Hoy, Marriott reveló una violación de datos a gran escala que afectó a 500 millones de clientes que se han alojado en un hotel con la marca Starwood en los últimos cuatro años. Si bien los detalles de la violación aún son escasos, Marriott declaró que no había acceso no autorizado a una base de datos vinculada a las reservas de los clientes desde el 2014 hasta el 10 de septiembre de 2018.

Para la mayoría de los clientes afectados (aproximadamente 327 millones), los datos violados incluyen una combinación de nombre, dirección postal, número de teléfono, dirección de correo electrónico, número de pasaporte, información de la cuenta de Starwood Preferred Guest, fecha de nacimiento, sexo, información de llegada y salida, Fecha de reserva, y preferencias de comunicación. Para algunos de esos invitados, se expusieron sus números de tarjeta de crédito y las fechas de vencimiento, sin embargo, se cifraron utilizando el Estándar de cifrado avanzado (AES-128) .

Puede leer más sobre el impacto para los clientes en la declaración de Marriott aquí .

Actualmente se desconoce la causa raíz de la violación, pero Marriott indicó que los intrusos cifraron la información antes de filtrar los datos. Brian Krebs informó que Starwood reportó su propio incumplimiento en 2015, poco después de la adquisición por parte de Marriott. En ese momento, Starwood dijo que su línea de tiempo de incumplimiento se extendió un año más o menos a noviembre de 2014. La remediación incompleta de los incumplimientos es extremadamente común, y cuando se complica con los desafíos de administración de activos introducidos por las fusiones y adquisiciones, se observa un movimiento lateral y una exfiltración después de un corte inicial. No es irrazonable.

Las propiedades de Starwood afectadas son las siguientes:

• Westin
• Sheraton
• La colección de lujo
• Cuatro puntos por el Sheraton
• Hoteles W
• St. Regis
• Le Méridien
• En alto
• Elemento
• Portafolio Tributo
• Hoteles de diseño

Que deberias hacer al respecto?

Si eres cliente:

• Cambie su contraseña para su programa Starwood Preferred Guest Rewards inmediatamente. Las contraseñas aleatorias generadas por un administrador de contraseñas de su elección deberían ser las más útiles.
• Revise sus cuentas bancarias y de tarjetas de crédito para detectar actividades sospechosas.
• Considere una congelación de crédito si le preocupa que su información financiera haya sido comprometida.
• Cuidado con las estafas relacionadas con infracciones; Los ciberdelincuentes saben que esto es una violación masiva y de interés periodístico, por lo que aprovecharán la oportunidad de atrapar a los usuarios a través de la ingeniería social. Revisar los correos electrónicos supuestamente de Marriott con un ojo de águila.

Si usted es un negocio que busca consejos para evitar ser golpeado por una infracción:

• Invierta en un producto de protección de punto final y un programa de prevención de pérdida de datos para asegurarse de que las alertas sobre ataques similares lleguen a su personal de seguridad lo más rápido posible.
• Eche un vistazo a su programa de gestión de activos:
  • ¿Tiene un 100 por ciento de contabilidad de todos sus activos externos?
  • ¿Tiene perfiles de usuario uniformes en su negocio para todos los casos de uso?
• Cuando se trata de un movimiento lateral después de una brecha inicial, no puedes captar lo que no puedes ver. El primer paso para una mejor postura de seguridad es saber con qué tienes que trabajar.

En un mundo donde parece que las infracciones no pueden ser contenidas, los consumidores y las empresas una vez más tienen que lidiar con las consecuencias. Nuestro consejo a las organizaciones: No te conviertas en un cuento de advertencia. Guarde la molestia de sus clientes y salve la reputación de su empresa tomando medidas proactivas para asegurar su empresa hoy.

El 27 de noviembre, el Departamento de Justicia de los Estados Unidos anunció la acusación de ocho personas involucradas en un caso importante de fraude publicitario que costó a los anunciantes digitales millones de dólares. La operación, denominada 3ve , fue la combinación de las botnets Boaxxe y Kovter, que el FBI, en colaboración con investigadores del sector privado, incluido uno de los nuestros en Malwarebytes, pudo desmantelar.

El aviso CERT de EE. UU. Indica que 3ve controlaba más de 1.7 millones de direcciones IP únicas entre Boaxxe y Kovter en un momento dado. Los actores de amenazas dependen de diferentes tácticas para generar tráfico y clics falsos, pero uno de los más comunes es infectar computadoras legítimas y hacer que imiten en silencio el comportamiento de un usuario típico. Al hacerlo, los estafadores pueden generar millones de dólares en ingresos al tiempo que erosionan la confianza en el negocio de la publicidad en línea.

Esta empresa criminal era bastante sofisticada ya que tenía muchas técnicas de evasión que no solo dificultaban la detección de fraudes publicitarios, sino que también limpiaban los sistemas afectados. Kovter, en particular, es una pieza única de malware que hace todo lo posible para evitar la detección e incluso para engañar a los analistas. Su naturaleza sin archivos para mantener la persistencia también lo ha hecho más difícil de deshabilitar.

Malwarebytes, junto con varias otras compañías, como Google, Proofpoint y la empresa de detección de fraude de anuncios White Ops , participaron en la investigación global de estas redes de bots de fraude de anuncios. Trabajamos con nuestros colegas en White Ops, compartiendo nuestra inteligencia y muestras del malware Kovter. Nos alegramos de poder aprovechar nuestra telemetría, que demostró ser valiosa para que otros puedan actuar.

