Justo cuando pensábamos que el código QR estaba saliendo, la pandemia ha provocado el regreso del atajo escaneable. COVID-19 ha significado encontrar un equivalente digital a las cosas que normalmente se entregan físicamente, como menús, guías turísticos y otros trámites, y muchas organizaciones han adoptado el código QR para ayudar con esto. Y también, al parecer, los criminales. Los estafadores han desempolvado su libro de trucos que abusan de los códigos QR y estamos empezando a ver nuevas estafas. O tal vez solo viejas estafas en lugares nuevos.

¿Qué es un código QR de nuevo?

Un resumen rápido para aquellos que se lo perdieron. Un código de respuesta rápida (QR) no es más que un código de barras bidimensional. Este tipo de código fue diseñado para ser leído por robots que realizan un seguimiento de los artículos en una fábrica. Como un código QR ocupa mucho menos espacio que un código de barras heredado, su uso pronto se extendió.

Los teléfonos inteligentes pueden leer códigos QR fácilmente; todo lo que se necesita es una cámara y un pequeño software. Algunas aplicaciones, como las aplicaciones bancarias, tienen un software de lectura de códigos QR incorporado para facilitar que los usuarios realicen pagos en línea. En algunos otros casos, los códigos QR se utilizan como parte de un procedimiento de inicio de sesión.

Los códigos QR son fáciles de generar y difíciles de diferenciar. Para la mayoría de los ojos humanos, todos se ven iguales. Más o menos así:

¿Por qué vuelven los códigos QR?

Durante algún tiempo, estos códigos QR se utilizaron principalmente en entornos industriales para ayudar a realizar un seguimiento del inventario y la producción. Más tarde, ganaron algo de popularidad entre los anunciantes porque era más fácil para los consumidores escanear un código que escribir una URL larga. Pero la gente no podía saber a partir de un código QR a dónde los llevaría el escaneo, por lo que se volvieron cautelosos y los códigos QR comenzaron a desaparecer. Luego vino la pandemia y los empresarios tuvieron que ser creativos para proteger a sus clientes contra una infección viral de la vida real.

Por nombrar un ejemplo, por temor a propagar COVID-19 entre muchas personas que tocan el mismo menú en un restaurante, las empresas colocaron códigos QR en sus mesas para que los clientes pudieran escanear el código y abrir el menú en el navegador de su teléfono. Limpio y sencillo. A menos que un visitante anterior con malas intenciones haya reemplazado el código QR por el suyo. Ingrese estafas de códigos QR.

Algunas estafas conocidas de códigos QR

La estafa de códigos QR más fácil de realizar es el secuestro de clics . A algunas personas se les paga para atraer a otros a hacer clic en un enlace determinado. Qué mejor manera que reemplazar los códigos QR en un monumento popular, por ejemplo, donde la gente espera encontrar información de fondo sobre el punto de referencia siguiendo el enlace del código QR. En cambio, el código QR reemplazado los lleva a un sitio sórdido y el operador de clickjacking recibe su tarifa.

Otro truco es la estafa de pequeños pagos por adelantado. Para algunos servicios, se acepta como normal realizar un pago por adelantado antes de poder utilizar ese servicio. Por ejemplo, para alquilar una bicicleta compartida, se le solicita que realice un pequeño pago para abrir el candado de la bicicleta. El código QR para identificar la bicicleta e iniciar el proceso de pago está impreso en la bicicleta. Pero los códigos QR legítimos pueden ser reemplazados por delincuentes que estén felices de recibir estos pequeños pagos en su propia cuenta.

Los enlaces de phishing se pueden disfrazar fácilmente como códigos QR. Los phishers colocan códigos QR donde tiene sentido para el usuario. Entonces, por ejemplo, si alguien espera iniciar sesión para iniciar un procedimiento de pago u obtener acceso a un determinado servicio, los estafadores pueden colocar un código QR allí. También hemos visto correos de phishing equipados con códigos QR fraudulentos.

El correo electrónico que se muestra arriba indica al receptor que instale la «aplicación de seguridad» de su banco para evitar que su cuenta se bloquee. Sin embargo, apuntó a una aplicación maliciosa fuera de la tienda web. El usuario tuvo que permitir las instalaciones de una fuente desconocida para hacer esto, lo que debería haber sido una gran señal de alerta, pero aún así algunas personas se enamoraron.

Por último, está la estafa de pagos de redireccionamiento, que fue utilizada por un sitio web que facilitó los pagos de Bitcoin. Mientras que el usuario ingresó una dirección de Bitcoin como receptor, el sitio web generó un código QR para una dirección de Bitcoin diferente para recibir el pago. Es otra estafa más que demuestra que los códigos QR son demasiado difíciles de leer para los humanos.

Cómo evitar las estafas de códigos QR

Hay algunos métodos de sentido común para evitar las peores estafas de códigos QR:

• No confíe en los correos electrónicos de remitentes desconocidos.
• No escanee un código QR incrustado en un correo electrónico. Trátelos como enlaces porque, bueno, eso es lo que son.
• Verifique si se pegó una etiqueta de código QR diferente sobre el original y, de ser así, manténgase alejado de ella. O mejor aún, pregunte si está bien eliminarlo.
• Utilice un escáner QR que verifique o muestre la URL antes de seguir el enlace.
• Utilice un bloqueador de estafas o un filtro web en su dispositivo para protegerse contra estafas conocidas.

Incluso si el correo de un banco parece legítimo, al menos debe verificar con el banco (utilizando un número de contacto que haya encontrado en una carta o en su sitio web) si le piden que inicie sesión en un sitio que no sea el suyo. , instale software o pague por algo que no haya pedido.

Como precaución adicional, no utilice su aplicación bancaria para escanear códigos QR si se salen del patrón normal de un procedimiento de pago.

¿Quiero saber qué sigue?

Quizás no, pero advertido está prevenido. Un método en desarrollo para reemplazar los códigos QR en dispositivos Android es la etiqueta Near Field Communication (NFC). Las etiquetas NFC, como los códigos QR, no requieren una aplicación para leerlas en dispositivos más modernos. La mayoría de los iPhones y Androids recientes pueden leer etiquetas NFC de terceros sin requerir software adicional, aunque los modelos más antiguos pueden necesitar una aplicación para leerlos.

Las etiquetas NFC también son imposibles de leer por humanos, pero requieren una presencia real, es decir, no se pueden enviar por correo. Pero con el aumento de la popularidad de los pagos sin contacto, es posible que veamos más estafas centradas en este tipo de comunicación.

Los compradores ávidos de Amazon Prime Day pueden haber estado preocupados de no haberlo visto este año, gracias al coronavirus. No temas, el mes pasado Amazon anunció que Prime Day tendrá lugar tres meses después de su fecha anual original, a partir de hoy. Y este año, se llevará a cabo durante dos días, en lugar de uno.

Esto podría marcar el comienzo de las compras navideñas tempranas de la “temporada alta”, que generalmente ocurre una semana antes del Día de Acción de Gracias.

Dicho esto, es hora de repasar nuestro ingenio en ciberseguridad para poder comprar temprano, de manera segura y ahorrarnos futuros dolores de cabeza en la nueva temporada de compras.

Cómo comprar Amazon Prime Day de forma práctica y cibersensible

1. Asegure su cuenta de Amazon Prime

Puede hacer esto configurando la autenticación de dos factores (2FA), si aún no lo ha hecho. Muchos sitios web en estos días ya tienen un medio secundario para autenticar una sesión o al usuario. Como usuario de Amazon, debe saber que Amazon ha estado utilizando esta función de seguridad durante mucho tiempo. Si no está al tanto de esto, vaya a su página local de Ayuda y Servicio al Cliente de Amazon y busque “autenticación de dos factores” para comenzar.

2. Use solo su tarjeta de crédito cuando compre en línea

Cuando se trata de qué tarjeta usar al comprar cosas en línea, no puede equivocarse al usar una tarjeta de crédito en lugar de una tarjeta de débito. ¿Por qué? Porque las tarjetas de crédito tienen protección contra el fraude, mientras que las tarjetas bancarias, a menudo, no tienen ninguna.

3. Usa la aplicación oficial de Amazon

Puede descargarlo de las tiendas de aplicaciones de Google Play y Apple . No solo sería conveniente hacerlo, sino que también es más seguro, siempre y cuando esté usando el legítimo, por supuesto. Es seguro asumir que los ciberdelincuentes no dejarían pasar el Prime Day, ya sea que la fecha se haya movido este año o no , dado que Amazon es un nombre tan familiar en el que pueden confiar.

4. Usa tu Alexa para comprar

Esto puede sonar contradictorio, dado que no podemos enfatizar lo suficiente lo vulnerables e inseguros que son los dispositivos de IoT . Pero aún puede usar su Alexa para comprar, solo asegúrese de hacerlo teniendo en cuenta la seguridad y la privacidad. Con esto, queremos decir que Alexa no debe activarse de inmediato, desde la caja hasta el tocador. Así que asegúrese de tomarse el tiempo y el esfuerzo para configurar su asistente personal según el nivel de privacidad que desea que le brinde el dispositivo. Aquí hay varios puntos a considerar:

• Primero asegúrese de proteger su red doméstica.
  • ¿Ha cambiado el nombre predeterminado de la red Wi-Fi de su hogar?
  • ¿Está habilitado el firewall de su enrutador?
  • ¿Está utilizando las credenciales predeterminadas del enrutador?
  • ¿Es la contraseña de su red inalámbrica la más segura que puede establecer?
  • ¿Está actualizado el firmware de su enrutador?
  • ¿Ha desactivado funciones del enrutador que realmente no necesita o usa?
• Administra la grabación de voz de Alexa.
  • Puede hacer esto configurándolo para que elimine automáticamente las grabaciones de voz en la configuración más temprana, que es de 3 meses. Si cree que es demasiado largo, puede eliminar manualmente las grabaciones usted mismo.
• Desactive la función que permite a los usuarios mejorar las capacidades de transcripción de Alexa.
• Bloquea ciertos comandos de compra por voz detrás de un PIN.
• Apague su Alexa (o su micrófono) cuando no esté en uso.

