Archivo mensual agosto 2020

Pormalwarebytes

El 20 por ciento de las organizaciones experimentaron una infracción debido a un trabajador remoto

El 20 por ciento de las organizaciones experimentaron una infracción debido a un trabajador remoto, revela un informe de Labs.

El 20 por ciento de las organizaciones experimentaron una infracción debido a un trabajador remoto, revela un informe de Labs.

Al corriente: por 
Última actualización:

No es de extrañar que el cambio a un entorno de trabajo completamente remoto debido a COVID-19 provoque una serie de cambios en los enfoques de las organizaciones hacia la ciberseguridad. Lo que ha sido sorprendente, sin embargo, son algunos de los cambios imprevistos en los hábitos de los empleados y cómo han impactado la postura de seguridad de las empresas grandes y pequeñas.

Nuestro último informe de Malwarebytes Labs, Enduring from Home: COVID-19’s Impact on Business Security , revela algunos datos inesperados sobre problemas de seguridad con la fuerza laboral remota de hoy.

Nuestro informe combina la telemetría de productos de Malwarebytes con los resultados de la encuesta de 200 tomadores de decisiones de TI y ciberseguridad, desde pequeñas empresas hasta grandes empresas, descubriendo nuevas preocupaciones de seguridad que surgieron después de que la pandemia obligó a las empresas estadounidenses a enviar a sus trabajadores a casa.

Los datos mostraron que desde que las organizaciones pasaron a un modelo de trabajo desde casa (FMH), el potencial de ciberataques y violaciones ha aumentado. Si bien esto no es del todo inesperado, la magnitud de este aumento es sorprendente. Desde el comienzo de la pandemia, el 20 por ciento de los encuestados dijeron que se enfrentaron a violaciones de seguridad como resultado de un trabajador remoto. Esto, a su vez, ha aumentado los costos, y el 24 por ciento de los encuestados dijo que pagaron gastos inesperados para abordar una violación de seguridad cibernética o un ataque de malware después de órdenes de refugio en el lugar.

Notamos un marcado aumento en el uso de dispositivos personales para el trabajo: el 28 por ciento de los encuestados admitió que están usando dispositivos personales para actividades relacionadas con el trabajo más que los dispositivos emitidos por el trabajo. Más allá de eso, encontramos que el 61 por ciento de las organizaciones de los encuestados no instaron a los empleados a usar soluciones antivirus en sus dispositivos personales, lo que agravó aún más el aumento de la superficie de ataque con una falta de protección adecuada.

Encontramos un contraste sorprendente entre la confianza de los líderes de TI en su seguridad durante la transición a entornos de trabajo desde el hogar (FMH) y sus posiciones de seguridad reales, lo que demuestra un problema continuo de arrogancia de seguridad. Aproximadamente tres cuartas partes (73,2 por ciento) de los encuestados le dieron a sus organizaciones una puntuación de 7 o más en preparación para la transición a la FMH, sin embargo, el 45 por ciento de las organizaciones encuestadas no realizaron análisis de seguridad y privacidad en línea de las herramientas de software necesarias para la colaboración de la FMH. .

Conclusiones adicionales del informe

  • El 18 por ciento de los encuestados admitió que, para sus empleados, la ciberseguridad no era una prioridad, mientras que el 5 por ciento dijo que sus empleados eran un riesgo de seguridad y ajenos a las mejores prácticas de seguridad.
  • Al mismo tiempo, el 44 por ciento de las organizaciones de los encuestados no brindó capacitación en ciberseguridad que se enfocara en las amenazas potenciales de trabajar desde casa (como asegurarse de que las redes domésticas tuvieran contraseñas seguras o que los dispositivos no se dejaran al alcance de usuarios no autorizados).
  • Mientras que el 61 por ciento de las organizaciones de los encuestados proporcionaron dispositivos emitidos por el trabajo a los empleados según fuera necesario, el 65 por ciento no implementó una nueva solución antivirus (AV) para esos mismos dispositivos
Pormalwarebytes

El 20 por ciento de las organizaciones experimentaron una infracción debido a un trabajador remoto

El 20 por ciento de las organizaciones experimentaron una infracción debido a un trabajador remoto, revela el informe de Labs

El 20 por ciento de las organizaciones experimentaron una infracción debido a un trabajador remoto, revela el informe de Labs

Al corriente: por 
Última actualización:

No es de extrañar que el cambio a un entorno de trabajo completamente remoto debido a COVID-19 provoque una serie de cambios en los enfoques de las organizaciones hacia la ciberseguridad. Lo que ha sido sorprendente, sin embargo, son algunos de los cambios imprevistos en los hábitos de los empleados y cómo han impactado la postura de seguridad de las empresas grandes y pequeñas.