Si bien las empresas cibercriminales pueden ser bastante sofisticadas, esta operación exitosa demuestra que los esfuerzos concertados entre los sectores público y privado pueden derrotarlos y llevar a los responsables ante la justicia.

El informe completo de 3ve, coautor de Google y White Ops, con contribuciones técnicas de Proofpoint y otros, se puede descargar aquí .

Cada año, en Malwarebytes Labs nos gusta mirar nuestra bola de cristal y predecir el futuro del malware.

Bueno, tal vez no tengamos una bola de cristal, pero sí tenemos años y años de experiencia observando tendencias y detectando cambios en los patrones. Sin embargo, cuando se trata de seguridad, solo podemos saber mucho. Por ejemplo, garantizamos que habrá algún tipo de desarrollo en el que tengamos una indicación de cero. También podemos asegurarle que las filtraciones de datos seguirán ocurriendo, justo cuando el sol sale y se pone.

Y si bien toda la esperanza es para un 2019 libre de malware, la realidad probablemente se parecerá más a esto:

Las nuevas infracciones de alto perfil empujarán a la industria de la seguridad a resolver finalmente el problema del nombre de usuario / contraseña. El enigma ineficaz de nombre de usuario / contraseñaha afectado a los consumidores y las empresas durante años. Hay muchas soluciones por ahí (criptografía asimétrica, biométrica, blockchain, soluciones de hardware, etc.), pero hasta ahora, la industria de la ciberseguridad no ha podido establecer un estándar para solucionar el problema. En 2019, veremos un esfuerzo más concertado para reemplazar las contraseñas por completo.

Las botnets IoT llegarán a un dispositivo cerca de ti. En la segunda mitad de 2018, vimos varios miles de enrutadores MikroTik pirateados para servir a los mineros de la moneda. Esto es solo el comienzo de lo que probablemente veremos en el nuevo año, con más y más dispositivos de hardware comprometidos para servir todo, desde cryptominers hasta troyanos. Se producirán compromisos a gran escala de enrutadores y dispositivos IoT , y son mucho más difíciles de parchar que las computadoras. Incluso solo la aplicación de parches no soluciona el problema, si el dispositivo está infectado.

El skimming digital aumentará en frecuencia y sofisticación. Los ciberdelincuentes buscan sitios web que procesan pagos y comprometen la página de pago directamente. Ya sea que compre patines o entradas para conciertos, cuando ingrese su información en la página de pago, si el software del carrito de la compra es defectuoso, la información se envía en texto claro, lo que permite a los atacantes interceptar en tiempo real. Las compañías de seguridad vieron evidencia de esto con los hacks de British Airways y Ticketmaster.

Microsoft Edge será un objetivo principal para los nuevos ataques de día cero y los kits de explotación. Con la transición de IE, Microsoft Edge está ganando más cuota de mercado. Esperamos ver más vulnerabilidades de Edge cuando sigamos con este navegador de próxima generación. Firefox y Chrome han hecho mucho para reforzar su propia tecnología, haciendo de Edge el próximo gran objetivo.

EternalBlue o un imitador se convertirán en el método de facto para propagar malware en 2019.Debido a que puede propagarse, EtnernalBlue y otros en la vulnerabilidad de SMB presentan un desafío particular para las organizaciones, y los ciberdelincuentes explotarán esto para distribuir nuevo malware.

La criptografía en las computadoras de escritorio, al menos en el lado del consumidor, casi morirá. Nuevamente, como vimos en octubre (2018) con los enrutadores MikroTik hackeados para servir a los mineros, los ciberdelincuentes simplemente no están obteniendo valor al apuntar a los consumidores individuales con cryptominers. En cambio, los ataques que distribuyen a los cryptominers se centrarán en plataformas que pueden generar más ingresos (servidores, IoT) y se desvanecerán de otras plataformas (minería basada en el navegador).

Los ataques diseñados para evitar la detección, como los registradores de sonido, se deslizarán en la naturaleza. Los registradores de teclas que graban sonidos a veces se denominan registradores de sonido, y pueden escuchar la cadencia y el volumen del toque para determinar qué teclas se tocan en un teclado. Ya en existencia, este tipo de ataque fue desarrollado por actores del estado nación para atacar a los adversarios. Es probable que los ataques que utilizan esta y otras nuevas metodologías de ataque diseñadas para evitar la detección se deslicen contra las empresas y el público en general.

La inteligencia artificial se usará en la creación de ejecutables maliciosos.  Si bien la idea de tener AI maliciosa ejecutándose en el sistema de una víctima es pura ciencia ficción, al menos durante los próximos 10 años, el malware modificado por, creado por, y la comunicación con un AI es Una realidad peligrosa . Una IA que se comunica con computadoras comprometidas y monitorea qué y cómo se detecta cierto malware puede implementar rápidamente contramedidas. Los controladores AI habilitarán el malware creado para modificar su propio código para evitar que se detecte en el sistema, independientemente de la herramienta de seguridad implementada. Imagine una infección de malware que actúa casi como «The Borg» de Star Trek, ajustando y aclimatando sus métodos de ataque y defensa sobre la marcha en función de lo que se enfrenta.

Traiga su propia seguridad crece a medida que disminuye la confianza. Cada vez más consumidores llevan su propia seguridad al lugar de trabajo como primer o segundo nivel de defensa para proteger su información personal. Malwarebytes recientemente realizó una investigación global y descubrió que cerca de 200,000 compañías tenían instalada una versión para el consumidor de Malwarebytes. La educación fue la industria más propensa a adoptar BYOS, seguida del software / tecnología y los servicios empresariales. 

