bsod

Phishing: Banco de Venezuela / Grupo Santander

Posted by myself - 11/08/08 at 08:08:41 am

Ya me extrañaba que no se aprovecharan de la crisis Chávez / Banco de Venezuela.

Por favor, hagan caso omiso de cualquier correo de Actualización de datos de cualquier banco. Cuando deban actualizar sus datos, hagánlo directa y personalmente en las oficinas y sucursales.

Estimado(a) Cliente.
Reciba un cordial saludo de parte del Banco de Venezuela/Grupo Santander, le informamos que se esta elaborando una actualizacion de nuestras bases de datos debido a problemas internos con la institucion el dia 10/08/08 bajo el número de ticket 21441007, a través de Cl@venet Empresarial. Le agradecemos actualice sus datos de la manera mas rapida posible haciendo click AQUI ó ingresando por la pagina web http://www.bancodevenezuela.com

Si usted todavía no es parte de nuestro grupo de clientes afiliados a Cl@venet Empresarial, lo invitamos a afiliarse ahora mismo, para que comience a disfrutar de todas las comodidades de la banca mas poderosa del mercado, donde podrá: consultar el saldo en linea de sus cuentas, cheques devueltos, detallar las transferencias recibidas, realizar sus transacciones financieras tanto dentro del Banco de Venezuela/Grupo Santander como hacia otros Bancos, ademas de otros servicios adicionales.

Gracias por preferir los productos y servicios del Banco de Venezuela/Grupo Santander y recuerde visitarnos en nuestra Página Web: http://www.bancodevenezuela.com
Para más información puede comunicarse a través de nuestro Centro de Contacto Cl@venet por el Master (0212) 4093288 de Lunes a Domingo de 8:00 a.m. a 10:00 p.m. o por el correo clavenet_empresarial@clavenet.banvenez.com

Atentamente,

Cl@venet Empresarial Banco de Venezuela / Grupo Santander
Premio Global Finance 2005. Mejor Internet Banking para Empresas

¿Por qué es phishing?

Este correo es un engaño, a pesar de poseer el logo en el encabezado y provenir de una cuenta de correo aparentemente válida. Al pasar el raton sobre los vínculos (sin hacer click) podrán notar que la dirección de destino que se muestra en la barra de estado de su navegador no coincide con la que se muestra en el correo.

En español: Al hacer click sobre “http://bancodevenezuela.com” estarán siendo enviados a una dirección diferente. En este caso en específico, a una IP: http://190.78.172.*7/

Duden de cualquier correo que envíe un banco, más cuando pide actualización de datos. Ningún banco que se respete pedirá actualización o verificación de datos por medio de correo electrónico -o por vía telefónica.

¿Cómo mostrar la barra de estado?

Aunque por defecto IE y Firefox suelen traer visible la barra de estado, algunos usuarios pueden tenerlas ocultas en sus equipos. La manera más sencilla de mostrarla es haciendo click en el menú VER > Barra de Estado, en los dos navegadores. Con la barra activa, podrán visualizar el vínculo real antes de hacer click con el ratón.

Otro phishing [Phishing de hoy: Banesco-en-linea-com ]

El mundo real: El tigre que no rugía

Posted by myself - 02/07/08 at 09:07:43 am

Como dicen los españoles, no tiene desperdicio.

Zhou Zhenglong había devuelto el tigre del sur de China a la faz de la Tierra. Con su cámara digital tomó la instantánea de uno de ellos descansando tras unos arbustos.

Sí, es posible hacer pasar un sitio web como verdadero y robarte dinero y contraseñas, ¿por qué no intentarlo con un afiche?

Mi PC o espíritu

Posted by myself - 08/04/08 at 09:04:27 am

(O de mi derecho a mantener mi PC como me de la gana)

Haciendo gala de un cinísmo magistral y aprovechandome de un tema que realmente considero serio (deberían leerlo y comentar), veo como es fácil cercenar la capacidad humana para tomar decisiones.

Entiendo que somos tontos, porque lo somos. Queda demostrado al absurdo. Algo que siempre pensé que quizá podría ser lógico acaba de ocurrir, pero me parece ahora tan absurdo que vale la pena comentarlo y es que:

La Asociación de la Banca Británica (BBS) ha publicado un código (que ha entrado en vigor el pasado 31 de marzo) que responsabiliza de posibles pérdidas en sus cuentas de banca electrónica a los usuarios que actúen de forma fraudulenta, pero también a todos aquellos que no observen un “cuidado razonable” (punto 12.11).

Bien. Entiendo que es factible que la negligencia de un usuario sea la causa de muchos de sus males. Entiendo la imposibilidad de cualquier empresa u organismo (llámese de seguridad, bancaria, estatal, etc.) para evitar que sitios fraudulentos y cibercriminales roben su identidad corporativa, ingresen códigos por inyección, aprovechen vulnerabilidades, etc., para cometer actos lascivos.