Nuestro último informe de Malwarebytes Labs, Enduring from Home: COVID-19’s Impact on Business Security , revela algunos datos inesperados sobre problemas de seguridad con la fuerza laboral remota de hoy.

Nuestro informe combina la telemetría del producto Malwarebytes con los resultados de la encuesta de 200 tomadores de decisiones de TI y ciberseguridad, desde pequeñas hasta grandes empresas, descubriendo nuevas preocupaciones de seguridad que surgieron después de que la pandemia obligó a las empresas estadounidenses a enviar a sus trabajadores a casa.

Los datos mostraron que desde que las organizaciones pasaron a un modelo de trabajo desde casa (FMH), el potencial de ciberataques y violaciones ha aumentado. Si bien esto no es del todo inesperado, la magnitud de este aumento es sorprendente. Desde el comienzo de la pandemia, el 20 por ciento de los encuestados dijeron que se enfrentaron a violaciones de seguridad como resultado de un trabajador remoto. Esto, a su vez, ha aumentado los costos, y el 24 por ciento de los encuestados dijo que pagaron gastos inesperados para abordar una violación de seguridad cibernética o un ataque de malware después de órdenes de refugio en el lugar.

Notamos un marcado aumento en el uso de dispositivos personales para el trabajo: el 28 por ciento de los encuestados admitieron que están usando dispositivos personales para actividades relacionadas con el trabajo más que los dispositivos que se emiten en el trabajo. Más allá de eso, descubrimos que el 61 por ciento de las organizaciones de los encuestados no instaron a los empleados a usar soluciones antivirus en sus dispositivos personales, lo que agravó aún más el aumento de la superficie de ataque con una falta de protección adecuada.

Encontramos un contraste sorprendente entre la confianza de los líderes de TI en su seguridad durante la transición a entornos de trabajo desde el hogar (FMH) y sus posiciones de seguridad reales, lo que demuestra un problema continuo de arrogancia de seguridad. Aproximadamente tres cuartas partes (73,2 por ciento) de los encuestados le dieron a sus organizaciones una puntuación de 7 o más en preparación para la transición a la FMH, sin embargo, el 45 por ciento de las organizaciones encuestadas no realizaron análisis de seguridad y privacidad en línea de las herramientas de software necesarias para la colaboración de la FMH. .

Conclusiones adicionales del informe

  • El 18 por ciento de los encuestados admitió que, para sus empleados, la ciberseguridad no era una prioridad, mientras que el 5 por ciento dijo que sus empleados eran un riesgo de seguridad y ajenos a las mejores prácticas de seguridad.
  • Al mismo tiempo, el 44 por ciento de las organizaciones de los encuestados no brindó capacitación en ciberseguridad que se enfocara en las amenazas potenciales de trabajar desde casa (como asegurarse de que las redes domésticas tuvieran contraseñas seguras o que los dispositivos no se dejaran al alcance de usuarios no autorizados).
  • Mientras que el 61 por ciento de las organizaciones de los encuestados proporcionaron dispositivos emitidos por el trabajo a los empleados según fuera necesario, el 65 por ciento no implementó una nueva solución antivirus (AV) para esos mismos dispositivos.

Para obtener más información sobre los crecientes riesgos descubiertos en la población actual de trabajadores remotos, lea nuestro informe completo:

Pormalwarebytes

El impacto de COVID-19 en la ciberseguridad sanitaria

El impacto de COVID-19 en la ciberseguridad sanitaria

El impacto de COVID-19 en la ciberseguridad sanitaria

Al corriente: por 

Como si los niveles de estrés en la industria de la salud no fueran lo suficientemente altos debido a la pandemia de COVID-19, los riesgos para su ya frágil infraestructura de ciberseguridad están en su punto más alto. Desde el aumento de los ataques cibernéticos hasta las vulnerabilidades exacerbadas y los costosos errores humanos, si la ciberseguridad de la atención médica no estaba dando vueltas antes , COVID-19 lo envió en picada.

No hay tiempo para buscar una solución mejor

Como consecuencia de estar demasiado ocupados luchando contra el virus, algunas organizaciones de atención médica se han visto incapaces de buscar diferentes soluciones de seguridad más adecuadas para su situación actual.