La semana pasada, en Malwarebytes Labs, echamos un vistazo a un devastador ataque de compromiso de correo electrónico de negocios , payasadas en la web y los nuevos peligros de Deepfakes . También verificamos algunos problemas de errores de Chrome y realizamos las inmersiones más profundas en las pruebas de ADN .

Otras noticias de ciberseguridad.

• Adobe Flash bug: ¡ consigue parches ! (Fuente: Adobe)
• Acceso accidental al foro de Tesla  otorgado (Fuente: Ofertas de Dan)
• Búsqueda de JavaScript en otras pestañas del navegador [ PDF ] (Fuente: Arxiv)
• LastPass sufrió un corte de energía, otras  frustraciones (Fuente: The Register)
• El Departamento de Justicia de los Estados Unidos investiga  si  el rally de Bitcoin del año pasado fue el resultado de la manipulación  (Fuente: Bloomberg)
• Tumblr combate el contenido de explotación (Fuente: Tumblr)
• Accidente aéreo utilizado como cebo de phishing (Fuente: Gizmodo)
• Se verdadera identidad hacker tessa88 reveló ? (Fuente: Grupo Insikt)
• Más aplicaciones falsas en Google Play  descubiertas (Fuente: ESET)
• Grandes pérdidas por fraude de pagos en línea   para alcanzar los $ 48 mil millones anuales (Fuente: Help Net Security)

¡Mantente a salvo, todos!

Los documentos judiciales publicados recientemente muestran que la cadena de cine con sede en Europa Pathé perdió una pequeña fortuna debido a una estafa de compromiso de correo electrónico comercial (BEC)  en marzo de 2018. ¿Cuánto cuesta? Un sorprendente US $ 21.5 millones (aproximadamente 19 millones de euros). El ataque, que duró aproximadamente un mes, le costó a la compañía el 10 por ciento de sus ganancias totales.

¿Qué es el compromiso de correo electrónico de negocios?

El compromiso del correo electrónico empresarial es un tipo de ataque de phishing, salpicado de un toque de ingeniería social específica. Un estafador pretende ser el CEO de una organización, luego comienza a bombardear al CFO con solicitudes urgentes de una transferencia de dinero. Las solicitudes son generalmente para transferencias electrónicas (difíciles de rastrear) y, a menudo, se enrutan a través de Hong Kong (muchas transferencias bancarias, incluso más difíciles de rastrear).

Los estafadores a veces compran nombres de dominio para que los correos electrónicos falsos se vean aún más convincentes. Estos ataques se basan en la importancia social del CEO: nadie quiere cuestionar al jefe. Si una organización no tiene garantías contra estos ataques, un estafador probablemente será muy rico. Solo se necesita una estafa exitosa para generar un gran recorrido, en cuyo punto el estafador simplemente desaparece en el éter.

¿Lo que pasó aquí?

Esta estafa BEC en particular es interesante porque resalta un enfoque ligeramente diferente del ataque. Los estafadores abandonaron enfrentando al falso CEO contra el CFO real a favor de falsificar las misivas de la oficina central francesa a la gerencia holandesa.

Todo comienza con el siguiente correo:

“Actualmente estamos llevando a cabo una transacción financiera para la adquisición de una empresa extranjera con sede en Dubai. La transacción debe permanecer estrictamente confidencial. Nadie más debe saberlo para darnos una ventaja sobre nuestros competidores «.

Aunque el CFO y el CEO lo consideraron extraño, siguieron adelante y enviaron más de 800,000 en euros. Siguieron más solicitudes, incluidas algunas mientras el CFO estaba de vacaciones; ambos ejecutivos fueron despedidos después de que la oficina central se dio cuenta. Aunque no estuvieron involucrados en el fraude, Pathé dijo que podían, y deberían, haber notado las «señales de alerta». No lo hicieron, y no había una red de seguridad en su lugar, por lo que el intento de compromiso del correo electrónico comercial fue devastadoramente exitoso.

El juego de la vergüenza

Muchos casos de  fraude de BEC no se denuncian porque nadie quiere admitir voluntariamente que fueron víctimas. Como resultado, lo primero que se suele escuchar es en los procedimientos judiciales. Es difícil adivinar cuánto se pierde realmente con el fraude de BEC, pero el FBI previamente arrojó una cifra de $ 2.1 mil millones de dólares . La cifra real podría fácilmente ser mayor.

¿Cómo pueden las empresas combatir esto?

1. Verifique las cuentas de redes sociales y otros portales en línea de sus ejecutivos, y haga que los que están conectados a finanzas hagan sus perfiles lo más privados y seguros posible. Sin duda, puede reducir el espacio en línea de un CFO, incluso si no puede eliminarlo por completo.
2. La autenticación es la clave. El CFO y el CEO, o quien sea responsable de la autorización de transferencia, debe tener un proceso especial establecido para las aprobaciones. No debería basarse en el correo electrónico, ya que así es como las personas terminan en problemas de estafa de BEC en primer lugar. Si tiene un método de comunicación único y seguro, entonces utilícelo. Si puede bloquear aprobaciones con seguridad adicional como la autenticación de dos factores , hágalo. Algunas organizaciones hacen uso de aplicaciones de autenticador fuera de línea a medida en dispositivos personales. ¡La solución está ahí fuera!
3. Si tiene muchas oficinas y diferentes sucursales mueven el dinero de forma independiente, se aplican las mismas reglas: encuentre un método de autenticación coherente que se pueda usar en múltiples ubicaciones. Esto seguramente habría salvado a Pathé de perder $ 21.5 millones.
4. Cuando no hay otra forma de bloquear las cosas, es hora de abrir el teléfono y confiar en la autenticación verbal. Si bien esto puede causar una pequeña cantidad de problemas empresariales (si está en el otro lado del mundo, ¿está su CFO recibiendo llamadas a las 2:00 am?), Es mejor que perder todo.