5. Compre solo a vendedores con los que se sienta cómodo comprando productos

Esto puede parecer una decisión fácil, pero cuando ya esté en su computadora o teléfono y vea algo que realmente desea, que no está en su lista de compras, por cierto, asegúrese de que su deseo no lo ciegue a la reputación del vendedor. Cuando se encuentre en esta posición, hágase estas preguntas: ¿Realmente sería una molestia para mí si verifico lo que otros compradores tienen que decir sobre este vendedor antes de comprarles algo? ¿Parece que las reseñas provienen de compradores reales y no de revisores pagados? ¿Cuánto tiempo lleva vendiendo este proveedor en Amazon? ¿Es este trato demasiado bueno para ser verdad?

6. Conozca las políticas de Amazon

Si encuentra un correo electrónico, una llamada, un mensaje de texto o una página web sospechosos que afirman ser de Amazon o de alguien asociado con la empresa, ¿sabría qué hacer? Familiarízate con las políticas de Amazon para que puedas ir un paso por delante de los estafadores.

7. Utilice una VPN , especialmente cuando vaya de compras.

Todo el mundo sabe que el Wi-Fi público generalmente se considera peligroso. Como tal, se recomienda a los usuarios que se conecten a una red Wi-Fi pública con precaución; de lo contrario, corre el riesgo de comprometer su privacidad, junto con sus credenciales e información de identificación personal (PII) . Una forma de abordar esto es usar VPN en una red pública segura (protegida por contraseña, en otras palabras). La advertencia aquí, por supuesto, es que debe elegir una aplicación VPN móvil que no se limite a hablar .

La otra forma es no comprar sobre la marcha.

8. Familiarícese con posibles estafas dirigidas a usuarios de Amazon como usted.

Saber es la mitad de la batalla. Lea y recuerde que un modus operandi (MO) ciberdelincuente conocido es apuntar a usuarios que no están al tanto y / o que parecen no preocuparse por su seguridad y privacidad. Una vez que tenga una idea de su modus operandi, es más probable que esté atento y, a su vez, evite las estafas.

9. Seguridad más allá del Prime Day

Es poco probable que la temporada de compras termine con Prime Day, y tampoco nuestra vigilancia como compradores en línea. De esta manera, podemos mantener nuestros datos y PII tan seguros y lejos del alcance de los delincuentes en línea como sea posible. Amazon es una de las muchas plataformas que usamos para comprar. Pero lo que hemos descrito aquí se puede modificar para aplicarlo a otros.

Un reciente ataque de ransomware que jugó un papel importante en la muerte de una mujer alemana ha puesto de relieve tanto los peligros como la importancia de la ciberseguridad en la actualidad. Pero también ha llevado a algunos a señalar con el dedo quién fue el responsable.

Como de costumbre, jugar al juego de la culpa no ayuda a nadie, pero nos recuerda la imperiosa necesidad de trabajar en la seguridad de la atención médica.

¿Que pasó?

Hace unas semanas, el hospital universitario Uniklinikum de la ciudad alemana de Düsseldorf sufrió un ataque de ransomware. El hospital decidió no admitir nuevos pacientes hasta que resolviera la situación y restableciera el funcionamiento normal.

Debido a la parada de admisiones, una mujer que necesitaba ayuda inmediata tuvo que ser llevada al hospital de Wuppertal, que está a unas 20 millas más allá. Desafortunadamente, murió al llegar. Los 30 minutos adicionales que tardó en llevarla al siguiente hospital resultaron ser fatales.

Al final resultó que, el objetivo de la banda de ransomware ni siquiera era el hospital, sino la universidad a la que pertenece el hospital. Cuando los atacantes se enteraron de que el hospital también había sido víctima, entregaron la clave de descifrado de forma gratuita. A pesar de esa clave, el hospital tardó más de dos semanas en alcanzar un nivel de operatividad que les permitiera aceptar nuevos pacientes.

Esto no solo es trágico porque la mujer podría haberse salvado si el hospital universitario hubiera estado operativo, sino también porque demuestra una vez más cómo una de las partes más importantes de nuestra infraestructura carece de las defensas adecuadas contra amenazas prevalentes como el ransomware.

¿Cuáles son los principales problemas a los que se enfrenta la seguridad sanitaria?

En el pasado, hemos identificado varios elementos que hacen que la industria de la salud, y los hospitales en particular, sean más vulnerables a las ciberamenazas que muchas otras verticales.

Estos son algunos de esos elementos problemáticos:

• Internet de las cosas (IoT): debido a su naturaleza y método de uso, encontrará muchos dispositivos de IoT en hospitales que se ejecutan en diferentes sistemas operativos y requieren configuraciones de seguridad específicas para protegerlos del mundo exterior.
• Sistemas heredados: muy a menudo, los equipos más antiguos no funcionan correctamente con los sistemas operativos más nuevos, lo que da como resultado que varios sistemas se ejecuten en un SO desactualizado e incluso en software que haya llegado al final de su vida útil . Esto significa que el software ya no recibirá parches ni actualizaciones incluso cuando haya problemas conocidos.
• Falta de copias de seguridad adecuadas: incluso cuando se ha resuelto el problema subyacente, el objetivo atacado puede tardar demasiado en volver a un estado operativo. Los institutos deben tener al menos un plan de respaldo y tal vez incluso equipos y servidores de respaldo para las funciones más vitales para que puedan mantenerlos en funcionamiento cuando ocurre un desastre.
• Estresores adicionales: problemas adicionales como COVID-19, incendios y otros desastres naturales pueden reducir el tiempo y dejar de lado la necesidad de realizar actualizaciones, hacer copias de seguridad o pensar en cualquier cosa relacionada con la ciberseguridad. Estos factores estresantes y otras razones a menudo se denominan «tenemos cosas más importantes que hacer».

Riesgos de seguridad de IoT

Muchos dispositivos médicos que investigan y monitorean al paciente están conectados a Internet. Los consideramos parte del Internet de las cosas (IoT) . Este grupo de dispositivos viene con su propio conjunto de riesgos de seguridad, especialmente cuando se trata de información de identificación personal (PII) .

En todos los casos, es recomendable investigar si la configuración de los dispositivos permite acceder a él a través de la intranet en lugar de Internet. Si es posible, eso facilita proteger el dispositivo del acceso no autorizado y mantener los datos confidenciales dentro del perímetro de seguridad.

Sistemas heredados

Los sistemas médicos provienen de varios proveedores y en cualquier hospital encontrará muchos tipos diferentes. Cada uno con su propio objetivo, guía de usuario y régimen de actualización. Para muchos sistemas heredados, la regla de actuación será no jugar con él si funciona. El temor a una falla del sistema supera la urgencia de instalar los últimos parches. Y podemos relacionarnos con ese estado mental, excepto cuando se aplica a las actualizaciones de seguridad en un sistema conectado.

Estrés por desastres

Bien, aquí viene nuestra enésima mención de COVID-19, lo sé, pero es un factor que no podemos ignorar.

La reciente pandemia global contribuye a la falta de tiempo que el personal de TI de muchas organizaciones de atención médica siente que tiene. Lo mismo ocurre con muchos otros desastres que requieren la creación de soluciones de emergencia.

En algunos casos, se construyeron clínicas especializadas completas para tratar con las víctimas de COVID-19 y para reemplazar la capacidad perdida en otros desastres como incendios forestales y deslizamientos de tierra.

¿Asuntos más importantes a la mano?

Es difícil exagerar la importancia del “triaje” en el sistema de salud. Es probable que los profesionales de la salud, como enfermeras y médicos, lo practiquen todos los días, dando prioridad a las necesidades más críticas del paciente segundo a segundo.

No debería sorprender que la clasificación también tenga un lugar en la administración de TI. Los centros de salud deben determinar qué sistemas requieren atención inmediata y qué sistemas pueden esperar.

Curiosamente, el CISO del hospital que sufrió el ataque de ransomware fue acusado de negligencia en algunos medios alemanes. La aplicación de la ley en Alemania está avanzando tanto para tratar de identificar a las personas detrás del ataque de ransomware, como para acusarlas potencialmente de homicidio negligente debido a la muerte de la mujer.

Si bien difícilmente podemos culpar al CISO por la muerte de la mujer, puede llegar un momento en que la seguridad inadecuada y sus resultados puedan conllevar un castigo para los responsables.

Ransomware en particular

El ransomware en juego en el caso alemán se identificó como DoppelPaymer y se determinó que estaba implantado dentro de la organización utilizando la vulnerabilidad CVE-2019-19781 en las VPN de Citrix.

En noticias más recientes, nos enteramos de que los hospitales de UHS en los EE. UU. Se vieron afectados por el ransomware Ryuk .

También es importante recordar que los costos de un ataque de ransomware a menudo se subestiman. La gente tiende a mirar solo el monto real del rescate exigido, pero los costos adicionales suelen ser mucho más altos que eso.

Se necesitan muchas horas-personas para restaurar todos los sistemas afectados en una organización y volver a un estado completamente operativo. El tiempo de recuperación será menor en una organización que viene preparada. Tener un plan de restauración y copias de seguridad adecuadas que sean fáciles de implementar puede agilizar el proceso de volver al negocio. Otra tarea importante es averiguar cómo sucedió y cómo tapar el agujero, para que no vuelva a suceder. Además, puede ser necesaria una investigación exhaustiva para comprobar si el atacante no dejó ninguna puerta trasera .