Por ejemplo, la agencia Public Health England (PHE), que es responsable de gestionar el brote de COVID-19 en Inglaterra, decidió prolongar su contrato existente con su principal proveedor de TI sin permitir que los competidores presenten una oferta. Hicieron esto para garantizar que su tarea principal, monitorear la enfermedad generalizada, pudiera seguir adelante sin tener que preocuparse por las interrupciones del servicio u otras preocupaciones.

Extender un contrato sin mirar a la competencia no solo es una receta para obtener un mal trato, sino que también significa que las organizaciones no pueden mejorar las fallas que pueden haber encontrado en los sistemas y software existentes.

Ataques dirigidos a organizaciones sanitarias

A pesar de que hubo algunas promesas iniciales de eliminar a los proveedores de atención médica como objetivos después de que golpeó el COVID-19, los ciberdelincuentes simplemente no se molestaron en hacer lo correcto por una vez. De hecho, hemos visto algunos ataques de malware dirigidos específicamente a organizaciones de atención médica desde el comienzo de la pandemia.

Los hospitales y otras organizaciones sanitarias han cambiado su enfoque y recursos a su función principal. Si bien esto es completamente comprensible, los ha colocado en una situación vulnerable. Durante la pandemia de COVID-19, el gobierno y las organizaciones sanitarias controlan y almacenan una cantidad cada vez mayor de datos sanitarios. Según se informa, esto ha impulsado un aumento de ciberataques sofisticados y dirigidos diseñados para aprovechar un entorno cada vez más conectado.

En la atención médica, también ha provocado un aumento de los ataques de los estados nacionales , en un esfuerzo por robar datos valiosos de COVID-19 e interrumpir las operaciones de atención. De hecho, el sector se ha convertido tanto en un objetivo como en un método de ataques avanzados de ingeniería social. Los actores malintencionados que se aprovechan de la pandemia ya han lanzado una serie de campañas de phishing utilizando COVID-19 como señuelo para eliminar malware o ransomware.

COVID-19 no solo ha puesto a las organizaciones de salud en peligro directo de ataques cibernéticos, sino que algunas se han convertido en víctimas de daños colaterales. Existen, por ejemplo, ataques de compromiso de correo electrónico empresarial ( BEC ) con el tema COVID-19 que podrían tener como objetivo objetivos excepcionalmente ricos . Sin embargo, algunos se conformarán con menos si es un objetivo fácil, como uno que podría estar preocupado por luchar contra una pandemia global.

Ataques de ransomware

Como se mencionó anteriormente, los hospitales y otras organizaciones de atención médica corren el riesgo de ser víctimas de los métodos de ataque de «rociar y presa» utilizados por algunos ciberdelincuentes. El ransomware es solo una de las posibles consecuencias, pero podría decirse que es la más perjudicial cuando se trata de operaciones de atención médica, especialmente las que están a cargo del cuidado de pacientes gravemente enfermos.

INTERPOL ha emitido una advertencia a las organizaciones a la vanguardia de la respuesta mundial al brote de COVID-19 sobre los ataques de ransomware diseñados para bloquearlos de sus sistemas críticos en un intento de extorsionarlos. El equipo de INTERPOL de respuesta a amenazas cibernéticas detectó un aumento significativo en el número de intentos de ataques de ransomware contra organizaciones e infraestructura clave involucradas en la respuesta al virus.

Instalaciones especiales COVID-19

Durante la pandemia, muchos países construyeron o renovaron edificios especiales para albergar a los pacientes con COVID-19. Estos fueron creados para aumentar rápidamente la capacidad mientras se mantiene a los pacientes con COVID separados de los demás. Pero estos centros médicos ad-hoc COVID-19 ahora tienen un conjunto único de vulnerabilidades: son remotos, se encuentran fuera de una arquitectura de defensa en profundidad y la naturaleza misma de su existencia significa que la seguridad será una prioridad menor. Estas instalaciones no solo son propensas a carecer de personal en los departamentos de TI, sino que la mayor parte posible de su presupuesto se destina a ayudar a los pacientes.

Otro punto de interés es la transferencia de datos de pacientes desde el entorno hospitalario habitual a estas ubicaciones temporales. Está claro que el personal que trabaja en las instalaciones de COVID necesitará la información sobre sus pacientes, pero ¿con qué seguridad se almacena y transfiere esa información? ¿Está tan protegido en el nuevo entorno como en el antiguo?