Una amenaza que vale la pena abordar.

El compromiso de los correos electrónicos de negocios continúa creciendo en popularidad entre los estafadores, y todos nosotros tenemos que combatirlo. Si su organización no toma en serio a BEC, usted podría fácilmente recibir una llamada telefónica de su gerente de banco. Mantener sus finanzas en el negro es una prioridad, y los BEC son una de las amenazas más insidiosas, ya sea que distribuya películas, servicios de TI o cualquier otra cosa. No dejes que las personas malintencionadas decidan cuándo llamar una envoltura.

Tu jefe te contacta por Skype. Usted ve su cara y escucha su voz, pidiéndole que transfiera una cantidad considerable de dinero a una empresa de la que nunca haya oído hablar. ¿Pedirías una confirmación por escrito de sus órdenes? ¿O simplemente seguirías sus instrucciones?

Ciertamente me sorprendería tal solicitud, pero, de nuevo, esto no es una transacción normal para mí y mi jefe. Pero, dada la tasa de éxito del fraude de  CEO  (que fue mucho menos convincente), los actores de amenazas solo necesitarían encontrar a la persona adecuada con quien contactar para poder engañar con éxito a los empleados para que envíen el dinero.

Imagine la tasa de éxito del fraude de CEO donde los estafadores podrían replicar la cara y la voz de su jefe en una llamada de Skype. Usando las técnicas de Deepfake, pueden alcanzar ese nivel en un futuro no muy lejano.

¿Qué es Deepfake?

La palabra «Deepfake» se creó al combinar «aprendizaje profundo» y «falso» juntos. Es un método para crear imágenes humanas basadas en inteligencia artificial (IA). En pocas palabras, los creadores alimentan datos de computadora que consisten en muchas expresiones faciales de una persona y encuentran a alguien que puede imitar la voz de esa persona. El algoritmo AI puede entonces coincidir con la boca y la cara para sincronizarse con las palabras habladas. Todo esto resultaría en una «sincronización de labios» casi perfecta con la cara y la voz correspondientes.

Comparado con las antiguas técnicas de Photoshop para crear pruebas falsas, esto se calificaría como «videoshop 3.0».

¿De dónde vino?

La primera conmoción sobre esta técnica surgió cuando un usuario de Reddit, por el nombre de DeepFakes, publicó videos explícitos de celebridades que parecían realistas. Él generó estos videos al reemplazar los rostros de los actores pornográficos originales con los de las celebridades. Al usar el aprendizaje profundo, estos «intercambios de caras» eran casi imposibles de detectar.

DeepFakes publicó el código que usó para crear estos videos en GitHub y pronto, mucha gente estaba aprendiendo a crear sus propios videos, encontrando nuevos casos de uso a medida que avanzaban. Los foros sobre Deepfakes fueron inmensamente populares, los cuales fueron inmediatamente capitalizados por los coinminers . Y en algún momento, una versión fácil de usar de la tecnología Deepfake fue incluida con un cryptominer .

La tecnología

Los efectos de Deepfake se logran usando una tecnología de aprendizaje profundo llamada autoencoder. La entrada se comprime, o se codifica, en una pequeña representación. Se pueden usar para reproducir la entrada original para que coincidan con las imágenes anteriores en el mismo contexto (aquí, es el video). Sin embargo, los creadores necesitan suficientes datos relevantes para lograr esto. Para crear una imagen de Deepfake, el productor reproduce la cara B mientras usa la cara A como entrada. Entonces, mientras el propietario de la cara A está hablando en el lado de la persona que llama en la llamada de Skype, el receptor ve la cara B haciendo los movimientos. El receptor observará la llamada como si B fuera quien hablara.

Cuantas más imágenes de la persona en cuestión podamos alimentar el algoritmo, más realistas serán las expresiones faciales de la imitación.

Dado que ya existe una IA que puede entrenarse para imitar una voz después de escucharla durante aproximadamente un minuto, no parece que pasará mucho tiempo antes de que el imitador de voz pueda ser reemplazado por otra rutina que repita las oraciones de la persona que llama. una imitación razonable de la voz que el receptor asocia con la cara en la pantalla.

Casos de abuso

Como se mencionó anteriormente, la tecnología se utilizó por primera vez para reemplazar a los actores de las películas pornográficas con celebridades. También hemos visto algunos ejemplos de cómo esta tecnología podría usarse para crear » noticias falsas y profundas «.

Entonces, ¿cuánto tiempo les tomará a los estafadores hacer el truco para crear engaños elaborados , material promocional falso y llevar a cabo fraudes realistas?

Los engaños y otras noticias falsas son lo suficientemente dañinos como lo son en el estado actual de las cosas. Por naturaleza, las personas se inclinan a creer lo que ven. Si pueden verlo «en video» con sus propios ojos, ¿por qué lo dudarían?