Hay un problema para cada solución

La seguridad probablemente nunca alcanzará una calidad hermética, por lo que además de hacer que nuestra infraestructura, especialmente las partes vitales de la misma, sean lo más seguras posible, también debemos pensar en el futuro y hacer planes para lidiar con una brecha. Ya sea que se trate de una filtración de datos o un ataque que paraliza partes importantes de nuestros sistemas, queremos estar preparados. Saber qué hacer, y en qué orden, puede ahorrar mucho tiempo en la recuperación ante desastres. Tener las herramientas y las copias de seguridad a mano es el segundo paso para limitar los daños y ayudar con una recuperación rápida.

En resumen, necesitarás:

• Planes de recuperación para diferentes escenarios: filtraciones de datos , ataques de ransomware, lo que sea
• Copias de seguridad de archivos que son recientes y fáciles de implementar u otro tipo de método de reversión
• Sistemas de respaldo que pueden asumir el control cuando los sistemas críticos están paralizados
• Capacitación para los involucrados, o al menos una oportunidad para familiarizarlos con los pasos de los planes de recuperación.

Y por último, pero no menos importante, no olvide centrarse en la prevención. Lo mejor de un plan de recuperación es que nunca lo necesita.

Cuando el incipiente concepto de Internet de las cosas (IoT) comenzaba a entusiasmar al mundo hace casi una década, tal vez ningún amante del café en ese momento se hubiera imaginado incluir la máquina de café en la lista de dispositivos conectados a Internet, incluso en broma . Es cierto que la máquina de café simple y utilitaria puede no ser tan popular ahora como solía serlo en el pasado, pero su disponibilidad continua dentro de las oficinas y las cocinas de los hogares privados, además de los riesgos inherentes, al igual que cualquier dispositivo de IoT, pueden estar en igualdad de condiciones con su altavoz inteligente , timbre inteligente o bombilla inteligente .

Los problemas de ciberseguridad que rodean a las máquinas de café conectadas a Internet se ven acentuados por las últimas noticias sobre cómo Martin Hron, un ingeniero inverso de Avast, manipuló su cafetera Smarter no solo para emitir un pitido y arrojar agua caliente, sino también para privarlo de una buena preparación matutina. y mostrar una breve nota de rescate.

Sí, Hron convirtió su cafetera en una máquina de ransomware modificando directamente su firmware .

Tu caos antes del desayuno

En pocas palabras, el firmware es un software que permite a los usuarios controlar el hardware electrónico que están usando. Normalmente, el firmware no tiene cifrado o cualquier forma de protección, por lo que es un objetivo probable y fácil de golpear por maliciosos hackers y sp agencias Y .

“Mis colegas a menudo me escuchan decir que ‘el firmware es un software nuevo’. Y que el software es muy a menudo viciado “, escribe Hron en un TPV de blogs t detallando su máquina de café retoques hazañas ,“El estado de debilidad de la seguridad de la IO se debe en gran parte al hecho de que, hoy en día, es más cómoda y barata de lugar un procesador dentro de un dispositivo […]. Esta solución no solo es barata, sino que también tiene una propiedad importante: se puede actualizar «.

Cuando se trata de irrumpir en cafeteras inteligentes para explorar vulnerabilidades en dispositivos inteligentes, este no es el primer rodeo de Hron. También hizo una máquina de ransomware con la cafetera que pirateó en junio de 2019 para que hiciera las cosas que hemos visto en el video anterior. No solo eso, demostró que los dispositivos inteligentes, en general, se pueden usar como una puerta de entrada a redes privadas, permitiendo que los actores de amenazas hagan lo que quieran dentro de este espacio. Desde espiar en todos los dispositivos conectados a la misma red a la que está conectada la máquina de café, hasta interceptar la comunicación entre usuarios, descargar datos confidenciales y cargar software malicioso.

Desafortunadamente, esto último fue lo que le sucedió a una empresa cuando de repente se introdujo ransomware en su sistema a través de una máquina de café comprometida.

Café, conectividad y una nota de rescate

Un usuario de Reddit que usó el identificador C10H15N1 (admitió que el alias era desechable para mantener el anonimato) se dio cuenta de primera mano de cómo un pequeño error al configurar dispositivos de IoT en el lugar de trabajo podría causar pánico y problemas potencialmente masivos si no tratado desde el principio.

Hace tres años, relataron en una publicación , se enfrentaron a un problema cuando un operador de un sistema de control de fábrica local informó que las cuatro computadoras con software de monitoreo instalado estaban inactivas y mostraban un mensaje de error, que luego descubrimos que es en realidad un mensaje de ransomware. Como experto en controladores lógicos programables (PLC), C10H15N1 ayudó al operador a descubrir qué estaba mal y encontrar una solución. Primero, el operador le describió lo que sonaba como una infección de ransomware, algo que no sucedería dado que las computadoras afectadas, que aún funcionaban con una versión desactualizada de Windows XP, no estaban conectadas a Internet.

Luego, C10H15N1 le indicó al operador que reiniciara las computadoras y reinstalara una imagen nueva. Funcionó durante un tiempo, luego, una por una, las computadoras comenzaron a mostrar el mismo error nuevamente, dejando a C10H15N1 perplejo. Mientras estaba en medio de averiguar por qué se reinfectaron las computadoras, el operador se fue a buscar café, solo para regresar con las manos vacías porque no podía obtener una taza ya que las máquinas de café mostraban el mismo mensaje de error.

Al final del día, ningún humano o máquina resultó dañado durante el ataque. Finalmente se dieron cuenta de que los actores maliciosos usaban las máquinas de café como plataforma para infectar otras computadoras dentro de su red. Normalmente, las cafeteras inteligentes están conectadas a su propio Wi-Fi aislado; sin embargo, el personal de terceros que instaló las cafeteras las conectó a la red de la sala de control mediante un cable.

Sin embargo, la empresa de C10H15N1 envió una carta mordaz a su proveedor de máquinas de café sobre lo sucedido.

¿Qué puede hacer para protegerse de los problemas que le puede causar su cafetera inteligente?

Si bien es cierto que el ransomware de IoT ya no es una teoría, sino una realidad, aunque rara, esto no significa que esté bien que las organizaciones y los consumidores mantengan la guardia baja. Ahora que tenemos un escenario del mundo real, junto con múltiples hazañas de investigadores de seguridad que han logrado piratear percoladores inteligentes [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ], el ransomware de IoT debe estar en todos radares de empresas y ciudadanos privados. Ya deberían estar pensando en formas de protegerse mejor. Comencemos con estos:

• Asegúrese de que su cafetera inteligente no esté conectada a una red que también esté conectada por sistemas con información confidencial. También evite conectarse a una red donde se produzcan comunicaciones sensibles dentro de su organización (o hogar).
• Actualice el firmware de su cafetera inteligente lo antes posible.
• Asegure su red. En lugar de usar la contraseña predeterminada de su enrutador, cámbiela por una más compleja.

Cuando se trata de si debe obtener un dispositivo IoT o no, la regla general es primero hacerse esta pregunta: ¿ Realmente necesito mi bombilla / cafetera / lavadora / timbre / otros artículos del hogar para ser inteligente?

Si su respuesta es “no”, entonces debe seguir usando los artículos y electrodomésticos que está usando. Sin embargo, si tener un IoT en el hogar es inevitable , realmente necesita reemplazar ese televisor roto y ya no hay ninguna tienda que venda la misma marca y modelo, entonces compre ese televisor inteligente y esa cafetera inteligente también. mientras estás en eso. Pero asegúrese de hacer todo lo posible para mantenerse protegido. Recuerde que su proveedor tiene un papel que desempeñar en la seguridad de las cosas. Tú también tienes tu parte.

Para comprender mejor los métodos modernos de detección de malware, es una buena idea mirar las cajas de arena. En ciberseguridad, el uso de sandboxes ha ganado mucha tracción durante la última década. Con la gran cantidad de malware nuevo que nos llega todos los días, los investigadores de seguridad necesitaban algo para probar nuevos programas sin invertir demasiado de su valioso tiempo.

Las cajas de arena brindan entornos ideales y aislados para detectar ciertos tipos de malware sin darle la oportunidad de propagarse. Según el comportamiento observado, las muestras se pueden clasificar como inofensivas, maliciosas o «necesita una mirada más de cerca».

La ejecución de programas en un entorno tan apartado se denomina sandboxing y el entorno en el que se permite ejecutar las muestras se denomina sandbox.

Definición de sandboxing

Comencemos con una definición para que sepamos de qué estamos hablando. Hay muchas definiciones, pero soy parcial a esta :

“El sandboxing es una estrategia de administración de software que aísla las aplicaciones de los recursos críticos del sistema y otros programas. La zona de pruebas ayuda a reducir el impacto que cualquier programa o aplicación individual tendrá en su sistema «.

No soy partidario de esta definición porque sea más correcta que otras definiciones, sino porque dice exactamente lo que queremos de una caja de arena en la investigación de malware: sin impacto en los recursos críticos del sistema. Queremos que el malware nos muestre lo que hace, pero no queremos que interfiera con nuestro monitoreo o infecte otros sistemas importantes. Preferiblemente, queremos que cree un informe completo y pueda restablecer la caja de arena rápidamente para que esté lista para la siguiente muestra.

Detección de malware y sandboxing

Partiendo de esa definición, podemos decir que un sandbox de ciberseguridad es un entorno físico o virtual que se utiliza para abrir archivos o ejecutar programas sin la posibilidad de que ninguna muestra interfiera con nuestro monitoreo o afecte permanentemente al dispositivo en el que se están ejecutando. La zona de pruebas se utiliza para probar código o aplicaciones que podrían ser maliciosas antes de distribuirlas en dispositivos críticos.

En ciberseguridad, el sandboxing se utiliza como método para probar software que terminaría siendo categorizado como «seguro» o «inseguro» después de la prueba. En muchos casos, se permitirá que el código se ejecute y se utilizará un algoritmo de aprendizaje automático (ML) u otro tipo de Inteligencia Artificial (IA) para clasificar la muestra o moverla hacia arriba para una determinación más cercana.