Me pregunto, cómo harán para demostrar de ahora en más que un usuario es o fue negligente. Me pregunto, además, si su personal será enteramente capacitado para hacer un seguimiento correcto a estos asuntos de phishing. Será siempre muy fácil decirle al usuario “si no tienes cortafuegos, antivirus, buscaminas y spyware, es culpa tuya”. Y el usuario menos capacitado tiene todas las de perder -será que lleve su PC al banco.

No veo muy lógico forzar al usuario a ciertas cosas que se han probado no son útiles contra el phishing. ¿Antivirus? ¿Antispyware? No siempre funcionan.

Ahora, ser ignorante puede ser casi un delito. Maravilloso.

Y pensar que ahora, tenemos también, troyanos bancarios con gustos sexuales bastante peculiares ; D

Más [Kriptópolis: Los bancos británicos se aseguran contra el phishing: cargarán las pérdidas a los usuarios de sistemas inseguros ]

Más [ Hispasec: Troyanos bancarios luchando por la libertad sexual... ]

Phishing: Gmail

Posted by myself - 07/06/07 at 06:06:00 pm

Algunos usuarios han reportado la aparición de un correo en sus buzones que pide introducir su nombre de usuario y contraseña para "activar su cuenta" debido al aumento del "spam".

 

 

 

Phishing: Paypal

Posted by myself - 07/06/07 at 09:06:47 am

Atención usuarios de Paypal. Un correo con el siguiente contenido -en inglés- está siendo enviado masivamente en las últimas semanas: 

PayPal is committed to maintaining a safe environment for its community of customers. To protect the security of your account, PayPal employs some of the most advanced security systems in the world and our anti-fraud teams regularly screen the PayPal system for unusual activity.

We are contacting you to remind you that on 10 April 2007 our Account Review Team identified some unusual activity in your account. In accordance with PayPal's User Agreement and to ensure that your account has not been compromised, access to your account was limited. Your account access will remain limited until this issue has been resolved.

To secure your account and quickly restore full access, we may require some additional information from you for the following reason:

We have been notified that a card associated with your account has been reported as lost or stolen, or that there were additional problems with your card.


This process is mandatory, and if not completed within the nearest time your account or credit card may be subject for temporary suspension.

To securely confirm your PayPal information please click on the link bellow:

We encourage you to log in and perform the steps necessary to restore your account access as soon as possible. Allowing your account access to remain limited for an extended period of time may result in further limitations on the use of your account and possible account closure.

For more information about how to protect your account please visit PayPal Security Center. We apologize for any incovenience this may cause, and we apriciate your assistance in helping us to maintain the integrity of the entire PayPal system.

Thank you for using PayPal!
The PayPal Team 

 

El correo incluye el logo de Paypal y como puede notarse en la imagen, el vínculo mostrado realmente conduce a otro sitio disfrazado con el nombre de paypal, pero como parte de un subdominio de 2hostnet.com 

El encabezado del correo es

From: service @ int. paypal. com <accounts@service.com >
Date: 06-jun-2007 15:58
Subject: restore your account access
To:—

 

Gracias Nico 

 

 

www.quienteadmite.com otro sitio que te dice quien te ha bloqueado en su Messenger

Posted by myself - 04/06/07 at 11:06:03 am

 

 

 Sobre www.quienteadmite.com:

El segundo sitio en semanas dedicado a "informarte" de quienes te han bloqueado en su MSN Messenger,

www.quienteadmite.com

www.noadmitido.net

De más está decir, que es un sitio fraudulento.

 

La imagen en la parte superior muestra la acción de mi filtro antiphishing. El sitio no informa de los contactos que te tienen bloqueado, sólo se interesa por robar contraseñas de personas incautas.

El sitio se encuentra en el listado de sitios maliciosos de Phishtank. 

Phishing GrupoSantander.es

Posted by myself - 03/06/07 at 11:06:27 pm

From: “GrupoSantander.es” <admin@gruposantander.es>
Subject: Estimado Cliente de GrupoSantander.es

Con vínculo a los siguientes sitios:
http://ns1.sakaweb.com/~josetteb/es/gruposantander.es/cliente/personas.htm
http://ns1.sakaweb.com/~josetteb/es/gruposantander.es/cliente/empresas.htm

Desde [ cisrt.org : Phishing spams from GrupoSantander.es ]

PC Security Test: Prueba tu Antivirus y Firewall

Posted by myself - 09/05/07 at 09:05:08 am

Leo en el sitio oficial de PC-Security Test:

PC Security Test 2005 es un software gratuito que permite controlar la seguridad de un PC y su protección contra los virus, los spywares y las intrusiones (hacking). Con tan sólo un par de clics, el usuario puede controlar la eficacia de sus sistemas de protección de una manera fácil y rápida (antivirus, antispyware, firewall). Además de simular la intrusión y el comportamiento de virus, spyware y ataques, PC Security Test controla las reacciones de sus sistemas de protección. Al final de la prueba, PC Security Test calcula un índice de protección que refleja el nivel de seguridad del ordenador.