Es posible que la historia sobre la transmisión de «La Guerra de los Mundos» y el pánico resultante sean divertidos, pero estoy bastante seguro de que más de un millón de personas que fueron golpeadas por el pánico no estarían de acuerdo con usted. Y eso fue sólo una transmisión de radio. Imagine algo similar con “material de archivo en vivo” y utilizando las caras y voces de sus presentadores de noticias favoritos (o, mejor dicho, sus imitaciones convincentes). Imagínese si los actores de la amenaza pudieran simular un ataque terrorista o disparos en masa. Hay muchas más posibilidades nefastas.

Contramedidas

La Agencia de Proyectos de Investigación Avanzada de la Defensa (DARPA, por sus siglas en inglés) es consciente de los peligros que puede plantear Deepfakes.

“Si bien muchas de las manipulaciones son benignas, se realizan por diversión o por valor artístico, otras son para fines de confrontación, como propaganda o campañas de desinformación.

Esta manipulación de los medios visuales está habilitada por la disponibilidad a gran escala de sofisticadas aplicaciones de edición de imágenes y video, así como por los algoritmos de manipulación automatizados que permiten la edición en formas que son muy difíciles de detectar ya sea con el análisis de imágenes actual y las herramientas forenses de medios visuales. . Las herramientas forenses utilizadas hoy en día carecen de robustez y escalabilidad, y abordan solo algunos aspectos de la autenticación de medios; no existe una plataforma de extremo a extremo para realizar un análisis forense completo y automatizado «.

DARPA ha lanzado el programa MediFor para estimular a los investigadores a desarrollar tecnología que pueda detectar manipulaciones e incluso proporcionar información sobre cómo se realizaron las manipulaciones.

Una de las señales que los investigadores ahora buscan cuando intentan descubrir un video documentado es la frecuencia con la que la persona del video parpadea. Cuando una persona normal parpadea cada pocos segundos, una imitación de Deepfake podría no hacerlo, o no lo suficiente como para ser convincente. Una de las razones de este efecto es que las imágenes de personas con los ojos cerrados no se publican mucho, por lo que tendrían que usar secuencias de video reales como entradapara obtener la frecuencia de parpadeo correcta.

A medida que avance la tecnología, indudablemente veremos mejoras tanto en el lado imitativo como en el defensivo. Lo que ya parece evidente es que tomará más que un ojo entrenado para reconocer los videos de Deepfake; necesitaremos algoritmos de aprendizaje automático para adaptarse.

Anti-video fraude

Con la excepcional velocidad de los desarrollos en el campo de Deepfakes, parece probable que vea un engaño o estafa utilizando este método en un futuro próximo. Tal vez incluso comencemos a utilizar software especializado contra el fraude de video en algún momento, de la misma manera en que nos hemos acostumbrado al uso de la protección antispam y antimalware.

Manténgase seguro y esté atento!

Tim Cotten , un desarrollador de software de Washington, DC, estaba respondiendo a una solicitud de ayuda de una colega la semana pasada, que creía que su cuenta de Gmail había sido pirateada, cuando descubrió algo falso . La evidencia presentada fue varios correos electrónicos en su  carpeta de Enviados , supuestamente enviados por ella a sí misma.

Cotten se quedó atónito cuando, tras el diagnóstico inicial, descubrió que los correos electrónicos enviados no provenían de su cuenta, sino de otra, que Gmail, que es el servicio de correo electrónico organizado, solo se archiva en su carpeta Enviados . ¿Por qué haría eso si el correo electrónico no fuera de ella? Parece que mientras la tecnología de filtrado y organización de Google funcionó a la perfección, algo salió mal cuando Gmail trataba de procesar los mensajes de correo electrónico  A partir de campos.

Este truco es un placer para los phishers.

Cotten anotó en una publicación del blog que el encabezado De de los correos electrónicos en la carpeta Enviados de su compañero de trabajo  contenía (1) la dirección de correo electrónico del destinatario y (2) otro texto, generalmente un nombre, posiblemente para una mayor credibilidad. La presencia de la dirección del destinatario provocó que Gmail moviera el correo electrónico a la carpeta Enviados y que ignorara la dirección de correo electrónico del remitente real.

Encabezado extraño «De». Captura de pantalla de Tim Cotten, énfasis (en púrpura) nuestro.

¿Por qué un delincuente cibernético elaboraría un correo electrónico que nunca termina en la bandeja de entrada de una víctima? Esta táctica es particularmente útil para una campaña de phishing que se basa en la confusión del destinatario.

“Imagine, por ejemplo, el escenario en el que se podría crear un correo electrónico personalizado que imita los correos electrónicos anteriores que el remitente ha enviado legítimamente y que contiene varios enlaces. Una persona podría, al querer recordar cuáles eran los enlaces, regresar a su carpeta enviada para encontrar un ejemplo: ¡desastre! ”, Escribió Cotten.

Cotten proporcionó una demostración de Bleeping Computer en la que mostró un remitente potencialmente malintencionado falsificando el campo De mostrando un nombre diferente al destinatario. Esto puede generar una alta rotación de víctimas si se usa en una campaña fraudulenta por parte del CEO / correo electrónico comercial (BEC), anotaron.

Después de alertar sobre este error, Cotten, sin saberlo, abrió las compuertas para que otros investigadores de seguridad presenten sus errores descubiertos de Gmail. Eli Gray , por ejemplo, compartió el descubrimiento de un error en 2017 que permitió la suplantación de correos electrónicos, que se corrigió en la versión web de Gmail pero sigue siendo un defecto en la versión de Android. Un comentarista del foro  afirmó que la aplicación de correo de iOS también tiene la misma falla.