Software malicioso y sandboxes en línea

A medida que avanzaba el desarrollo de la tecnología sandbox y surgía la demanda de un método rápido para probar el software, vimos la introducción de sandboxes en línea. Estos son sitios web donde puede enviar una muestra y recibir un informe sobre las acciones de la muestra según lo observado por el sandbox en línea.

Aún se necesita un ojo experimentado para determinar a partir de estos informes si la muestra enviada fue maliciosa o no, pero para muchos administradores de sistemas en una organización pequeña, es una verificación rápida que les permite decidir si quieren permitir que algo se ejecute dentro de su perímetro de seguridad. .

Algunos de estos entornos sandbox en línea incluso han llevado este procedimiento un paso más allá y permiten la entrada del usuario durante el proceso de monitoreo.

Esta es una configuración ideal para esos tipos de situaciones en las que la víctima prevista necesita descomprimir un archivo adjunto protegido con contraseña y habilitar el contenido en un documento de Word. O esos molestos instaladores de adware que requieren que se desplace a través de su Acuerdo de licencia de usuario final (EULA) y haga clic en «Aceptar» e «Instalar». Como puedes imaginar. estos no harán mucho en una caja de arena completamente automatizada, pero para un analista de malware, estas muestras entrarían en la categoría que requiere atención humana de todos modos.

Sensibilidad de la caja de arena

En la actual «carrera armamentista» entre los creadores de malware y los profesionales de la seguridad, los creadores de malware comenzaron a agregar rutinas a sus programas que verifican si se ejecutan en un entorno virtual. Cuando los programas detectan que se están ejecutando en un sandbox o en una máquina virtual (VM), arrojan un error o simplemente dejan de ejecutarse silenciosamente. Algunos incluso realizan alguna tarea inofensiva para desviarnos de su pista. De cualquier manera, estas muestras de malware que evitan la zona de pruebas no ejecutan su código malicioso cuando detectan que se están ejecutando dentro de un entorno controlado. Su principal preocupación es que los investigadores puedan monitorear el comportamiento y proponer estrategias de respuesta, como bloquear las URL con las que la muestra intenta contactar.

Algunos de los métodos que utiliza el malware para determinar si se está ejecutando en una zona de pruebas son:

• Retrasar la ejecución para aprovechar el tiempo de espera integrado en la mayoría de los entornos sandbox.
• Huella digital de hardware. Los entornos sandbox y las máquinas virtuales se pueden reconocer ya que normalmente son diferentes de las máquinas físicas. Un uso mucho menor de recursos, por ejemplo, es uno de esos indicadores.
• Medición de la interacción del usuario. Algunos programas maliciosos requieren que el usuario esté activo para que se ejecuten, incluso si solo es un puntero del mouse en movimiento.
• Detección de red. Algunas muestras no se ejecutarán en sistemas que no estén en red.
• Comprobando otros programas en ejecución. Algunas muestras buscan procesos que se sabe que se utilizan para la supervisión y se niegan a ejecutarse cuando están activos. Además, la ausencia de otro software puede considerarse un indicador de ejecución en una caja de arena.

Sandboxes y máquinas virtuales

En el párrafo anterior hicimos referencia tanto a las máquinas virtuales como a las cajas de arena. Sin embargo, aunque los entornos sandbox y las máquinas virtuales comparten suficientes características como para confundirse entre sí, en realidad son dos tecnologías diferentes.

Lo que realmente los distingue es que la Máquina Virtual siempre actúa como si fuera un sistema completo. Una caja de arena se puede hacer mucho más limitada. Por ejemplo, se puede hacer que una caja de arena se ejecute solo en el navegador y ninguna de las otras aplicaciones en el sistema notaría que está allí. Por otro lado, una máquina virtual que esté completamente separada del resto del mundo, incluido su host, se consideraría una caja de arena.

Para completar el círculo, por así decirlo, hemos visto malware entregado en forma de VM. Este tipo de ataque se observó en dos familias separadas, Maze y Ragnar Locker. Los actores de amenazas de Maze incluyeron un instalador de VirtualBox y la unidad virtual de VM armada dentro de un archivo msi (paquete de instalador de Windows). Luego, los atacantes usaron un script por lotes llamado starter.bat para lanzar el ataque desde dentro de la VM.

Si desea conocer más detalles técnicos sobre estos ataques, aquí hay una lectura recomendada: Los atacantes de Maze adoptan la técnica de máquina virtual de Ragnar Locker

El futuro del sandboxing

Teniendo en cuenta que la contenedorización y las máquinas virtuales se están volviendo más comunes como reemplazo de las máquinas físicas, nos preguntamos si los ciberdelincuentes pueden permitirse cancelar su ataque cuando descubren que se están ejecutando en una caja de arena o en una máquina virtual.

Por otro lado, los métodos de detección de malware desarrollados alrededor de las cajas de arena son cada día más sofisticados.

Entonces, ¿podría ser este el campo donde la carrera armamentista está a favor de los buenos? Solo el futuro nos lo podrá decir.

«Pon tu dinero en el banco y podrás verlo crecer». Si hay una declaración que nos muestra cuánto ha cambiado el mundo financiero, es esta. Con la introducción del interés negativo, las empresas y los consumidores con una gran cantidad de activos líquidos buscan una forma diferente de manejar esos activos.

Aquí es donde entra en juego la innovadora industria fintech.

¿Qué es fintech?

El hardware y software que se utiliza en el mundo financiero se conoce generalmente como fintech. Pero la expresión también se usa para describir las startups en el mundo financiero. En este artículo se utilizará para describir la tecnología, ya que muchas de las instituciones financieras establecidas sienten que necesitan adaptarse a la misma nueva tecnología que las startups ofrecen a sus clientes. Debido a esto, podemos encontrar estas nuevas características en la banca y otras aplicaciones financieras, tanto en las aplicaciones de empresas exitosas como en las de las nuevas finanzas.

Diferencias en los mercados líderes

Cuando piensas en fintech, hay una gran diferencia en lo que todos pueden imaginar, y esto puede depender en gran parte de la parte del mundo en la que te encuentres. Antes de 2017, EE. UU. Estaba liderando el camino y estaban haciendo grandes inversiones en desarrollo de nuevas tecnologías relacionadas con la banca en línea, aplicaciones móviles y otras nuevas tecnologías en este campo.

A partir de entonces, las inversiones en los EE. UU. En esta industria comenzaron a disminuir, simplemente porque las empresas existentes resultaron necesitar demasiadas inversiones antes de que pudieran llegar a ser rentables. Además, había demasiados caballos en los que apostar, y cuantos más caballos, más difícil es elegir el ganador. El campo de juego en Europa era más fácil de supervisar y muchas ramas nuevas fueron llevadas por árboles más viejos y confiables. En otras palabras, las empresas de tecnología financiera en Europa han sido infravaloradas por el mercado durante mucho tiempo, al tiempo que ofrecen un valor agregado sustancial y perspectivas de crecimiento más interesantes que sus contrapartes estadounidenses. Los avances en los productos y el enfoque en la regulación han hecho que las empresas europeas de tecnología financiera sean más atractivas para los inversores.

La regulación es un factor importante

El uso de fintech para el consumidor en los Estados Unidos parece estar muy por detrás del de la mayor parte de Europa, donde la regulación que mira hacia el futuro ha provocado un aumento de la innovación en los servicios de banca digital junto con la infraestructura de backend en la que se construyen y operan los productos.

Eso podría parecer contradictorio, ya que a menudo se culpa a la regulación de ralentizar la innovación. En cambio, los reguladores europeos se han centrado en reducir las barreras al crecimiento de las fintech en lugar de aferrarse a la forma en que están las cosas. Por ejemplo, la regulación de Banca Abierta del Reino Unido requiere que los nueve grandes bancos del país compartan datos de clientes con proveedores autorizados de fintech.

Importancia de fintech

La industria financiera se considera una infraestructura vital y por una buena razón. Cuando perdemos la confianza en nuestras instituciones financieras, nuestra sociedad se pone patas arriba.

Los skimmers web son un obstáculo potencial cuando se trata de problemas de confianza. En términos generales, los skimmers web insertan código en sitios web legítimos para espiar los detalles de pago e intentar encontrar suficiente información para robarle al comprador. Estos conjuntos de información se venden en el mercado negro al mejor postor y podrían resultar muy costosos para la víctima o su banco si reembolsan a sus clientes. Pero incluso si recibe un reembolso, la ocurrencia de que alguien saquee su cuenta bancaria podría ahuyentar a los compradores potenciales de las compras en línea.

Fintech, como industria, es uno de los posibles cuidadores cuando se trata de construir sitios web a prueba de manipulaciones y evitar la interceptación de detalles de pago reutilizables.

Cumplimiento de PCI DSS

Uno de los instrumentos que ya está implementado, pero que podría implementarse mejor, es el cumplimiento de PCI DSS . Los proveedores que se mantengan en la cima para lograr un cumplimiento efectivo y sostenible harán una contribución notable al nivel de confianza que los consumidores tendrán en las transacciones en línea y otras innovaciones de tecnología financiera.

Las diferencias

El futuro de la tecnología financiera es prometedor, pero la rapidez con la que podamos cosechar los frutos depende de dónde vivamos y cómo nuestros gobiernos manejen la regulación del sector. Como hemos dicho antes, las leyes europeas se centran en permitir desarrollos en la industria fintech. Todo el tiempo vigilando los problemas de privacidad bajo la bandera de las regulaciones GDPR. En Estados Unidos, la industria ha estado bajo un intenso escrutinio desde la crisis bancaria de 2008. Para las startups de fintech, esto ha resultado en un marco regulatorio complicado, pero también en la inexistencia de una legislación concreta para las firmas de fintech que tome en consideración la diferente naturaleza de sus actividades. Y si estas empresas quieren ser actores a nivel internacional, también deben cumplir con las regulaciones de GDPR.