Robo y protección de datos

Hace unos meses, cuando la pandemia resultó ser difícil de superar, muchas agencias informaron sobre los esfuerzos dirigidos por los ciberdelincuentes para mejorar la investigación del coronavirus, los datos de pacientes y más de las industrias de la salud, la farmacéutica y la investigación. Entre estas agencias se encontraban la Agencia de Seguridad Nacional, el FBI, la Agencia de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional y la Seguridad Cibernética Nacional del Reino Unido.

En la primavera, muchos países comenzaron a discutir el uso de aplicaciones de rastreo y / o rastreo de contactos en un esfuerzo por ayudar a mantener la pandemia bajo control. Aplicaciones que advertirían a los usuarios si habían estado cerca de un usuario infectado. Es comprensible que los defensores y los periodistas plantearon muchas preocupaciones sobre la privacidad.

Se recopilan y comparten muchos datos con la intención de combatir el COVID-19, pero también existe la necesidad de proteger la información personal de las personas. Entonces, varios senadores estadounidenses presentaron la Ley de Protección de Datos del Consumidor COVID-19 . La legislación brindaría a todos los estadounidenses más transparencia, opciones y control sobre la recopilación y el uso de sus datos personales de salud, dispositivos, geolocalización y proximidad. El proyecto de ley también responsabilizará a las empresas ante los consumidores si utilizan datos personales para combatir la pandemia de COVID-19.

El impacto

Aunque tal acto de protección podría ser bienvenido y necesario, las consecuencias para una industria de ciberseguridad de la atención médica ya estresada podrían ser demasiado abrumadoras. Se podría argumentar que la legislación sobre protección de datos no debería aprobarse caso por caso, sino que debería estar en vigor para proteger a los ciudadanos en todo momento, no solo cuando se necesitan medidas adicionales para luchar contra una pandemia.

Mientras tanto, en Malwarebytes haremos nuestra parte para apoyar a los que trabajan en la industria de la salud al mantener el malware fuera de sus máquinas; es un virus menos del que preocuparse.

Pormalwarebytes

Extensiones de Chrome que mienten sobre sus permisos

Extensiones de Chrome que mienten sobre sus permisos

Extensiones de Chrome que mienten sobre sus permisos

Al corriente: por 

«Pero verifiqué los permisos antes de instalar este bloqueador de ventanas emergentes, no dijo nada acerca de cambiar mis búsquedas», responde mi padre después de que lo regaño por instalar otra extensión de Chrome para secuestrar búsquedas. Por supuesto, no son difíciles de eliminar, pero tener que hacerlo una y otra vez es una molestia. Esto es especialmente cierto porque puede ser difícil averiguar cuál de las extensiones de Chrome es la culpable si el navegador comienza a fallar.

¿Que pasó?

Recientemente, nos encontramos con una familia de secuestradores de búsquedas que engañan acerca de los permisos que van a usar en su solicitud de instalación. Esta extensión, llamada PopStop, afirma que solo puede leer su historial de navegación. Parece bastante inofensivo, ¿verdad?

Mensaje de instalación de PopStop

Se supone que el mensaje de instalación en la tienda web le brinda información precisa sobre los permisos que requiere la extensión que está a punto de instalar. Ya es un hábito que las extensiones del navegador solo soliciten los permisos necesarios para funcionar correctamente desde el principio y luego soliciten permisos adicionales después de la instalación. ¿Por qué? Es más probable que los usuarios confíen en una extensión con advertencias limitadas o cuando se les explican los permisos.

Pero, ¿de qué sirven estas indicaciones informativas si solo te dan la mitad de la historia? En este caso, la extensión PopStop no solo lee su historial de navegación, como explica la ventana emergente, sino que también secuestra sus resultados de búsqueda.

Algunas de estas extensiones son más sencillas una vez que el usuario las instala y se enumeran debajo de las extensiones instaladas.

Extensión de la aplicación Niux

Pero otros son consistentes en sus mentiras incluso después de haber sido instalados, lo que hace que sea aún más difícil descubrir cuál es el responsable del secuestro de búsqueda.

Extensión PopStop

¿Cómo es esto posible?

Google había decidido en algún momento prohibir las extensiones que ofuscan su código. Al hacerlo, es más fácil para ellos leer la programación del complemento y realizar el análisis adecuado.

El primer paso para determinar qué está haciendo una extensión es mirar el archivo manifest.json.

manifest.json

El registro de un script en el manifiesto le dice a la extensión a qué archivo hacer referencia y, opcionalmente, cómo debe comportarse ese archivo.

