• +693272912
  • informacion@yoince.es

ataques

¿Qué es el Phishing?

Comunicaciones con suplementación de identidad con fines fraudulentos o de extrosión.

Esta semana damos la advertencia sobre el phishing en torno al BBVA. El correo ha podido evitar los filtros anti spam tanto del servidor como del correo electrónico.

Vamos a analizarlo más detalladamente, para así poder identificarlos mejor y evitar que nos suplanten la identidad, con las malas consecuencias que ello trae:

Como podéis ver, el remitente realmente tiene la dirección plazabrasilia@izok.tk. ¿Esto qué significa? Sencillamente, el correo no proviene de una fuente fideligna. De hecho, según nos indica Wikipedia, tk es el dominio de nivel superior geográfico (ccTLD) para el archipiélago neozelandés de Tokelau. Claramente, una acción de phishing.

Si analizamos el texto, no tiene mucho sentido: cambios en la posición global / Conocer No mostrar más, no tiene sentido alguno. Nos llama la atención que el proceso de alta no está activo. Como véis, hay ciertas palabras clave que consiguen llamar nuestra atención y, si estamos despistados y no sabemos muy bien cómo el Banco nos envía los correos, en un vistazo rápido y sin fijarnos, quizás podríamos caer. Estas mismas características son las que no deben hacer sospechar de él.

Además, comprobamos que hay dos enlaces sospechosos. Uno de ellos nos indica que pinchemos ahí, y otro que nos elimina la suscripción. Analicemos los enlaces.

El primero es el peor de todos: “ec2-18-196-84-109.eu-central-1.compute.amazonaws.com/scccccc/?em=meas052332@maianosa.com&key=asdxczx2c13zxc1zxc”. Realmente nos lleva a una dirección que ni por asomo es propiedad del Banco, sino que está alojada en Amazon, a través de una cuenta llamada meas052332@maianosa.com. Definitivamente, esto es un phising en toda regla.

El siguiente enlace no tiene desperdicio: “sistema.izoc.com.br:8085/plazabrasilia/unsubscribe.php?M=10775&C=ff0172d03df8b0f58a590374b0b5be95&L=1&N=194”. Aparentemente nos lleva a un servicio para eliminarnos, pero probablemente tan sólo sea una treta para confirmar nuestra dirección electrónica.

Como aconsejamos a todos nuestros clientes, NUNCA fiarse de correos que no hayamos solicitado antes. Siempre, por precaución, comprobar el verdadero remitente y/o la dirección real de correo electrónico, y antes de abrir cualquier enlace, basta con copiar el mismo y pegarlo en el bloc de notas o cualquier editor de texto para comprobar hacia dónde lleva realmente esa dirección.

Tengamos siempre mucho cuidado cuando pinchamos en enlaces, existen tanto correos como páginas webs que tratan de suplantar la identidad de una tienda, un banco, lo que sea, con tan de conseguir nuestro usuario y contraseña.


El timo de la llamada de “Microsoft”

En los últimos meses hemos recibido llamadas de clientes, los cuales indican que les ha llamado un señor que dice ser de Microsoft indicando que tiene un gravísimo problema de seguridad y que tienen que seguir unos pasos para resolver ese problema.

Revisando en la web de Microsoft, existe este artículo donde son conscientes de este problema y nos indican consejos a tomar en cuenta.

timador telefónico

Desde nuestra experiencia, aquellos que han hecho caso de los consejos de la llamada, han visto cómo su ordenador se ha vuelto inusable ya que no paran de saltar páginas de publicidad constantemente, haciendo inútil el ordenador.

El proceso, como dice la web de Microsoft, es:


Los estafadores pueden llamarte directamente a tu teléfono y aparentar ser representantes de una empresa de software. Incluso puede suplantar el identificador de llamada para que muestre un número de teléfono de soporte técnico legítimo de una compañía de confianza. A continuación, pueden solicitarte instalar aplicaciones que les proporcionen acceso remoto a tu dispositivo. Usando el acceso remoto, estos experimentados estafadores pueden falsificar la salida normal del sistema, haciendo aparecer signos de problemas.

y sus consejos (al igual que el nuestro) es:

  • Microsoft no envía mensajes de correo ni realiza llamadas de teléfono que no hayas solicitado para pedir información personal o financiera, ni para proporcionar soporte técnico para reparar el equipo.
  • Cualquier comunicación con Microsoft deberás iniciarla tú.
  • Si aparece una notificación con un número de teléfono, no llames al número. Los mensajes de error y advertencia de Microsoft nunca incluyen números de teléfono.
  • Descarga software solo desde sitios web de partners oficiales de Microsoft, o desde Microsoft Store. Ten cuidado con la descarga de software desde sitios de terceros, ya que algunos de podrían haberse modificado sin conocimiento del autor, para incluir allí malware de estafas de soporte técnico y otras amenazas.
  • Bloquea los sitios de estafas de soporte técnico conocidos usando SmartScreen de Windows Defender (también usado en Internet Explorer) . En tus navegadores, instala extensiones para bloquear anuncios como ADBlock (y de ese modo sólo verlos en aquellos sites que tú autorices).
  • Activa la protección contra virus en tiempo real de Seguridad de Windows en Windows 10. Detecta y quita el malware de las estafas de soporte técnico conocidas.