 

Suena prometedor, hasta que veo que la última fecha de actualización es de finales de 2005. Escéptico, descargo el programa y ejecuto las pruebas con resultados desalentadores: 

El antivirus no logra detectar el 75% de los intentos de infección. La protección contra Spywares es nula y el único que sale bien parado es el Firewall con 100% de eficiencia.

 

Imagen 1-3. Bienvenida al programa, selección y descripción de las pruebas (leer cuidadosamente).

 

 

 

Imagen 4-5. Ejecución de las pruebas. 

Al inicio ZoneAlarmPro detecta un intento de acceso a la red. La prueba de Hacking -control y rastreo de puertos- requiere de acceso a la red. Razón por la que acepto el acceso y la prueba continúa.

Posteriormente comienza la prueba de Antivirus. Curiosamente, el antivirus no es capaz de detectar que una aplicación dudosa intenta escribir en el registro un programa de inicio. El Firewall la detecta y pregunta si deseo permitir su ejecución. En este punto pude haber decidido bloquear la ejecución de esta tarea, pero el antivirus ya había fallado así que decidí permitirla.

 

 

Imagen 6-7. Nod32 detecta la prueba Eicar -sobre la que ya he hablado en bolsanegra- y muestra una alerta. No es capaz de detectar la simulación de virus. El firewall no alerta sobre la ejecución de un programa no autorizado desde la aplicación en ejecución. 

 

 

Imagen 8. Resultados.

El firewall pasa correctamente ambas pruebas. En una configuración básica, ZAPro se supone que provee suficiente seguridad como para pasar ambas pruebas con éxito y sin problemas.  

El antivirus falla el 75% de las pruebas -Escritura de registro y ambas pruebas de simulación de virus. Sin embargo, el resultado real pudo ser 50% si hubiese decidido bloquear el acceso al registro desde la alerta del firewall (imagen 5)

La detección de Spyware es nula y el resultado es de esperarse ya que no poseo programas activos y residentes en memoria que eviten este tipo de 'ataques'. ZAPro provee con un motor antispyware que básicamente detecta cookies, escanea archivos entrantes vía cliente de correo -emails-, y verifica sitios web marcados como potencialmente peligrosos.

 

La razón por la que mantengo la configuración básica en Firewall y Antivirus y no poseo ningún elemento activo contra Spyware, es porque realizo un experimento a largo plazo. 

 

¿Por qué el Firewall detecta virus?

Realmente no lo hace. Zone Alarm Pro, viene con una característica que permite alertar sobre acciones que realizan los programas y que pueden ser peligrosas:

1. Escritura de llaves en el registro o cambios en el registro.
2. Intento de monitorear movimientos del ratón y teclas presionadas (acciones típicas de Keyloggers)
3. Intento de conexión a la red por programas no autorizados explícitamente (como un navegador que posee los derechos para conectarse). 

 

Sitio de PC-Security Test

Descarga [Oficial] [bolsanegra] 

Las 10 maneras más comunes de ser víctima en la red

Posted by myself - 01/05/07 at 03:05:16 pm

Mientras veo un slideshow de Jim Rapoza "12 maneras de ser un idiota en seguridad", en eWeek Magazine, encuentro el listado de las 10 maneras de hacer fraude en línea.

 