Lo que este manifiesto nos dice es que el único script activo es «background.js» y los permisos declarados son «pestañas» y «almacenamiento». Más sobre esos permisos más adelante.

Las partes relevantes en background.js son estas piezas, porque nos muestran hacia dónde van nuestras búsquedas:

const BASE_DOMAIN = 's3redirect.com', pid = 9126, ver = 401;
chrome.tabs.create({url: `https://${BASE_DOMAIN}/chrome3.php?q=${searchQuery}`});
        setTimeout(() => {
          chrome.tabs.remove(currentTabId);
        }, 10);

Este script usa dos métodos chrome.tabs: uno para crear una nueva pestaña basada en su consulta de búsqueda y el otro para cerrar la pestaña actual. La pestaña cerrada habría mostrado los resultados de búsqueda de su proveedor de búsqueda predeterminado.

Mirando la API chrome.tabs , leemos:

“Puede utilizar la mayoría de los métodos y eventos de chrome.tabs sin declarar ningún permiso en el archivo de manifiesto de la extensión. Sin embargo, si necesita acceso a las propiedades url, pendienteUrl, título o favIconUrl de tabs.Tab, debe declarar el permiso «tabs» en el manifiesto «.

Y efectivamente, en el manifiesto de esta extensión encontramos:

"permissions": [ "tabs", "storage" ],

El permiso de «almacenamiento» no invoca un mensaje en la pantalla de advertencia que ven los usuarios cuando instalan una extensión. El permiso «pestañas» es el motivo del mensaje «Leer su historial de navegación». Aunque la API chrome.tabs se puede utilizar por diferentes motivos, también se puede utilizar para ver la URL asociada con cada pestaña recién abierta.

Las extensiones que encontramos lograron evitar tener que mostrar el mensaje “Leer y cambiar todos tus datos en los sitios web que visitas” que estaría asociado con el método “tabCapture”. Lo hicieron cerrando la pestaña actual después de capturar su término de búsqueda y abriendo una nueva pestaña para realizar la búsqueda de ese término en su propio sitio.

Las advertencias de permisos «normales» para un secuestrador de búsquedas se parecerían más a esto:

El efecto final es el mismo, pero es menos probable que un usuario experimentado instale esta última extensión, ya que se opondría a la solicitud de permiso o reconocería el complemento como un secuestrador de búsquedas al mirar estos mensajes.

¿Estas extensiones realmente mienten?

Algunos podrían llamarlo mentira. Algunos pueden decir que no, simplemente no ofrecieron toda la verdad. Sin embargo, el objetivo de esas ventanas emergentes de permisos es darles a los usuarios la opción de descargar un programa siendo sincero sobre lo que el programa les pide a sus usuarios.

En el caso de estas extensiones de Chrome, digamos que no están revelando el alcance total de las consecuencias de instalar sus extensiones.

Sería conveniente que Google agregara un posible mensaje para las extensiones que usan el método chrome.tabs.create. Esto informaría al usuario que su extensión podrá abrir nuevas pestañas, que es una forma de mostrar anuncios para que los usuarios conozcan esta posibilidad. Y chrome.tabs.create también resulta ser el método que utiliza esta extensión para reemplazar los resultados de búsqueda que buscábamos por los suyos.

Una ventaja adicional de estas extensiones es el hecho de que no se mencionan en el menú de configuración como lo haría un secuestrador de búsqueda «normal».

Un secuestrador de búsquedas que reemplace su motor de búsqueda predeterminado aparecerá en Configuración> Motor de búsqueda

No aparecer en la lista como el reemplazo del motor de búsqueda, nuevamente, hace que sea más difícil para un usuario descubrir qué extensión podría ser responsable de los resultados de búsqueda inesperados.

Por el momento, estos secuestradores pueden ser reconocidos por el nuevo encabezado que agregan a sus resultados de búsqueda, que se ve así:

Esto probablemente cambiará una vez que sus dominios actuales estén marcados como páginas de destino para secuestradores y se crearán nuevas extensiones utilizando otras páginas de destino.

Más detalles

Estas extensiones interceptan resultados de búsqueda de estos dominios:

  • aliexpress.com
  • booking.com
  • todos los dominios de google
  • ask.com
  • ecosia.org
  • bing.com
  • yahoo.com
  • mysearch.com
  • duckduckgo.com

También intercepta todas las consultas que contienen la cadena «spalp2020». Probablemente esto se deba a que esa cadena es un factor común en las URL del instalador que pertenecen a la familia de secuestradores powerapp.download .