Otra agita el polvo.

Días después de revelar públicamente el error de Gmail, Cotten descubrió otra falla en la que los actores maliciosos pueden ocultar los detalles del remitente en el encabezado De al forzar a Gmail a mostrar un campo completamente en blanco.

¿Quién es el remitente? Captura de pantalla de Tim Cotten, énfasis (en púrpura) nuestro.

Lo logró al reemplazar una parte de su caso de prueba por una cadena de código larga y arbitraria, como puede ver a continuación:

La cuerda. Captura de pantalla de Tim Cotten, énfasis (en púrpura) nuestro.

Los usuarios promedio de Gmail pueden tener dificultades para revelar el verdadero remitente porque al hacer clic en el botón Responder y la opción «Mostrar original» aún aparece un campo en blanco.

El remitente sin nombre. Captura de pantalla de Tim Cotten, énfasis (en púrpura) nuestro.

¡No hay nada allí! Captura de pantalla de Tim Cotten, énfasis (en púrpura) nuestro.

La falta de detalles del remitente podría aumentar la posibilidad de que los usuarios abran un correo electrónico malicioso para hacer clic en un enlace incrustado o abrir un archivo adjunto, especialmente si contiene un tema que sea tanto procesable como urgente.

Cuando se encontró con el silencio

Las vulnerabilidades de Gmail que se mencionan en esta publicación están relacionadas con la experiencia del usuario (UX) y, hasta el momento, Google aún no las ha abordado. (Cotten ha propuestouna posible solución para el gigante tecnológico). Desafortunadamente, los usuarios de Gmail solo pueden esperar las correcciones.

Detectar intentos de phishing o correos electrónicos falsificados puede ser complicado, especialmente cuando los cibercriminales pueden penetrar en fuentes confiables, pero un poco de vigilancia puede recorrer un largo, largo camino.

Umbro, la popular marca de ropa deportiva, ha tenido su sitio web Umbro Brasil pirateado e inyectado con no uno sino dos skimmers web parte del grupo Magecart.

Magecart se ha convertido en un nombre familiar en los últimos meses debido a los ataques de alto perfil en varios sitios web de comerciantes. Los delincuentes pueden robar sin problemas el pago y la información de contacto de los visitantes que compran productos o servicios en línea.

Múltiples actores de amenazas están compitiendo en diferentes escalas para obtener su parte del pastel. Como resultado, hay muchos scripts y grupos de skimming web que se centran en tipos particulares de comerciantes o áreas geográficas.

Por ejemplo, en este compromiso de Umbro Brasil, uno de los dos scripts de skimming comprueba la presencia de otro código de skimming y, si está presente, modificará ligeramente el número de tarjeta de crédito que ingresó la víctima. Efectivamente, el primer skimmer recibirá números de tarjeta de crédito incorrectos como un acto directo de sabotaje.

Dos skimmers van de cabeza a cabeza

El sitio web de Umbro Brasil ( umbro.com [.] Br ) ejecuta la plataforma de comercio electrónico Magento. El primer skimmer se carga a través de un dominio falso de la biblioteca BootStrap bootstrap-js [.] Com , recientemente discutido por Brian Krebs . Mirando su código, vemos que se ajusta al perfil de los actores de amenazas predominantemente activos en América del Sur, según un informe reciente de RiskIQ .

1er skimmer con código expuesto a simple vista (condicional con verificación de referencia)

Este skimmer no está ofuscado y filtra los datos en una salida JSON estándar. Sin embargo, otro skimmer también está presente en el mismo sitio, cargado desde g-statistic [.] Com . Esta vez, está muy ofuscado como se ve en la siguiente imagen:

2do skimmer, mostrando una gran burbuja de ofuscación

No hay juego limpio entre los grupos de Magecart

Otro aspecto interesante es cómo el segundo skimmer altera el número de tarjeta de crédito del primer skimmer. Antes de que se envíen los datos del formulario, toma el número de la tarjeta de crédito y reemplaza su último dígito con un número aleatorio.

El siguiente fragmento de código muestra cómo ciertos nombres de dominio activan este mecanismo. Aquí reconocemos bootstrap-js [.] Com, que es el primer skimmer. Luego, se genera un entero aleatorio que va de 0 a 9 para su uso posterior. Finalmente, se quita el último dígito de la tarjeta de crédito y se usa el número aleatorio generado previamente.

Código para intercambiar condicionalmente el último dígito de la tarjeta de crédito (descodificación cortesía de Willem de Groot)

Al manipular los datos, el segundo skimmer puede enviar un número de tarjeta de crédito inválido pero  casi correcto al skimmer de la competencia. Debido a que solo se modificó una pequeña parte, lo más probable es que pase las pruebas de validación y salga a la venta en los mercados negros. Los compradores eventualmente se darán cuenta de que sus tarjetas de crédito compradas no funcionan y no volverán a confiar en ese vendedor.

El segundo skimmer, ahora que es el único que posee el número de tarjeta de crédito válido, utiliza una función especial para codificar los datos que extrata. En cuanto a la solicitud POST, solo podemos ver lo que parece ser un alboroto enviado a su dominio de exfiltración ( nube en línea [.] ):

Datos codificados enviados de vuelta al servidor de exfiltración

Esta situación en la que múltiples infecciones residen en el mismo host no es inusual. De hecho, a menos que se arregle una vulnerabilidad con un servidor web, puede ser propensa a varios compromisos por parte de diferentes perpetradores. A veces pueden coexistir pacíficamente, a veces compiten directamente por los mismos recursos.