Tu Mac va lento? A lo mejor tienes malware instalado.

OSX/MaMi es un nuevo malware en macOS que modifica tus DNS

Es de sobra conocida la creencia que en Apple “no hay virus”. Y si bien es cierto que muchos no hay, también hay que decir que otras variantes tipo malware, spyware, adware, etc… andan a sus anchas. y eliminarlas cuando infectan tu equipo no es nada fácil.

OSX/MaMi es uno de ellos. Se trata de un nuevo malware en macOS capaz de instalar un nuevo certificado raíz y secuestrar los servidores DNS, manipular el tráfico de Internet y redirigirlo a un servidor malicioso controlado por atacantes. De esta forma, un atacante puede robar datos confidenciales del dispositivo, incluidas las credenciales de inicio de sesión y las contraseñas. El malware denominado OSX/MaMi no es particularmente avanzado, pero modifica los sistemas infectados de forma persistente.

El hecho de que instale un nuevo certificado raíz y secuestre los servidores DNS puede provocar acciones nefastas para el usuario. ¿Cómo OSX/MaMi afecta a macOS? Según el expero Patrick Wardle no está claro como el malware infecta un sistema macOS, aunque sí que cree que los atacantes están utilizando métodos como el correo electrónico o pop-ups en ciertas páginas, es decir, ataques de ingeniería social en la web.
OSX/MaMi y el Llavero de MacOS y los certificados
¿Cómo puede un usuario de Mac verificar si su equipo está infectado? Es sencillo. Se puede verificar manualmente si está infectado con OSX/MaMi al acceder a la configuración DNS. Si el DNS está configurado en las direcciones IP 82.163.143.135 y 82.163.142.137, el dispositivo está infectado. Además, ninguno de los 59 antivirus de VirusTotal detectaba el malware, por lo que Wardle recomienda el uso de su software LuLu para detectar el tráfico de red de OSX/MaMi. Se recomienda a los usuarios de Mac a mantener su sistema actualizado, evitar la descarga de aplicaciones y software innecesarios, no hacer clic en enlaces y archivos adjuntos de correos electrónicos desconocidos.
En general, cuando notemos que nuestro equipo va lento, lo mejor es utilizar herramientas anti antivirus y anti malware como Sophos home antivirus o Malware Bytes.

Qué es un keylogger

Consejos para evitarlos

En las últimas semanas han aparecido varias noticias en las web sobre problemas de seguridad informáticos, referente a keylogger.
¿Y qué es eso? Se trata de programas ocultos que registran lo que escribimos. Esta información la pueden almacenar en un archivo o bien enviarla a un tercero a través de la red.

Por otra parte, también existen programas que instalamos a propósito para registrar todo aquello que escribimos. Estos pueden ser herramientas de técnicos especializados que son necesarias por el motivo que se haya estipulado.

Como supondrás, si registra todo lo que tecleamos… también guarda nuestros usuarios y contraseñas. Si esa información se envía… voilá! ya tenemos la información necesaria para usurpar las cuentas de otra persona.

Vale. ¿Y cómo lo detecto?
Lo primero de todo, es muy importante tener un antivirus que se mantenga actualizado. Como en la actualidad, todos bien de la misma fuente de virus, lo único que nos hace decidir por uno u otro es el valor añadido que tengan.
Otras maneras es cuando en ciertas cuentas de correo, como las de Google o Yahoo, detectan un intento no autorizado de acceso a la cuenta desde algún lugar en el que no has estado. Entonces, deben correr las voces de alarma, y poner en marcha todas las herramientas posibles para detectarlo.

Algunas de las últimas alarmas han surgido precisamente por los drivers de grandes fabricantes, como Lenovo o HP. HP encontró un keylogger en los drivers de audio de su modelo Elitebook 840 G3, y recientemente se ha vuelto a detectar en más de 480 modelos de portátil.

 

 

tizi

Google detecta spyware en Android

El spyware es conocido como Tizi,  el cual espía sobre las llamadas realizadas en Skype o Whatsapp.

¿Qué es Tizi?

Tizi es una puerta trasera que instala spyware para robar datos sensibles de las redes sociales más populares. El equipo de seguridad Google Play Protect descubrió esta vulnerabilidad el pasado mes de septiembre.

¿Cómo funciona?

El desarrollador de Tizi ha creado tanto una página web como ha usado redes sociales para que instales su app desde Google Play y fuentes de terceros.