Una solicitud común de la industria fintech de EE. UU. Ha sido implementar una legislación que respalde a las nuevas empresas y esté hecha a la medida para la industria específica. La sensación es que esto creará un entorno favorable para el crecimiento y dará a la industria la oportunidad de ponerse al día con sus homólogos europeos.

Dado que la mayor parte de la actividad de las nuevas empresas europeas de tecnología financiera se basa en el Reino Unido, algunos analistas todavía están conteniendo la respiración mientras las implicaciones del Brexit comienzan a aclararse. Durante el período de implementación, la legislación de la UE seguirá aplicándose y las empresas y los fondos seguirán beneficiándose. Pero esto no ha aportado mucha certeza para el sector de servicios financieros a largo plazo. Los bancos más tradicionales ya se están preparando para mover cientos de miles de millones de dólares de Londres al continente después del Brexit. La magnitud de la medida probablemente dependerá del resultado de las negociaciones de nuevos acuerdos comerciales entre el Reino Unido y la UE. Pero, un informe de thinktank New Financialsugiere que 332 empresas de servicios financieros ya han trasladado sus puestos de trabajo fuera de Londres debido al Brexit, frente a 60 la última vez que buscaron en marzo de 2019.Y esto fue antes de que la pandemia de COVID afectara el progreso de las negociaciones entre el Reino Unido y la UE. . Las empresas están considerando moverse como consecuencia del retraso y la incertidumbre en torno al Brexit.

Seguridad del consumidor

Cualquiera que sea la ruta que decidan tomar los legisladores, debe quedar claro que la seguridad del consumidor es una prioridad. Sin la confianza del consumidor, todos los esfuerzos de fintech serán inútiles de todos modos. Obviamente se cometerán errores , pero deben tratarse de manera justa y se deben aprender lecciones de ellos.

Una de las razones por las que algunas de las startups fintech son tan exitosas radica en su capacidad para ofrecer alternativas a las soluciones financieras convencionales a través de criptomonedas, préstamos online y P2P. Se presenta una variedad de desafíos y uno de ellos será la ciberseguridad. El enorme crecimiento en el número y tamaño de las plataformas en línea hace que esta industria sea muy vulnerable a las brechas de seguridad y crea objetivos potenciales para los ataques DDoS .

Los datos hacen girar al mundo, la mayoría de las veces a través de la publicidad y sus mecanismos de seguimiento. Ya sea que piense que ganar dinero con grandes volúmenes de PII para mantener la web funcionando es algo bueno, o una captura de datos sórdida que a menudo fomenta prácticas publicitarias terribles, no va a desaparecer pronto. La publicidad benéfica es una característica importante de la generación de ingresos para las organizaciones benéficas con sede en el Reino Unido, y ahí es donde se encuentra nuestro enfoque en esta publicación.

ProPrivacy ha publicado un análisis detallado de los mecanismos de seguimiento de anuncios en sitios web de organizaciones benéficas populares, y explora los matices de las organizaciones que equilibran la necesidad de permanecer en funcionamiento junto con garantizar que los datos personales y la privacidad sean una prioridad en la agenda . Desafortunadamente, parece que todavía queda mucho trabajo por hacer en ese sentido.

El juego de los numeros

Desde el principio, creo que es importante precisar exactamente de qué tipo de números estamos hablando aquí. El informe es increíblemente largo y detallado y, como resultado, es bastante fácil pasar por alto puntos clave. Si hojeó el informe, o simplemente echó un vistazo a algunos fragmentos, podría pensar que 80,000 organizaciones benéficas con sede en el Reino Unido están recolectando datos a gran escala. Ese no es el caso.

Los dominios fueron extraídos por investigadores de la base de datos del Comisionado de Caridad. Una vez que se eliminaron del total los sitios potencialmente no relacionados, como las editoriales, los subdominios, las URL muertas y más, lo que queda son 64.000 sitios. Sigue siendo una cantidad considerable de dominios. Aun así, esa cuenta está a punto de caer aún más.

Los autores del estudio dedujeron que el 42% de lo que quedaba utilizaba tecnología de seguimiento de anuncios. Eso es alrededor de 27.000 sitios. Este sigue siendo un número importante, pero como puede ver, ya hemos perdido una parte significativa del recuento original.

Agregar forma a los datos

En cuanto a qué tipo de publicidad benéfica acechaba en esos sitios, daré un paso atrás y dejaré que los investigadores hablen:

La mayoría de estos rastreadores estaban relacionados con plataformas sociales. El 33,8% de los sitios analizados contenían rastreadores pertenecientes a: Facebook, Twitter, AddThis, YouTube, Instagram, LinkedIn o Flickr.

DoubleClick, la plataforma de publicidad programática (RTB) propiedad de Alphabet, se instaló en 10.105 (15,6% de los sitios).

Fuera del ecosistema publicitario de Google, encontramos 330 (0,51%) organizaciones benéficas con rastreadores de RTB y 220 (0,34%) con rastreadores de corredores de datos instalados.

Su kilometraje puede variar (¡y variará!) , Pero personalmente no creo que la gente generalmente tenga problemas con cosas como los complementos sociales, especialmente cuando muchos de nosotros usamos esas herramientas a diario. También es bastante fácil averiguar qué hacen exactamente esos complementos y cómo evitarlos si realmente lo desea.

Sin embargo, algunos de los otros elementos podrían ser motivo de preocupación .

El estudio encontró que el 90% de las 100 organizaciones benéficas más populares del Reino Unido utilizaba métodos publicitarios a través de DoubleClick o tecnología similar. Nuevamente, DoubleClick de Google es algo en lo que al menos puede encontrar información y tomar una decisión informada sobre si desea que sus datos interactúen con él. Con ellos fuera de la imagen, el 40% utilizó elementos de terceros pertenecientes a jugadores de RTB o intermediarios de datos.

Aquí es donde la historia realmente se pone en marcha. Antes de que se pueda patear dicho equipo, es hora de un breve interludio de «¿Qué es RTB?».

¿Qué son las ofertas en tiempo real (RTB)?

En los tiempos antiguos de la publicidad en línea, los anuncios se compraban a granel y se colocaban solo en sitios web específicos. Todo fue un poco engorroso y no particularmente sofisticado, al menos en comparación con lo que ahora está disponible. Real Time Bidding (RTB) es un sistema en el que los anunciantes compiten en tiempo real frente a públicos y objetivos específicos.

Es más ágil que los métodos más tradicionales de colocación de bloques de anuncios y, por lo general, un poco más económico. En lugar de los viejos métodos masivos, puede asignar el presupuesto del tamaño que desee y solo «ganar» las ofertas que le interesan. Cualquier cosa que no sea importante para su estrategia general no influirá en las cosas.

Piense en ello como un sándwich publicitario, con los anunciantes que desean promocionar productos por un lado, el sitio web por el otro y la red publicitaria que se completa entre los dos. Dentro de ese espacio de la red publicitaria, tienes a los grandes jugadores en la cima del … ¿árbol sándwich? … y una procesión interminable de agencias publicitarias.

Por lo general, hay agencias de publicidad adicionales que cumplen el papel de intermediarios que se relacionan con dichos peces gordos. En medio de todo esto, los anunciantes deshonestos colocan sus ofertas por impresiones junto con los compradores legítimos, y la naturaleza en tiempo real de las cosas hace que sea difícil detectarlas. Esos anuncios falsos podrían estar promoviendo malware, redireccionamientos o ambos.

Eso está en el extremo «definitivamente muy malo» de la escala. En otros lugares, simplemente tenemos «RTB funcionando según lo previsto». Esa es nuestra señal para volver a la historia que nos ocupa.

Sitios benéficos y RTB

Según la investigación, 21 organizaciones benéficas están compartiendo datos con corredores directamente y siete con más de un corredor. Como puede imaginar, es importante cumplir con todas las reglas relevantes para mantener a los visitantes del sitio a salvo de posibles intrusiones en la privacidad. Lo que encontró el estudio, sin embargo, fue que en muchos casos en lo que respecta a la publicidad benéfica, las organizaciones simplemente no tenían idea de lo que estaba sucediendo en su sitio.

Las cadenas tipo margarita de solicitudes de terceros desde el rastreador colocado inicialmente significan que los datos de los visitantes se pueden compartir con varias empresas. ¿Quienes son? ¿Qué están haciendo con él? Bueno, es posible que la organización benéfica no lo sepa y usted tampoco. Si las personas que dirigen la tecnología publicitaria no explican completamente lo que va a suceder a las organizaciones benéficas, eso deja en riesgo tanto al sitio como a los visitantes.

Oh no, mi tarro de galletas

Peor aún, el cumplimiento de las cookies es un desastre. En teoría, cuando ve uno de esos avisos de «Acepta», se supone que debe poder decidir si acepta cookies / seguimiento o no. Todo debe detenerse bajo el capó y esperar a que tome una decisión informada. La realidad es un poco impactante, con un enorme 92% de los principales sitios de caridad que no pausan la carga de cookies hasta que se toma una decisión.

Volviendo a los datos, 8 organizaciones benéficas detuvieron 3 ^rd cookie de carga hasta que se tomó la decisión. El resto estaba potencialmente compartiendo datos con los anunciantes mientras el visitante del sitio decide qué hacer a continuación. El 30% de los del nivel superior no dio ninguna opción de consentimiento de ninguna manera. Alguna forma de control real ofrecida a los visitantes fue otorgada por solo el 32%, con un 13% asegurando que sus cookies estén inactivas, esperando que el visitante haga un movimiento.

Esto, francamente, no es genial.

Escenas de una donación benéfica

Muchos de nosotros donamos a organizaciones benéficas, ya sean pagos únicos, suscripciones continuas, bolsas de ropa y más. Para dar un ejemplo, después de una mudanza, pasé con mucha ropa y otros artículos que ya no tenía uso. La forma en que funciona es que usted llena algunos formularios cuando lo entrega, y unos meses después llega una carta por la puerta. Me anima a visitar el sitio web y «Ver lo que hemos hecho con sus artículos».