• 1. Fraudes en subastas.
  Después de enviar el dinero en que se ha adjudicado la subasta, se recibe un producto cuyas características no se corresponden con las prometidas, e incluso un producto que no tiene ningún valor.
• 2. Timos de ISP (Proveedores de Servicios de Internet)
  Es bastante frecuente que los clientes poco expertos suscriban contratos on-line sin haber leído el clausulado, por lo que pueden encontrarse amarrados a un contrato de larga duración del que no pueden salir si no es pagando fuertes penalizaciones por rescisión anticipada. Otro caso frecuente es que los ISP que registran nombres de dominio lo hagan a su propio nombre, para así tener enganchados a los clientes que no pueden abandonar su servicio porque perderían su nombre de dominio.
• 3. Diseño/Promociones de sitios web
  Suelen producirse cargos inesperados en la factura del teléfono por servicios que nunca se solicitaron ni contrataron.
• 4. Abuso de tarjetas de crédito
  Se solicita el número de la tarjeta de crédito con la única finalidad de verificar su edad, y posteriormente se le realizan cargos de difícil cancelación.
• 5. Marketing Multinivel o Redes Piramidales
  Se promete hacer mucho dinero comercializando productos o servicios, ya sea uno mismo o los vendedores que nosotros reclutamos, pero realmente nuestros clientes nunca son los consumidores finales sino otros distribuidores, con lo que la cadena se rompe y sólo ganan los primeros que entraron en ella.
• 6. Oportunidades de Negocio y Timos del tipo “Trabaje desde su propia casa”
  Se ofrece la oportunidad de trabajar desde el hogar y ser su propio jefe enseñando unos planes de ingresos muy elevados. Claro que para empezar es necesario invertir en la compra de alguna maquinaria o productos que jamás tienen salida.
• 7. Planes de Inversión para hacerse rico rápidamente
  Promesas de rentabilidades muy altas y predicciones financieras con seguridad absoluta sobre extraños mercados suelen encubrir operaciones fraudulentas.
• 8. Fraudes en viajes o paquetes vacacionales
  Consiste en vender viajes y alojamientos de una calidad superior al servicio que realmente le prestarán en su destino, y también pueden cargarle importes por conceptos que no se habían contratado.
• 9. Fraudes telefónicos
  Un sistema bastante extendido en los sitios de sexo consiste en pedirle que se baje un programa y lo instale en su ordenador para que le permite entrar gratuitamente en la web. Pero lo que sucede es que, sin que usted lo sepa, el programa marca un número internacional de pago (tipo 906 en España) a través del cual se accede a la web, por lo que mientras usted se divierte viendo fotos y vídeos su factura telefónica se incrementa a velocidad de vértigo.
• 10. Fraudes en recomendaciones sanitarias
  Recetas milagrosas para curar cualquier enfermedad se encuentran frecuentemente en la Red, la mayoría de ellas sin ningún respaldo médico o control de autoridades sanitarias, por lo que aparte de ser una estafa, ya que no producen los resultados prometidos, pueden incluso suponer un riesgo adicional para la salud del enfermo.

 

Nada más por agregar.

Por ahora.

 

Desde [ MiProyectoWeb.com : Las 10 estafas más frecuentes en Internet ]

 

Posible Vulnerabilidad en Firefox-Opera : IFRAME - OBJECT

Posted by myself - 26/03/07 at 12:03:03 pm

Nico, de ZonaFirefox me escribe que ha encontrado un fallo de seguridad en Firefox y Opera. Una vulnerabilidad -aparentemente no descrita- o, si ha sido descrita, no resuelta para Firefox y Opera que permite el salto del filtro antiphishing mediante el uso de un script o mediante el uso de las etiquetas iframe. 

El script en cuestión es:

function framejack(url) {var ifr = document.createElement('iframe');ifr.src= url;

document.body.scroll = 'no';document.body.appendChild(ifr);

ifr.style.position = 'absolute';ifr.style.width = ifr.style.height = '100%';ifr.style.top = ifr.style.left = ifr.style.border = 0;}

 

Analizando un poco, se trata simplemente de un script que permite insertar una página dentro de otra a 100% del ancho y largo de la ventana.

Peor aún, usando la etiqueta IFRAME se logra similar efecto: Los filtros antiphishing ni los Addons antiphishing (Phishtank Sitechecker, McAfee SiteAdvisor, Google Toolbar) detectan los sitios alterados (PRUEBA1 - PRUEBA2 - SitioMalicioso). 

Yendo más allá, me puse a investigar sobre el uso de la etiqueta OBJECT para insertar una página web usando CSS para lograr que ocupe todo el tamaño de la ventana. Opera y Firefox mostraron el sitio web malicioso sin mostrar advertencia, y las pruebas manuales de verificación resultaron igual de infructuosas.

El código que utilicé fue:

<object type="text/html" classid="http://webmail.interhk.net/B05002/index.htm" data="http://webmail.interhk.net/B05002/index.htm"></object> 

Y puede ser probado en este vínculo. 

Internet Explorer 7 es el único navegador aparentemente invulnerable al uso de etiquetas IFRAME y OBJECT para mostrar un sitio malicioso. En el caso de OBJECT, IE7 parece no dar soporte a la carga de una página web dentro de esta etiqueta, razón por la cual no carga la página.

Se trata de dos etiquetas básicas de HTML -yo no probé el uso de un script para demostrar que OBJECT también puede ser utilizado de esta manera- que permiten saltar los filtros antiphishing de manera más sencilla y peligrosa que lo expuesto por Zalewsky anteriormente al utilizar una imagen que hace las veces de barra de direcciones.

 

En ZonaFirefox :

Como burlar el filtro antiphishing con Javascript

Como burlar el filtro antiphishing con un simple IFRAME

 

 

FEED / RSS / EL PERRITO

Los Blogs

Search