El deporte más genial de la ciudad.

Si bien el web skimming ha estado funcionando durante años, ahora se ha convertido en una (re) ocurrencia muy común. El investigador de seguridad Willem de Groot ha agregado datos para sitios web de 40K desde su conteo en 2015. Su estudio también muestra que la reinfección entre sitios de comercio electrónico (20% de tasa de reinfección) es un problema que debe abordarse.

Los propietarios de sitios web que manejan el procesamiento de pagos deben hacer la debida diligencia para asegurar su plataforma manteniendo sus programas y complementos actualizados, así como prestando especial atención a los scripts de terceros.

Los consumidores también deben estar conscientes de esta amenaza cuando compran en línea, incluso si el comerciante es una marca reconocida y de buena reputación. Además de monitorear de cerca sus estados de cuenta bancarios, deben considerar formas en que puedan limitar el daño de retiros maliciosos.

Hemos informado a CERT.br de este compromiso y, aunque los skimmers todavía están en línea, los usuarios de Malwarebytes están cubiertos por nuestro módulo de protección web.

Expresiones de gratitud:

Gracias a Willem de Groot por su ayuda en esta investigación.

IOCs

Skimmers

1er skimmer: bootstrap-js [.] Com
2do skimmer: g-statistic [.] Com

Exfiltración

Dominio exfil del primer skimmer: bootstrap-js [.] Com
2.º dominio exfil del skimmer: onlineclouds [.] Cloud

La semana pasada, en Malwarebytes Labs, descubrimos que TrickBot se convirtió en una de las principales amenazas comerciales , por lo que analizamos con más detalle las novedades .

Con la Navidad a la vuelta de la esquina, la estafa de la hermana secreta regresó .

También abordamos la  seguridad y la privacidad (o la falta de ellas) en las joyas inteligentes , el compromiso de control de tráfico aéreo y  las preocupaciones de seguridad a tener en cuenta  al automatizar su negocio.

Otras noticias de ciberseguridad.

• 3.9 mil millones de registros fueron expuestos debido a fallas en los primeros 9 meses de 2018. (Fuente: Help Net Security)
• Debido a la decisión de Facebook de abordar la propaganda, se pidió a los actores maliciosos que  secuestraran las cuentas de las redes sociales . (Fuente: Blog de seguridad desnuda de Sophos)
• Cuentas de alto perfil secuestradas en Twitter para lanzar estafas de criptomonedas . (Fuente: Graham Cluley Security News)
• Nueva cepa evasiva de ransomware, Dharma , salió a la luz. (Fuente: Inteligencia de seguridad)
• La información de la caridad y los partidarios de los partidos políticos, y los compradores en línea en los Estados Unidos  se filtró silenciosamente . (Fuente: Bloomberg)
• Conoce a la Compañía Blanca , una nueva APT poderosa. (Fuente: CSO Online)
• El servidor Voxox expuso una base de datos de millones de SMS , que incluye códigos de dos factores y enlaces de restablecimiento de contraseña, entre otros. (Fuente: TechCrunch)
• Facebook actualiza su comunidad con respecto a cómo lo están haciendo en el cumplimiento de las normas. (Fuente: Facebook Newsroom)
• Hawkeye keylogger aprovecha una antigua vulnerabilidad de MS Office para robar credenciales y contenido del portapapeles. (Fuente: Inteligencia de seguridad)
• Bruce Schneier cree que el software de parches está fallando y explica por qué. (Fuente: placa base)

¡Mantente a salvo, todos!

La automatización es una opción cada vez más atractiva para las empresas, especialmente cuando los que están en operaciones están en un ciclo perpetuo de «demasiado por hacer y no hay suficiente tiempo para hacerlo».

Al considerar una estrategia de automatización, los representantes comerciales deben estar conscientes de los riesgos de seguridad involucrados. Aquí hay seis preocupaciones que los administradores de red y otros miembros del personal de TI deben tener en cuenta.

1. Uso de la automatización para la ciberseguridad en formas contraproducentes.

Los equipos de ciberseguridad en muchas organizaciones están demasiado extendidos, acostumbrados a asumir tantas responsabilidades que su productividad general disminuye. La automatización de algunas tareas de ciberseguridad podría proporcionar un alivio muy necesario para los miembros del equipo, siempre que esos empleados utilicen la automatización de manera estratégica.

Por ejemplo, si los miembros del equipo de ciberseguridad automatizan los procedimientos operativos estándar, tendrán más tiempo para evaluar los problemas e investigar posibles vulnerabilidades. Pero, el enfoque debe estar en el uso de la automatización de una manera que tenga sentido para la ciberseguridad, así como en otras partes del negocio. La inteligencia humana sigue siendo necesaria junto con la automatización para identificar mejor las amenazas, analizar patrones y hacer uso rápido de los recursos disponibles. Si construyes defensas pero las dejas desatendidas, eventualmente los enemigos van a abrirse paso.

2. Dando a demasiadas personas acceso a servicios de pago automático.

Olvidarse de pagar una factura a tiempo es embarazoso y puede afectar negativamente el acceso de una empresa a las líneas de crédito. Afortunadamente, las empresas pueden utilizar numerosos servicios automáticos de pago de facturas para deducir los montos necesarios cada mes, a menudo en un día específico.