Hay algunas formas diferentes en que esto puede suceder:

1. La carta se personalizará para mis artículos, por ejemplo, con un código impreso único que ingreso en el sitio. A partir de ahí, el sitio web intentaría vincularme a los elementos proporcionados para comenzar a comparar los datos personales y los perfiles publicitarios. ¿Quién sabe si las herramientas de marketing ocultas hacen algo antes de que yo tome decisiones relacionadas con las cookies? ¿Si están conectados a empresas de publicidad en cadena?
2. La carta incluye un código vinculado a su nombre / dirección. Este código puede o no usarse en el sitio web para actualizar los detalles en caso de mudanza. Es posible que esto esté vinculado a los perfiles de marketing cuando se ingrese o actualice por primera vez, y luego vuelva a la misma situación en el ejemplo 1.

Es hora de hacer una elección

En mi ejemplo, el sitio me presenta una ventana emergente de la longitud de la página, indicándome que las cookies analíticas / de marketing están desactivadas de forma predeterminada. Las cookies esenciales están marcadas y hay dos casillas de «aceptar la configuración recomendada» colocadas por separado. ¿No hay forma de rechazar las cookies esenciales incluso si el sitio requiere que funcionen? Si hago clic en «aceptar la configuración recomendada» junto a las cookies de marketing actualmente desactivadas, ¿las habilitará? ¿O está «desactivado» la configuración recomendada?

¿La casilla «aceptar la configuración recomendada» junto a las cookies esenciales marca la casilla relacionada con aquellas específicamente, o hace lo mismo que la casilla de configuración recomendada junto a las cookies de marketing? ¿Dónde hago clic para averiguarlo?

Estas son solo algunas de las preguntas que tenía en mente mientras navegaba por la página, y no estoy completamente seguro de cuáles serán las respuestas correctas. Bien puede ser una observación ligeramente excesiva de las opciones que tengo ante mí, pero tales observaciones son necesarias para averiguar exactamente a qué estamos acordando. Sin ellos, la idea de otorgar el consentimiento parece algo sin sentido.

Ética caritativa

Como señala el informe, muchas organizaciones benéficas se ocupan de temas muy delicados. ¿Qué tan preparados estamos para convertirnos en monetizados para terceros al azar, con el fin de mantener funcionando nuestras organizaciones benéficas favoritas? No hay respuestas fáciles a esta pregunta. El requisito principal aquí es garantizar que los datos de las personas sean tratados con el mismo respeto que las organizaciones benéficas dan a los destinatarios de su arduo trabajo. Los donantes están felices de que estas organizaciones sigan funcionando, y definitivamente es de interés a largo plazo para las organizaciones benéficas mantenerlas así.

Las campañas de publicidad maliciosa que conducen a kits de explotación no son tan comunes en estos días. De hecho, varios actores de amenazas han pasado a otros métodos de entrega en lugar de depender de descargas no autorizadas.

Sin embargo, ocasionalmente vemos picos en la actividad que son lo suficientemente notables como para resaltar una carrera exitosa. A finales de agosto, comenzamos a ver una campaña de kit de exploits de Fallout que distribuía Raccoon Stealer a través de sitios para adultos de alto tráfico. Poco después de que lo informamos a la red publicitaria, el mismo actor de amenazas regresó nuevamente usando el kit de explotación RIG.

Luego vimos posiblemente la campaña más grande hasta la fecha en el sitio principal xhamster [.] Com de un malvertiser que hemos rastreado durante más de un año. Este actor de amenazas ha logrado abusar de prácticamente todas las redes publicitarias para adultos, pero esta puede ser la primera vez que golpea a un editor importante.

Publicidad maliciosa en una red publicitaria popular

El primer anunciante malintencionado que observamos fue capaz de pujar por anuncios en varios sitios para adultos dirigiéndose a usuarios que ejecutan Internet Explorer sin ninguna restricción de geolocalización en particular, aunque la mayoría de las víctimas estaban en los EE. UU.

En esta campaña, los delincuentes abusaron de la popular red publicitaria ExoClick utilizando diferentes páginas de redireccionamiento. Sin embargo, cada vez pudimos notificar a la red publicitaria y hacer que se apagaran rápidamente.

El primer dominio que utilizaron fue inteca-deco [.] Com, que estaba configurado como una agencia de diseño web, pero visiblemente una página de señuelo para el ojo entrenado.

El encubrimiento simple del lado del servidor realiza la redirección a una página de inicio del kit de explotación de Fallout que intenta explotar CVE-2019-0752 (Internet Explorer) y CVE-2018-15982 (Flash Player) antes de eliminar el Raccoon Stealer.

Aproximadamente 10 días después, otro dominio, websolvent [.] Me, se activó pero utilizó una técnica de redirección diferente, una redirección 302, también conocida como amortiguación 302. Esta vez vemos el kit de explotación RIG que también ofrece Raccoon Stealer.

Más allá de una carga útil común, esos dos dominios también están relacionados. Un rastreo de RiskIQ confirma una relación entre estos 2 dominios donde el host principal fue sorprendido haciendo un redireccionamiento de meta actualización al secundario:

La publicidad maliciosa en los mejores sitios para adultos obtiene el máximo alcance

El segundo malvertiser (‘malsmoke’) es uno que hemos rastreado diligentemente durante los últimos meses y cuya carga útil final es a menudo el malware Smoke Loader. Es, con mucho, el más atrevido y exitoso, ya que persigue a grandes editoriales y una variedad de redes publicitarias. Sin embargo, hasta ahora solo los habíamos visto en editoriales de la industria para adultos que todavía son relativamente pequeñas.

En este caso, el actor de amenazas pudo abusar de la red publicitaria de Traffic Stars y colocar su anuncio malicioso en xhamster [.] Com, un sitio con poco más de 1.06 mil millones de visitas mensuales según SimilarWeb.com .

Las puertas utilizadas por este grupo también utilizan un sitio señuelo y con el tiempo han registrado dominios burlándose de las redes publicitarias y los proveedores de la nube.

El mecanismo de redireccionamiento es más sofisticado que los utilizados en otras campañas de publicidad maliciosa. Hay algunas comprobaciones de huellas digitales y conectividad del lado del cliente para evitar VPN y proxies, que solo apuntan a direcciones IP legítimas.

Curiosamente, esta instancia de Smoke Loader también descarga Raccoon Stealer y ZLoader.

Malsmoke es probablemente la campaña de publicidad maliciosa más persistente que hemos visto este año. A diferencia de otros actores de amenazas, este grupo ha demostrado que puede cambiar rápidamente de redes publicitarias para mantener su negocio ininterrumpido.

¿Sigues usando Internet Explorer?

Los actores de amenazas que siguen aprovechando los kits de explotación para distribuir malware es una cosa, pero los usuarios finales que navegan con Internet Explorer es otra. A pesar de las recomendaciones de Microsoft y los profesionales de la seguridad, solo podemos ser testigos de que todavía hay una serie de usuarios (consumidores y empresas) en todo el mundo que aún no han migrado a un navegador moderno y totalmente compatible.

Como resultado, los autores de kits de explotación están exprimiendo hasta el último jugo de las vulnerabilidades en Internet Explorer y Flash Player (que se retirarán definitivamente el próximo año).

Los clientes de Malwarebytes han estado protegidos durante mucho tiempo contra la publicidad maliciosa y los kits de explotación. Continuamos rastreando e informando las campañas con las que nos encontramos para ayudar a hacer nuestra parte para mantener Internet más seguro.

Indicadores de compromiso

Puertas utilizadas en campaña de publicidad maliciosa que empuja a Raccoon Stealer

intica-deco [.] com
websolvent [.] me

Ladrón de mapaches

b289155154642ba8e9b032490a20c4a2c09b925e5b85dda11fc85d377baa6a6c
f319264b36cdf0daeb6174a43aaf4a6684775e6f0fb69aaf2d7dc051a593de93

Ladrón de mapaches C2s

34.105.147 [.] 92 / gate / log.php
chinadevmonster [.] Top / gate / log.php

Cargador de humo

23bef893e3af7cb49dc5ae0a14452ed781f841db7397dc3ebb689291fd701b6b

Cargador de humo C2s

dkajsdjiqwdwnfj [.] info
2831ujedkdajsdj [.] info
928eijdksasnfss [.] info
dkajsdjiqwdwnfj [.] info
2831ujedkdajsdj [.] info
928eijdksasnfss [.] info

Puertas utilizadas en la campaña de malsmoke

einlegesohle [.] com / indexx.php
adexhangetomatto [.] space
encelava [.] com / coexo.php
encelava [.] com / caac
uneaskie [.] com / ukexo.php
bumblizz [.] com / auexo.php
bumblizz [ .] com / auflexexo.php
bumblizz [.] com / caexo.php
bumblizz [.] com / caflexexo.php
bumblizz [.] com / usexo.php
bumblizz [.] com / usflexexo.php
canadaversaliska [.] info / coflexexo .php
canadaversaliska [.] info / coflexo.php
canadaversaliska [.] info / ukflexexo.php
canadaversaliska [.] info / ukflexo.php
canadaversaliska [.] info / usflexexo.php
canadaversaliska [.] info / usflexo.php
krostaur [. ] com / jpexo.php
krostaur [.] com / jpflexexo.php
krostaur [.] com / jpflexo.php
leiomity [.] com / ukexo.php
leiomity [.] com / ukflexexo.php
leiomity [.] com / usexo.php
leiomity [.] com / usflexexo.php
surdised [.] com / coexo.php
surdised [.] com /usexo.php

Tweets que hacen referencia a la campaña malsmoke

https: // twitter [.] com / MBThreatIntel / status / 1245791188281462784 https: // twitter [.] com / FaLconIntel / status / 1232475345023987713 https: // twitter [.] com / nao_sec / status / 1231149711517634560 https: // twitter [.] com / tkanalyst / status / 1229794466816389120 https: // twitter [.] com / nao_sec / status / 1209090544711815169

Con la pandemia aún en pleno apogeo, las instituciones educativas de los EE. UU. Están iniciando el año escolar 2020-2021 de formas muy diferentes, desde la reapertura de las aulas hasta el aprendizaje a distancia a tiempo completo. Lamentablemente, a medida que las escuelas que adoptan la instrucción virtual luchan con los desafíos complejos de TI además de una infraestructura que ya es frágil, no están ni cerca de cerrar la brecha de ciberseguridad K-12.