Buscar secuestradores

Hemos escrito antes sobre los intereses de los desarrolladores turbios en la industria de las búsquedas de miles de millones de dólares y hemos informado sobre las diferentes tácticas a las que recurren estos desarrolladores para que los usuarios instalen sus extensiones o usen sus sitios de búsqueda [ 1 ], [ 2 ], [ 3 ].

Si bien esta familia no utiliza las prácticas de marketing más engañosas que existen, aún oculta su mal comportamiento a la vista. Muchos usuarios han aprendido a leer detenidamente los mensajes de solicitud de instalación para determinar si una extensión es segura. Es decepcionante que los desarrolladores puedan evadir dar información honesta y que estas extensiones se introduzcan en la tienda web una y otra vez.

COI

identificadores de extensión:

pcocncapgaibfcjmkkalopefmmceflnh

dpnebmclcgcbggnhicpocghdhjmdgklf

dominios de búsqueda:

s3redirect.com

s3arch.page

gooogle.page <= tenga en cuenta la «o» adicional

Malwarebytes detecta estas extensiones con el nombre de detección PUP.Optional.SearchEngineHijack.Generic .

Pormalwarebytes

Estafas de phishing de la SBA: desde malware hasta ingeniería social avanzada

Estafas de phishing de la SBA: desde malware hasta ingeniería social avanzada

Estafas de phishing de la SBA: desde malware hasta ingeniería social avanzada

Al corriente: por 

Varios actores de amenazas continúan aprovechándose de la pandemia de coronavirus en curso a través de estafas de phishing y otras campañas de distribución de malware.

En este blog, analizamos 3 olas de phishing diferentes dirigidas a solicitantes de préstamos de ayuda Covid-19. Los correos electrónicos de phishing se hacen pasar por la Administración de Pequeñas Empresas de EE. UU. (SBA) y tienen como objetivo entregar malware, robar credenciales de usuario o cometer fraude financiero.

En cada una de estas campañas, los delincuentes falsifican el correo electrónico del remitente para que se parezca al de la SBA oficial. Esta técnica es muy común y, desafortunadamente, a menudo se malinterpreta, lo que resulta en muchas estafas exitosas.

Malware GuLoader

En abril, vimos la primera ola de ataques de la SBA utilizando COVID-19 como señuelo para distribuir malware. Los correos electrónicos contenían archivos adjuntos con nombres como ‘SBA_Disaster_Application_Confirmation_Documents_COVID_Relief.img’.

Estafa de phishing de la SBA de EE. UU.
Figura 1: Correo electrónico no deseado que contiene archivos adjuntos maliciosos

El malware era el popular GuLoader , un descargador sigiloso utilizado por los delincuentes para cargar la carga útil de su elección y evitar la detección de antivirus.

Intento de phishing tradicional

La segunda ola que vimos involucró un enfoque de phishing más tradicional donde el objetivo era recopilar credenciales de las víctimas para estafarlas más adelante.

estafa tradicional de la SBA de EE. UU.
Figura 2: Correo electrónico de phishing que atrae a los usuarios a un sitio para ingresar sus credenciales

Una URL, especialmente si no tiene nada que ver con el remitente, es un gran indicio de que el correo electrónico puede ser fraudulento. Pero las cosas se complican un poco más cuando los atacantes utilizan archivos adjuntos que parecen legítimos.

Intento de phishing avanzado

Esto es lo que vimos en un esquema bastante inteligente y atrevido que engaña a las personas para que completen un formulario completo que contiene información muy personal, incluidos los detalles de la cuenta bancaria. Estos podrían usarse para drenar cuentas directamente o en una capa adicional de ingeniería social, que engaña a los usuarios para que paguen tarifas avanzadas que no existen como parte del programa real de la SBA.

Intento avanzado de phishing de la SBA de EE. UU.
Figura 3: Correo electrónico de phishing que contiene un formulario de solicitud de préstamo

Esta última campaña comenzó a principios de agosto y es lo suficientemente convincente como para engañar incluso a los expertos en seguridad más experimentados. Aquí hay un vistazo más de cerca a algunas de las banderas rojas que encontramos mientras lo analizamos.

La mayoría de las personas no son conscientes de la falsificación de correos electrónicos y creen que si el correo electrónico del remitente coincide con el de una organización legítima, debe ser real. Desafortunadamente, ese no es el caso, y hay verificaciones adicionales que deben realizarse para confirmar la autenticidad de un remitente.