Tomar ese enfoque evita que los representantes comerciales tengan que sacar regularmente las tarjetas de crédito de sus billeteras y escribir manualmente los números en formularios. Sin embargo, es una buena práctica restringir la cantidad de personas que pueden configurar esos pagos y verificar que se realizan.

De lo contrario, si hay problemas con un pago, será muy difícil investigar qué salió mal. Además, existe la posibilidad de amenazas internas, como un empleado descontento o alguien que busca vengarse después de la terminación. Los usuarios malintencionados podrían acceder a un servicio de pago y cambiar los programas de pago, eliminar métodos de pago, retirar grandes cantidades o causar estragos.

3. Pensar que la automatización es infalible.

Una de las cosas especialmente útiles de la automatización es que puede reducir la cantidad de errores que cometen las personas. Las estadísticas indican que casi el 71 por ciento de los trabajadores reportan estar desconectados en la oficina. Las tareas repetitivas a menudo son las culpables, y la automatización podría reducir el aburrimiento que sienten las personas (y los errores que cometen) al relegarlas a proyectos más desafiantes.

Independientemente de la forma en que usan la automatización, los administradores de TI no deben tener la costumbre de creer que las herramientas automáticas son infalibles y no es necesario verificar los errores. Por ejemplo, si una empresa utiliza la automatización para tratar el contenido relacionado con las finanzas, como las facturas, no debe adoptar un enfoque relajado para mantener segura esa información solo porque una herramienta está manejando la tarea.

En todas las responsabilidades que implican mantener la seguridad de los datos, los seres humanos aún desempeñan un papel vital para garantizar que las cosas funcionen como deberían. Después de todo, las personas son las que configuran los procesos que lleva a cabo la automatización, y esas personas también podrían haber cometido errores.

4. No tener en cuenta GDPR

El Reglamento general de protección de datos (GDPR) entró en vigencia en mayo de 2018 y determina cómo las empresas deben tratar los datos de los clientes en la Unión Europea. Estar en violación podría resultar en multas sustanciales para las empresas, sin embargo, algunas compañías ni siquiera saben que están haciendo algo mal.

Mantener la información en una base de datos de gestión de relaciones con el cliente (CRM) podría mantener el cumplimiento de GDPR ayudando a las empresas a tener registros precisos y actualizados de sus clientes, haciendo que sea más fácil garantizar que tratan esa información de manera adecuada. Como el GDPR otorga a los clientes numerosos derechos , incluido el derecho a que se borren los datos o el derecho a que los datos se almacenen pero no se procesen, cualquier herramienta de automatización seleccionada por una organización debe ser lo suficientemente ágil para satisfacer esas solicitudes.

La automatización, ya sea lograda a través de una herramienta CRM o de otra manera, puede ayudar a las compañías a alinearse mejor con las regulaciones de GDPR. De hecho, es esencial que las empresas no pasen por alto GDPR cuando eligen formas de automatizar procesos.

5. No usar las mejores prácticas con los administradores de contraseñas

Los administradores de contraseñas son increíblemente convenientes y seguros porque almacenan, cifran y completan automáticamente las contraseñas adecuadas para cualquier número de cuentas respectivas, siempre que los usuarios conozcan la contraseña maestra correcta. Algunos de ellos incluso automatizan el llenado de los detalles de facturación almacenando la información de pago en carteras seguras en línea.

Sin embargo, hay formas incorrectas de utilizar los administradores de contraseñas  para fines comerciales o personales. Por ejemplo, si una persona elige una contraseña maestra que ya ha usado en muchos otros sitios o comparte esa contraseña con otros, ha rechazado el propósito del administrador de contraseñas. Elegir un administrador de contraseñas con autenticación multifactor es nuestra recomendación para la forma más segura de iniciar sesión en sus cuentas.

Sin duda, es conveniente visitar un sitio y hacer que complete automáticamente su contraseña con un solo clic. Pero, los administradores de contraseñas solo funcionan según lo previsto cuando los empleados las usan correctamente.

6. Ignorar las notificaciones para actualizar el software de automatización.

Muchas herramientas de automatización muestran mensajes emergentes cuando hay nuevas actualizaciones de software disponibles. A veces, las actualizaciones solo incluyen nuevas características, pero es común que solucionen errores que podrían comprometer la seguridad. Cuando el objetivo es sumergirse en el trabajo y hacer todo lo posible, tomarse unos minutos para actualizar el software de automatización no siempre es una opción atractiva.

Pero, si el software obsoleto termina provocando un ataque y comprometiendo los registros de los clientes, la gente desearía no postergarlos. Es mejor para las empresas programar un horario, como revisar el software de automatización en busca de actualizaciones en un día particular cada mes ( por ejemplo, el martes de parches ).

Afortunadamente, muchos títulos de software permiten a las personas elegir el tiempo deseado para que se realice la actualización, o, en esencia, automatizar el mantenimiento del software de automatización. Luego, los usuarios pueden configurar el software para que se actualice fuera del horario comercial o durante otros períodos probables de tiempo de inactividad.

La automatización es ventajosa, si la seguridad sigue siendo una prioridad

Si bien la automatización puede ser de gran ayuda para las empresas, también puede presentar riesgos si se utiliza incorrectamente, se descuida o se confía demasiado en ella. Mantenerse al tanto de los problemas relacionados con la seguridad planteados en este artículo ayuda a las organizaciones de todos los tamaños y en todas las industrias a usar herramientas automatizadas de manera segura y eficaz.