Los niños no tienen más remedio que continuar sus estudios dentro del clima social y sanitario actual. Además de esto, deben acostumbrarse a nuevas configuraciones de aprendizaje, posiblemente múltiples, ya sea aprendizaje a distancia completo, educación en el hogar o un híbrido de instrucción en clase y en el hogar.

Independientemente de cuál de estas configuraciones los distritos escolares, los padres o tutores decidan que son las más adecuadas para sus hijos, una cosa debe seguir siendo una prioridad: la seguridad general de la experiencia de aprendizaje de los estudiantes durante la pandemia . Para esto, se necesitan muchos preparativos cuidadosos y considerables.

Nuevo término, nuevos términos

Los padres en los Estados Unidos están participando en el aprendizaje de sus hijos como nunca antes, y eso fue antes de que la pandemia los forzara. Ahora más que nunca, es importante familiarizarse con los diferentes entornos educativos para considerar cuál es el más adecuado para su familia.

Aprendizaje a distancia completo

Las clases se llevan a cabo en línea mientras los estudiantes están seguros en sus propios hogares. Los maestros también pueden ofrecer clases virtuales fuera de sus propios hogares, o pueden estar usando sus aulas vacías para mejorar el ancho de banda.

Esta configuración requiere que las familias tengan, idealmente, una computadora portátil o computadora dedicada que los estudiantes puedan usar para las sesiones de clase y el trabajo independiente. Además, es necesaria una conexión sólida a Internet para apoyar tanto a los estudiantes como a los padres que trabajan desde casa. Sin embargo, los niños de familias de bajos ingresos pueden tener dificultades para acceder a esta tecnología, a menos que la escuela les entregue computadoras portátiles y dispositivos de puntos de acceso para Wi-Fi. A menudo, hay demoras en la distribución de equipos y materiales, sin mencionar una posible curva de aprendizaje gracias a la brecha digital .

El aprendizaje a distancia completo brinda a los niños el beneficio de la instrucción del maestro mientras están a salvo de la exposición al coronavirus.

Educación en el hogar o educación en el hogar

Las clases se llevan a cabo en casa, con el padre o tutor actuando como maestro, consejero y, sí, incluso como experto en TI para sus hijos. Hoy en día, esta configuración a menudo se denomina educación en el hogar temporal o educación en el hogar de emergencia. Aunque esta es una opción viable y potencialmente económica para algunas familias, tenga en cuenta que pueden surgir desafíos inevitables en el camino. Esto podría ser especialmente cierto para los niños mayores que están más acostumbrados a utilizar la tecnología en sus estudios.

Esto no quiere decir que la falta de uso de la tecnología al instruir a los niños resultaría en una baja calidad de aprendizaje. De hecho, un estudio de la Universidad de Tilburg [ PDF ] sobre la comparación entre el aprendizaje tradicional y el aprendizaje digital entre niños de 6 a 8 años mostró que los niños se desempeñan mejor cuando se les enseña de la manera tradicional, aunque el estudio señaló además que son más receptivos a métodos de aprendizaje digital. Pero quizás la implicación más relevante del estudio es la siguiente: el papel de los profesores (en el contexto de este artículo, los padres y tutores) en el logro de los resultados de aprendizaje deseables sigue siendo un factor central.

Los padres y tutores pueden enfrentarse al desafío de pensar de manera innovadora cuando se trata de crear lecciones valiosas para sus hijos que se centren en su estilo de aprendizaje mientras los mantienen encaminados a su nivel de grado.

Aprendizaje híbrido

Esta es una combinación de instrucción en clase y en el hogar, en la que los estudiantes van a la escuela a tiempo parcial con un distanciamiento social significativo y medidas de seguridad, como el uso de máscaras, desinfección regular de instalaciones y propiedades, y limpieza regular de manos. Los estudiantes pueden dividirse en grupos más pequeños, tener horarios de llegada escalonados y pasar solo una parte de su semana en el aula.

Durante el resto del tiempo de los estudiantes, los padres o tutores tienen la tarea de continuar con la instrucción en casa. Durante estos días u horas, los padres o tutores deben lidiar con los mismos factores de estrés en el tiempo, la creatividad, la paciencia y la seguridad digital que los modelos de educación a distancia y educación en el hogar.

Los nuevos métodos de enseñanza y aprendizaje pueden surgir de la combinación de cualquiera de las tres configuraciones enumeradas anteriormente. Pero independientemente de cómo los niños deban continuar su educación, con la peor o la mejor de las circunstancias en mente, apoyar su bienestar emocional y mental es una prioridad. Para lograr la tranquilidad y mantener a los estudiantes enfocados en la instrucción, los padres también deben priorizar la protección de los dispositivos de sus hijos contra las amenazas en línea y la invasión de la privacidad.

Viejas amenazas, nuevos riesgos

Es un hecho que los entornos de aprendizaje que exponen a los niños a las amenazas en línea y arriesgan su privacidad son los que más involucran el uso de tecnología. Algunos son familiares y otros nacen de los cambios introducidos por la pandemia. Veamos los factores de riesgo que hacen que la ciberseguridad K-12 sea esencial en las escuelas y en los hogares.

Zoombing . Se trata de una ciberamenaza que recientemente cobró fuerza debido al mayor uso de Zoom, una herramienta de conferencias web ahora popular. Empleados, celebridades, amigos y familiares han usado esta aplicación (y aplicaciones similares) para comunicarse en grupos más grandes. Ahora es comúnmente adoptado por las escuelas para las horas de instrucción virtual.

Desde que se hicieron cumplir los procedimientos de refugio en el lugar, han aparecido historias de incidentes de Zoombing a izquierda y derecha. Tomemos, por ejemplo, el caso del hombre desconocido que pirateó una clase virtual de Berkeley a través de Zoom para exponerse a estudiantes de secundaria y gritar obscenidades. Lo que hizo que este caso fuera notable fue el hecho de que el maestro de esa clase siguió los procedimientos recomendados para asegurar la sesión, pero aún así se produjo una infracción.

Problemas de privacidad. Cuando se trata de datos de niños, la privacidad es casi siempre el tema principal. Y hay muchas formas en que estos datos pueden verse comprometidos: desde violaciones de datos organizacionales, algo con lo que todos estamos muy familiarizados en este momento, hasta fugas accidentales y recopilación de datos sin consentimiento de herramientas y / o aplicaciones introducidas rápidamente.

Se produjo un incidente de fuga accidental en Oakland cuando los administradores publicaron inadvertidamente cientos de códigos de acceso y contraseñas utilizadas en clases en línea y videoconferencias para el público, lo que permitió que cualquier persona con una cuenta de Gmail no solo se uniera a estas clases, sino que también tuviera acceso a los datos de los estudiantes.

En abril de 2020, un padre presentó un caso contra Google en nombre de sus dos hijos por violar la Ley de Protección de la Privacidad Infantil en Línea (COPPA) y la Ley de Privacidad de la Información Biométrica (BIPA) de Illinois. El padre, Clinton Farwell, alega que el servicio G Suite for Education de Google recopila los datos (su PII y datos biométricos) de niños, que tienen 13 años o menos, para «monitorear y perfilar a los niños de manera secreta e ilegal, pero para hacerlo sin el conocimiento o consentimiento de los padres de esos niños «.

Esto sucedió dos meses después de que Héctor Balderas, el fiscal general de Nuevo México, entablara una demanda contra la empresa por seguir rastreando a los niños fuera del aula .

Ataques de ransomware . Las instituciones educativas no son inmunes a los ataques de ransomware . Escuela Unión Panamá-Buena Vista. Independiente de Fort Worth. Escuela secundaria de la comunidad de Crystal Lake. Estos son solo algunos del total de distritos ( 284 escuelas en total) que se vieron afectados por el ransomware desde principios de 2020 hasta la primera semana de abril. Desafortunadamente, la pandemia no los convertirá en un objetivo menos, solo más.

Con muchas escuelas K-12 adaptándose a la pandemia, a menudo introduciendo herramientas y aplicaciones que se adaptan al aprendizaje remoto sin realizar auditorías de seguridad, casi se espera que suceda algo malo. La loca lucha para abordar el repentino cambio en la demanda solo muestra lo poco preparados que estaban estos distritos escolares. También es lamentable que el personal administrativo tenga que resolver las cosas y aprender por sí mismo cómo proteger mejor los datos de los estudiantes, especialmente si no tienen un equipo de TI dedicado. Y, a menudo, esa curva de aprendizaje es bastante empinada.

Estafas de phishing . En el contexto de la industria de la educación, las estafas de phishing siempre han sido una amenaza constante. Según Doug Levin , fundador y presidente del Centro de Recursos de Ciberseguridad K-12 , las escuelas están sujetas a phishing «drive-by», en particular.

«Los estafadores y delincuentes realmente entienden la psique humana y el deseo de que las personas obtengan más información y sientan en algunos casos, creo que es justo decir en términos de coronavirus, cierto nivel de pánico», dijo Levin en una entrevista con EdWeek. «Eso hace que las personas sean más propensas a suspender el juicio por mensajes que de otro modo podrían ser sospechosos y más probabilidades de hacer clic en un documento porque les parece urgente, importante y relevante, incluso si no lo esperaban».

