han sufrido un intento de suplantación. En ambos casos se ha utilizado su nombre para obtener un beneficio, el obtener información confidencial tanto personal como profesional.

Vamos a describir de un modo más detallado en que ha consistido y consiste este intento de suplantación de la Guardia Civil (indicar que la Guardia Civil española es un Instituto Armado de naturaleza militar que forma parte de las Fuerzas y Cuerpos de Seguridad del Estado).

Este ataque consiste en que en nuestro buzón de correo personal recibimos un mensaje remitido desde info@sede.guardiacivil.gob.es y con asunto “comunicacion e inspecciones”, si observamos el dominio desde el que viene, guardiacivil.gob.es, cobra mucha credibilidad, por lo que nosotros, asustados y pensando en el que habremos hecho, abrimos el correo. (Como información decir que esta técnica de suplantación del remitente se llama spoofing).

Bien, comenzamos a leer el texto del correo y observamos que es un texto un tanto complejo de leer, el motivo es por lo mal redactado que está, lo cual si utilizamos el “filtro del sentido común” nos debería hacer que empezásemos a sospechar.

El correo trae un fichero adjunto, en el que se supone se indica la multa o la denuncia correspondiente. Por lo que vamos a proceder a la descarga del adjunto, pero cuando se va a realizar la descarga del fichero es cuando ya hemos de darnos cuenta de lo que sucede, ya que en caso de tratarse de un documento el archivo debería ser un “.doc“, “.pdf” o similar, pero en este caso se trata de un “.exe“. Al tratarse de un fichero ejecutable deberemos de darnos cuenta de que ese fichero no es un documento y que por lo tanto puede contener código malicioso.

Y efectivamente, si seguimos sin utilizar el “filtro del sentido común” y descargamos el fichero y lo ejecutamos, nuestro sistema será infectado por un código malicioso, al que las soluciones de seguridad de ESET detectan como un troyano Win32/TrojanDownloader.Banload.PFI. Cuando se haya ejecutado comenzará a descargarse archivos con el fin de robar información confidencial como son: usuarios, contraseñas y direcciones de correo.

En el caso de Amazon, también se inicia el proceso con la recepción de un correo electrónico. En este caso también se recibe el correo desde una dirección aparentemente oficial “auto-confirm@amazon.com“. Por lo que también podríamos darle cierta credibilidad al correo en caso de haber realizado alguna compra en Amazon, por lo que lo abrimos.

Tras abrirlo se observa que es un correo dirigido y personalizado hacia nosotros, y se refiere a una compra de software realizada en Amazon, aquí ya nos deberíamos dar cuenta de que algo ocurre, ya que no hemos realizado ninguna compra. En el caso de que hayan realizado alguna compra observaran que el correo suplantado es bastante fiel al contenido de un correo real de compra. Pero nada más lejos de la realidad, ya que si accedemos a cualquier enlace que nos indica en el correo nos dirigirá a un sitio web de mala reputación, al que posiblemente nuestro navegador antes de acceder nos lo indicará.

En el sitio al que nos dirige se venden programas y sistemas operativos a un precio realmente bajo, pero claro si realizamos una compra, deberemos introducir nuestros datos bancarios por lo cual estos datos habrían sido facilitados a bandas criminales.

En conclusión, si recibimos un correo en el que se nos habla de una compra que jamas hemos realizado eliminen directamente el mensaje. Si recibimos un correo “oficial” de cualquier entidad en el que se nos adjunta un documento deberemos comprobar la extensión del mismo, así como remitente, asunto y cuerpo. Indicar que un documento adjunto también podría incluir código malicioso.

Fuentes: Ontinet, Segu Info

El Observatorio de la Seguridad de la Información de INTECO hace públicos los resultados del Estudio sobre el fraude a través de Internet (Informe anual 2009).

Este informe ofrece la evolución trimestral a lo largo de 2009 de los resultados sobre fraude online y e-confianza obtenidos a través de nuestro Panel de hogares internautas. Y a su vez constituye el primero de una serie de informes trimestrales.

De este modo, estos diagnósticos periódicos permitirán realizar un seguimiento del fenómeno del fraude online desde el punto de vista de los usuarios en España, obteniéndose la percepción de los internautas sobre el fraude online, su e-confianza sobre los servicios de la Sociedad de la Información, la tipología de las técnicas de engaño empleadas, el porcentaje de intentos fraudulentos fallidos y con éxito, el impacto económico sufrido y la respuesta de las víctimas, por poner algunos ejemplos.

Aquí se puede leer el informe completo

Fuente: INTECO

Hoy en día, los cibercriminales prefieren pasar desapercibidos y están, sigilosamente, tomando el poder de las páginas Web más vulnerables, como parte de un complejo proceso en la economía sumergida.

Symantec ha publicado su informe bianual sobre las actuales amenazas de Internet y en él aparecen algunos datos más que relevantes. Una de las tendencias que ha constatado ha sido el cambio en la motivación de los hackers. “Han pasado de realizar intentos de ataques para conseguir mayor notoriedad a realizar actividades verdaderamente delictivas y a cometer fraude”, explica Grant Geyer, vicepresidente de Symantec Managed Security Services.

Pero, ¿cómo están trabajando hoy en día los cibercriminales? ¿Y qué necesitamos saber sobre cómo estar al día en lo que se refiere a estrategia de seguridad? Aquí ofrecemos algunas pinceladas sobre las últimas noticias en lo que a actividad maliciosa en la Web se refiere.

Los botnets encabezan las actividades de los hackers. Los últimos datos recogidos por Symantec confirman que la Web es actualmente una herramienta integral para aquellos criminales que buscan hacerse con dinero de manera fraudulenta. Los sistemas infectados por malware son utilizados como parte de una red de robots que se emplean en toda una batería de propósitos inapropiados.