Donde más ha afectado este vulnerabilidad ha sido en Kenia y otros países africanos, siendo un ratio bastante pequeño el grado de alcance en el resto del mundo (menos de un 5%)

Se han determinado varias versiones, pero el funcionamiento es muy semejante: tras conseguir permisos de root, Tizi roba información personal de redes sociales como Facebook, Twitter, Instagram, Viber, Skype, Linkedin, Telegran, Whatsapp… Normalmente primero contacta con sus servidores de control y comandos enviando un SMS con las coordenadas GPS a un número determinado. Los siguientes comandos son enviados a través de navegación segura normal (https), aunque en algunas versiones, Tizi usa el protocolo de mensaje MQTT con un servidor propio. La puerta trasera contiene varias capacidades comunes al spyware comercial, como grabar llamadas de whatsapp, viber y skype, enviar y recibir SMS, así como acceder a los eventos del calendario, registro de llamadas, contactos, fotos, claves de Wi-Fi, y una lista de todas las apps instaladas.

También puede grabar el audio ambiente y tomar fotos sin que se muestre la imagen en el dispositivo.

Todas las vulnerabilidades a las que afecta corresponden a viejos chipsets, dispositivos y versiones de Android. Estas vulnerabilidades están parcheadas mediante un parche de abril de 2016 o posterior, y la mayoría de ellas ya lo estaban anterior a esta fecha.

Si aún así, Tizi se instala en el dispositivo, intentará tomar el control pidiendo permiso, e tratará de enviar y recibir mensajes SMS, así como monitorizar y/o redirigir las llamadas

información obtenida  en thehackernews y blog de seguridad de Google.

https://thehackernews.com/2017/11/android-spying-app.html

https://security.googleblog.com/2017/11/tizi-detecting-and-blocking-socially.html

 

 

Vulnerabilidad encontrada en las impresoras HP Enterprise

Esta vulnerabilidad permite ejecutar código aleatorio remotamente.

Como recoge la web the hacker news, se ha encontrado una vulnerabilidad de seguridad que afecta a 54 modelos de impresoras HP Enterprise, el cual permitiría que los atacantes pudiesen ejecutar código arbitrario en las mismas remotamente.

El fallo, descubierto por investigadores de FoxGlobe Security, la han llamado CVE-2017-2750. Está registrada como 8.1. en la escala CVSS (la cual es alta) es debido a partes de validación insuficientes de las DLL las cuales permiten la ejecución del código.

En cuanto HP ha añadido los mecanismos necesarios, tras actualizar el firmware de sus dispositivos, los investigadores fueron incapaces de conectar remotamente, por lo que se ruega actualizar el firmware de los mismos, que afecta a modelos Enterprise de Laserjet, PageWide y OfficeJet.

 

12

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continua navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información

POLITICA DE COOKIES

Cookie es un fichero que se descarga en su ordenador al acceder a determinadas páginas web. Las cookies permiten a una página web, entre otras cosas, almacenar y recuperar información sobre los hábitos de navegación de un usuario o de su equipo y, dependiendo de la información que contengan y de la forma en que utilice su equipo, pueden utilizarse para reconocer al usuario.. El navegador del usuario memoriza cookies en el disco duro solamente durante la sesión actual ocupando un espacio de memoria mínimo y no perjudicando al ordenador. Las cookies no contienen ninguna clase de información personal específica, y la mayoría de las mismas se borran del disco duro al finalizar la sesión de navegador (las denominadas cookies de sesión).

La mayoría de los navegadores aceptan como estándar a las cookies y, con independencia de las mismas, permiten o impiden en los ajustes de seguridad las cookies temporales o memorizadas.
Sin su expreso consentimiento –mediante la activación de las cookies en su navegador– Yoince no enlazará en las cookies los datos memorizados con sus datos personales proporcionados en el momento del registro o la compra..

¿Qué tipos de cookies utiliza esta página web?

Cookies de terceros: La Web de Yoince puede utilizar servicios de terceros que, por cuenta de Yoince, recopilarán información con fines estadísticos, de uso del Site por parte del usuario y para la prestacion de otros servicios relacionados con la actividad del Website y otros servicios de Internet.
En particular, este sitio Web utiliza Google Analytics, un servicio analítico de web prestado por Google, Inc. con domicilio en los Estados Unidos con sede central en 1600 Amphitheatre Parkway, Mountain View, California 94043. Para la prestación de estos servicios, estos utilizan cookies que recopilan la información, incluida la dirección IP del usuario, que será transmitida, tratada y almacenada por Google en los términos fijados en la Web Google.com. Incluyendo la posible transmisión de dicha información a terceros por razones de exigencia legal o cuando dichos terceros procesen la información por cuenta de Google.

El Usuario acepta expresamente, por la utilización de este Site, el tratamiento de la información recabada en la forma y con los fines anteriormente mencionados. Y asimismo reconoce conocer la posibilidad de rechazar el tratamiento de tales datos o información rechazando el uso de Cookies mediante la selección de la configuración apropiada a tal fin en su navegador. Si bien esta opción de bloqueo de Cookies en su navegador puede no permitirle el uso pleno de todas las funcionalidades del Website.

Puede usted permitir, bloquear o eliminar las cookies instaladas en su equipo mediante la configuración de las opciones del navegador instalado en su ordenador:

Si tiene dudas sobre esta política de cookies, puede contactar con Yoince en informacion@yoince.es

Cerrar