Consejos de seguridad para padres y tutores

Para garantizar que los estudiantes de educación a distancia y educados en el hogar tengan una experiencia de aprendizaje ininterrumpida, los padres o tutores deben asegurarse de que todas las herramientas y dispositivos que sus hijos usan para comenzar la escuela estén preparados. De hecho, hacerlo es similar a cómo mantener seguros los dispositivos de trabajo mientras se trabaja desde casa . En aras de la claridad, aclaremos algunos pasos generales, ¿de acuerdo?

Asegure su Wi-Fi

• Asegúrese de que el enrutador o el punto de acceso esté utilizando una contraseña segura. No solo eso, cambie la contraseña cada dos meses para mantenerla actualizada.
• Asegúrese de que todo el firmware esté actualizado.
• Cambie las credenciales de administrador del enrutador.
• Encienda el firewall del enrutador.

Asegure su (s) dispositivo (s)

• Asegúrese de que las computadoras u otros dispositivos de los estudiantes estén protegidos con contraseña y se bloqueen automáticamente después de un corto período de tiempo. De esta manera, el trabajo no se perderá por una mascota enloquecida o una hermana menor curiosa rompiendo algunos botones.

  Para las escuelas que emiten computadoras portátiles para estudiantes, el sistema operativo más común es ChromeOS (Chromebooks). Aquí hay una guía simple y rápida sobre cómo los padres y tutores pueden bloquear Chromebooks. La contraseña no tiene por qué ser complicada, ya que usted y su hijo deberían poder recordarla. Decidan juntos una frase de contraseña, pero no la compartan con los otros niños de la casa.

• Asegúrese de que el firewall esté habilitado en el dispositivo.
• Aplicar la autenticación de dos factores (2FA) .
• Asegúrese de que el dispositivo tenga una protección de punto final instalada y funcionando en tiempo real .

Asegure los datos de su hijo

• Las escuelas utilizan una solución de gestión del aprendizaje (LMS) para realizar un seguimiento de las actividades de los niños. También es lo que los niños usan para acceder a los recursos que necesitan para aprender.

  Asegúrese de que la contraseña de LMS de su hijo siga las pautas de la escuela sobre cómo crear una contraseña de alta entropía. Si la escuela no especifica pautas de contraseña segura, cree una contraseña segura usted mismo. Los administradores de contraseñas generalmente pueden hacer esto por usted si siente que pensar en uno complicado y recordarlo es demasiado complicado.

• También vale la pena limitar el uso del dispositivo que su hijo usa para estudiar solo al trabajo escolar. Si hay otros dispositivos en la casa, se pueden usar para acceder a las redes sociales, YouTube, videojuegos y otras actividades recreativas. Esto reducirá sus posibilidades de encontrar una amenaza en línea en el mismo dispositivo que almacena todos los datos de sus estudiantes.

Asegure la privacidad de su hijo

Hubo un caso anterior en el que una escuela encendió accidentalmente las cámaras de los dispositivos proporcionados por la escuela que los estudiantes estaban usando. Estalló en las noticias porque violó en gran medida la privacidad de uno. Aunque esto puede considerarse un incidente poco común, asuma que no puede tener demasiado cuidado cuando el dispositivo que usa su hijo tiene una cámara incorporada.

A menudo se requiere que los estudiantes muestren sus caras en el software de videoconferencia para que los maestros sepan que están prestando atención. Pero durante el resto del tiempo dedicado a las asignaciones, es una buena idea tapar las cámaras integradas. Hay cubiertas para cámaras de portátiles que los padres o tutores pueden comprar para deslizarlas por la lente cuando no están en uso.

Nuevos desafíos, nuevas oportunidades para aprender

Si bien las autoridades educativas han estado ocupadas durante meses, los padres y tutores también pueden hacer su parte al mantener su transición a un nuevo entorno de aprendizaje lo más seguro y sin fricciones posible. Como ya sabrá, algunos estados han relajado sus reglas de cierre , permitiendo que las escuelas vuelvan a abrir. Sin embargo, el tren tecnológico ha abandonado la estación.

Incluso a medida que continúe la instrucción en persona, la tecnología educativa se volverá aún más integral para las experiencias de aprendizaje de los estudiantes. Mantener esos paquetes de software especializados, aplicaciones, herramientas de comunicación y dispositivos a salvo de las amenazas cibernéticas y las invasiones de privacidad será imperativo para todas las generaciones futuras de estudiantes.

Seguro, no lo siento

Si bien los departamentos de TI de las instituciones educativas continúan lidiando con los desafíos actuales de la ciberseguridad, los padres y tutores deben intensificar sus esfuerzos y contribuir a la ciberseguridad K-12 en su conjunto. Bloquea los dispositivos de tus hijos, ya sea que los usen en el aula o en casa. Es cierto que no garantizará una protección del 100 por ciento contra los ciberdelincuentes, pero al menos, puede estar seguro de que sus hijos y sus dispositivos permanecerán lejos de su alcance.

El panorama del rastreo de tarjetas de crédito digitales sigue evolucionando, a menudo tomando prestadas técnicas utilizadas por otros autores de malware para evitar la detección.

Como defensores, buscamos cualquier tipo de artefacto e infraestructura maliciosa que podamos identificar para proteger a nuestros usuarios y alertar a los comerciantes afectados. Estos artefactos maliciosos pueden variar desde tiendas comprometidas hasta JavaScript, dominios y direcciones IP maliciosos que se utilizan para alojar un skimmer y exfiltrar datos.

Uno de esos artefactos es la llamada «puerta», que normalmente es un dominio o dirección IP donde los ciberdelincuentes envían y recopilan los datos robados de los clientes. Por lo general, vemos que los actores de las amenazas levantan su propia infraestructura de puerta o usan recursos comprometidos.

Sin embargo, existen variaciones que implican el abuso de programas y servicios legítimos, mezclándose así con el tráfico normal. En este blog, echamos un vistazo al último truco de skimming web, que consiste en enviar datos de tarjetas de crédito robadas a través de la popular plataforma de mensajería instantánea Telegram.

Una experiencia de compra normal

Estamos viendo un gran número de sitios de comercio electrónico atacados a través de una vulnerabilidad común o credenciales robadas. Los compradores inconscientes pueden visitar a un comerciante que se ha visto comprometido con un skimmer web y realizar una compra mientras, sin saberlo, entregan los datos de su tarjeta de crédito a los delincuentes.

Los skimmers se insertan a la perfección en la experiencia de compra y solo aquellos con buen ojo para los detalles o que están armados con las herramientas de red adecuadas pueden notar que algo no está bien.

El skimmer se activará en la página de pago y exfiltrará subrepticiamente la información personal y bancaria ingresada por el cliente. En términos simples, cosas como nombre, dirección, número de tarjeta de crédito, vencimiento y CVV se filtrarán a través de un mensaje instantáneo enviado a un canal privado de Telegram.

Skimmer basado en Telegram

Telegram es un servicio de mensajería instantánea popular y legítimo que proporciona cifrado de extremo a extremo. Varios ciberdelincuentes abusan de él para sus comunicaciones diarias, pero también para las tareas automatizadas que se encuentran en el malware.

Los atacantes han utilizado Telegram para exfiltrar datos antes, por ejemplo a través de caballos de Troya tradicionales, como el ladrón de Masad . Sin embargo, el investigador de seguridad @AffableKraut compartió la primera instancia documentada públicamente de un skimmer de tarjetas de crédito utilizado en Telegram en un hilo de Twitter .

El código del skimmer sigue la tradición en el sentido de que comprueba los depuradores web habituales para evitar ser analizados. También busca campos de interés, como facturación, pago, número de tarjeta de crédito, vencimiento y CVV.

La novedad es la presencia del código de Telegram para exfiltrar los datos robados. El autor del skimmer codificó el ID y el canal del bot, así como la solicitud de la API de Telegram con una codificación simple en Base64 para mantenerlo alejado de miradas indiscretas.

La exfiltración se activa solo si la URL actual del navegador contiene una palabra clave indicativa de un sitio de compras y cuando el usuario valida la compra. En este punto, el navegador enviará los detalles del pago tanto al procesador de pagos legítimo como a los ciberdelincuentes.

El intercambio de datos fraudulentos se realiza a través de la API de Telegram, que publica los detalles del pago en un canal de chat. Esa información se cifró previamente para dificultar la identificación.

Para los actores de amenazas, este mecanismo de exfiltración de datos es eficiente y no requiere que mantengan una infraestructura que podría ser derribada o bloqueada por los defensores. Incluso pueden recibir una notificación en tiempo real para cada nueva víctima, ayudándoles a monetizar rápidamente las tarjetas robadas en los mercados clandestinos.

Desafíos con la protección de la red

Defenderse contra esta variante de un ataque de skimming es un poco más complicado, ya que se basa en un servicio de comunicación legítimo. Obviamente, uno podría bloquear todas las conexiones a Telegram a nivel de red, pero los atacantes podrían cambiar fácilmente a otro proveedor o plataforma (como lo han hecho antes ) y aún así salirse con la suya.

Malwarebytes Browser Guard identificará y bloqueará este ataque de skimming específico sin deshabilitar o interferir con el uso de Telegram o su API. Hasta ahora solo hemos identificado un par de tiendas en línea que se han visto comprometidas con esta variante, pero es probable que haya varias más.

Como siempre, necesitamos adaptar nuestras herramientas y metodologías para mantenernos al día con los ataques con motivación financiera dirigidos a plataformas de comercio electrónico. Los comerciantes en línea también juegan un papel muy importante en descarrilar esta empresa criminal y preservar la confianza de su base de clientes. Al ser proactivos y vigilantes, los investigadores de seguridad y los proveedores de comercio electrónico pueden trabajar juntos para derrotar a los ciberdelincuentes que se interponen en el camino de los negocios legítimos.