“Los bots o robots, pueden hacer ataques de denegación de servicio, pueden ser utilizados para mandar spam, para enviar datos de phising, en definitiva, pueden utilizarse para multitud de propósitos delictivos. Estamos viendo cada vez más que, tanto corporaciones como usuarios finales, están siendo atacados por bots con propósitos maliciosos”, aclara Geyer.

Tal y como confirma Geyer, los bots están siendo utilizados como un modelo de negocio, parte de la economía sumergida que funciona y está organizada como cualquier gran corporación. “Si quieres tener acceso, si quieres que una de estas redes mande un mensaje de spam, puedes comprar tiempo en ellas, incluso tienen tarifas establecidas. Las redes bot también son utilizadas para robar datos confidenciales. De hecho, los números de las tarjetas de crédito se venden on-line. Y también hay precios de mercado establecidos para este negocio”.

Mientras que los primeros hackers querían hacer mucho ruido atacando a cuantos más equipos mejor, mostrando su ingenio e inteligencia a la hora de hacer caer una red, hoy en día, los criminales no desean ser conocidos. Sus ataques son realizados de un modo metódico y cauteloso.

“Cuanto más sigilosa y precavido seas a la hora de hacerte con los sistemas, menos posiiblidades tienes de que te atrapen. Si no te cogen, puedes utilizar los sistemas de los que te has apropiado para utilizarlos para toda una batería de propósitos”.

Geyer ha comentado que las páginas Web de los Estados Unidos están sistemáticamente en el objetivo de los ataques mundiales. China es normalmente el segundo y muchos países de Europa del Este están entre los diez primeros.

En los primeros años de la publicación del informe, el número de vulnerabilidades en los sistemas operativos y en el software se incrementaba anualmente. Las buenas noticias es que esto ha empezado a cambiar en los últimos 18 meses, según aclara Geyer. Los fabricantes se han hecho más proactivos sobre los parches de seguridad. Sin embargo, el otro lado de la moneda es que los hackers han adoptado otras técnicas con las que aprovecharse de los sistemas y se están centrando en vulnerabilidades más específicas de las páginas Web.

“Este tipo de vulnerabilidades son un problema mucho más difícil de resolver”, tal y como explica Geyer, “no puedes simplemente enviar un parche y proteger así a todo el mundo si es problema es específico del sitio Web”. Las grandes empresas eran el objetivo principal de estos ataques hace una década, pero ahora, el usuario final es el blanco de sus ataques. Las páginas Web de phishing están creciendo exponencialmente, como también lo hacen nuevas variantes de malware.

“En los últimos 18 meses, el incremento es simplemente asombroso. Se están lanzando muchos ataques y las empresas están pasando por unos tiempos difíciles. Mucho de esto es la misma pieza de malware que está siendo cambiado para convertirse en una variante de otras piezas ya antiguas. Esto simplemente muestra lo sencillo que es escribir malware y cómo existe un beneficio económico en todo esto. Está mostrándose como un buen modelo de negocio para la gente que se mueve en la economía sumergida”, concluye este responsable.

Fuente: PC World

nerion informa que varias entidades registrantes estan siendo falseadas por ataques de phising

nerion informa del establecimiento de un procedimiento de colaboración entre Red.es e INTECO para luchar contra el phising.

Dentro de la colaboración entre Red.es e INTECO en la lucha contra la presencia de actividades fraudulentas bajo dominios .es, y tras detectar algunas posibles mejoras para favorecer la coordinación con la labor de los Agentes Registradores en estas actuaciones, os informamos del procedimiento establecido para luchar contra el fraude:

* Siempre que se detecte un posible caso de phishing, los usuarios pueden remitir el caso a INTECO, a través del buzón de correo electrónico fraude@cert.inteco.es. Una vez recibida la información en INTECO y, una vez caracterizado el caso, INTECO contacta con todas las entidades implicadas para facilitar la detección temprana del phishing de forma que cada agente tome las medidas que estime oportunas y, según lo establecido en el Protocolo .es, comunica a Red.es el caso a efectos de iniciar un procedimiento de cancelación de oficio respecto a los nombres de dominio afectados.

* Las denuncias a las Fuerzas y Cuerpos de Seguridad del Estado (FSCE), las han de presentar los afectados, indicándoles INTECO el procedimiento a seguir. No obstante, INTECO colabora con las FSCE proporcionando información complementaria a sus investigaciones cuando así lo requieren.

* Red.es no tiene atribuidas más competencias que las señaladas anteriormente para actuar contra casos de phishing, ya que se trata de una modalidad de estafa, delito tipificado en el Código Penal, por lo que es la jurisdicción penal la que tiene atribuidas mayores competencias al respecto.

* Dicho procedimiento tiene por objeto bloquear el nombre de dominio durante el transcurso del mismo y comprobar si se está produciendo un incumplimiento de las condiciones de asignación y de uso del nombre de dominio bajo .es, emitiéndose Resolución estimatoria o desestimatoria. Si la Resolución es estimatoria, se cancela el nombre de dominio a su titular, quedando en situación de libre asignación.

* Una vez recibida en Red.es la comunicación de uno o varios casos de phishing contenidos en páginas web bajo el código de país .es, la Autoridad de Asignación inicia, en vía administrativa, un procedimiento de cancelación de oficio, regulado en el Capítulo V de la Instrucción del Director General de la entidad pública empresarial Red.es, por la que se desarrollan los procedimientos aplicables a la asignación y a las demás operaciones asociadas al registro de nombres de dominio bajo el .es.