Existen varias tecnologías para confirmar la verdadera dirección de correo electrónico del remitente, pero en cambio nos centraremos en los encabezados de los correos electrónicos, una especie de plano que está disponible para cualquier persona. Dependiendo del cliente de correo electrónico, existen diferentes formas de ver dichos encabezados. En Outlook, puede hacer clic en Archivo y luego en Propiedades para mostrarlos:

encabezados de correo electrónico de Outlook para evitar estafas
Figura 4: Encabezados de correo electrónico que muestran remitente sospechoso

Uno de los elementos a tener en cuenta es el campo «Recibido». En este caso, muestra un nombre de host (park-mx.above [.] Com) que parece sospechoso. De hecho, podemos ver que ya se ha mencionado en otra campaña de estafa .

Si volvemos a este correo electrónico, vemos que contiene un archivo adjunto, una solicitud de préstamo con el número de referencia 3245-0406. Una mirada a los metadatos PDF a veces puede revelar información interesante.

Metadatos de pdf de estafa de SBA
Figura 5: Formulario de solicitud de carga sospechosa y sus metadatos

Aquí notamos que el archivo se creó el 31 de julio con Skia, una biblioteca de gráficos para Chrome. Esto nos dice que los estafadores crearon ese formulario poco antes de enviar los correos electrónicos no deseados.

A modo de comparación, si miramos la aplicación descargada del sitio web oficial de la SBA, vemos algunos metadatos diferentes:

metadatos pdf oficiales de la SBA
Figura 6: Formulario oficial de solicitud de préstamo y sus metadatos

Este formulario de solicitud legítimo se creó con Acrobat PDFMaker for Word el 27 de marzo, que coincide con el cronograma de la pandemia.

Por lo general, la solicitud de préstamo se imprime y luego se envía por correo a una dirección física en una de las oficinas gubernamentales. Si volvemos al correo electrónico original, solicita enviar el formulario completo como respuesta por correo electrónico en su lugar:

malwarebytes correo electrónico falso de estafa sba
Figura 7: El correo electrónico de respuesta enviaría un formulario de solicitud de préstamo a los delincuentes

Aquí es donde las cosas se ponen interesantes. Aunque el correo electrónico del remitente es disastercustomerservice@sba.gov, cuando presiona el botón de respuesta, muestra una dirección de correo electrónico diferente en: disastercustomerservice @ gov-sba [.] Us . Si bien sba.gov es el sitio web oficial y legítimo del gobierno, gov-sba [.] Us no lo es.

correo electrónico falsificado de correo electrónico de phishing sba
Figura 8: Dominio registrado por estafadores poco antes del ataque

Ese nombre de dominio (gov-sba [.] Us) se registró pocos días antes de que comenzara la campaña de correo electrónico y claramente no pertenece al gobierno de EE.

Sin embargo, debemos tener en cuenta que esta campaña es bastante elaborada y que sería fácil caer en la trampa. Lamentablemente, lo último que desearía al solicitar un préstamo es quedarse sin más dinero.

Si responde a este correo electrónico con el formulario completo que contiene información privada que incluye los detalles de su cuenta bancaria, esto es exactamente lo que sucedería.

Consejos sobre cómo protegerse

No hay duda de que las personas deben ser extremadamente cautelosas cuando se les pida que completen información en línea, especialmente en un correo electrónico. Los estafadores acechan en cada esquina y están listos para aprovechar la próxima oportunidad.

Tanto el Departamento de Justicia como la Administración de Pequeñas Empresas han estado advirtiendo sobre estafas relacionadas con los préstamos de la SBA. Sus respectivos sitios proporcionan varios consejos sobre cómo evitar varios esquemas maliciosos.

Quizás lo más importante, especialmente cuando se trata de correos electrónicos de phishing, es que la dirección del remitente puede falsificarse fácilmente y de ninguna manera es una garantía sólida de legitimidad, incluso si se ve exactamente igual.

Debido a que no podemos esperar que todos busquen los encabezados y metadatos de los correos electrónicos, al menos podemos sugerir que verifiquemos la legitimidad de cualquier comunicación con un amigo o llamando a la organización gubernamental. Para esto último, siempre recomendamos no marcar nunca el número que se encuentra en un correo electrónico o que se deja en un buzón de voz, ya que podría ser falso. Busque en Google la organización su número de contacto correcto.

Malwarebytes también protege contra ataques de phishing y malware al bloquear la infraestructura ofensiva utilizada por los estafadores.

Pormalwarebytes

Compromiso del correo electrónico empresarial: apuntar al objetivo

Compromiso del correo electrónico empresarial: apuntar al objetivo

Compromiso del correo electrónico empresarial: apuntar al objetivo

Al corriente: por 
Última actualización:

El peligro constante del compromiso del correo electrónico empresarial (BEC) se encuentra una vez más en las noticias. Esta vez, los principales equipos de fútbol de la Premier League inglesa casi fueron víctimas de sus engaños , por una suma de £ 1 millón.

Primera mitad: estafadores a la ofensiva

Alguien comprometió el correo electrónico de un Director Gerente después de iniciar sesión en un portal de phishing a través de un correo electrónico falso. Las cuentas falsas configuradas durante la ventana de transferencia para comprar y vender jugadores proporcionaron la apertura requerida. Se insertaron en las conversaciones con facilidad. Ambos clubes estaban conversando con falsificaciones, ya que los estafadores cambiaron los datos bancarios para el pago. No llegó dinero a los estafadores, ya que el banco reconoció la cuenta bancaria fraudulenta.

Al igual que con tantos ataques BEC, el punto débil era el correo electrónico no seguro sin medidas adicionales implementadas. Algún 2FA habría ayudado enormemente aquí, junto con precauciones adicionales. Hemos hablado de esto anteriormente, donde las organizaciones pueden tener que aceptar cierta desaceleración en sus actividades detrás de escena para la protección adicional que se brinda. ¿El director ejecutivo necesita confirmar los cables por teléfono con alguien en otra zona horaria? ¿Ralentizará un poco las cosas?

Eso es, para algunos, el costo de (los estafadores) hacer negocios. El truco está en tratar de encontrar las soluciones que funcionen mejor para usted, de una manera que no encuentre objeciones tanto de la junta como de las personas que utilizan estos procesos a diario.

El sector deportivo está siendo atacado digitalmente en todos los frentes en este momento. Puede leer sobre algunos de los otros ataques y algunas travesuras más relacionadas con BEC en el informe NCSC .

Segunda mitad: BEC mantiene la presión alta

Las estafas de BEC han ganado mucha visibilidad en las últimas semanas.

Las grandes pérdidas financieras acompañan a la vergüenza de hacer público el compromiso. Es casi seguro que no conocemos el verdadero alcance del daño. El ransomware y las amenazas de chantaje similares causan problemas similares al intentar estimar el impacto.

BEC tampoco es una especie de hora amateur. Los profesionales están haciendo absolutamente todo lo que pueden en este ámbito para mejorar aún más sus ganancias .

Tiempo extra: el largo brazo de la ley

Las organizaciones y las personas a menudo se dan cuenta demasiado tarde de que enviar transferencias significa que el efectivo se ha ido para siempre. El ataque responde sigilosamente y se lleva el dinero sin que nadie se dé cuenta hasta que es demasiado tarde.

Por otro lado, los bustos ocurren. Resulta que ser masivamente visible con unos 2.4 millones de seguidores en Instagram podría no ser la mejor manera de seguir siendo Guy Incognito. Después de que se robó poco menos de 1 millón de dólares de una víctima en los EE. UU., El FBI encontró evidencia de comunicaciones entre una estrella popular de las redes sociales y los presuntos co-conspiradores del fraude. El FBI presentó una denuncia penal en junio que alega que toda la riqueza de la estrella de las redes sociales se obtiene ilegalmente.

Curiosamente, se menciona otro intento en un club de fútbol de la primera división inglesa. Esta vez, sin embargo, el dinero en juego es significativamente mayor: £ 100 millones, frente a £ 1 millón.

Ay.

Penalizaciones: un último ataque de varios frentes

No es solo el BEC estándar de lo que debemos preocuparnos. Hay muchas rutas divergentes hacia su negocio que se originan aproximadamente en la misma posición inicial. El compromiso del correo electrónico del proveedor es algo que está ganando importancia desde que su hermano más conocido salió a la luz, así que agréguelo a la creciente lista de cosas contra las que defenderse. El exitoso ataque a una importante cadena de cines europea por 21 millones de dólares está empezando a parecer una papilla en este punto, aunque definitivamente no para cualquiera que se vea atrapado en las consecuencias.

Algunos estafadores usan malware . Para otros, se trata de quemar un exploit horriblemente caro. La esperanza es que gane varias veces la cantidad pagada inicialmente. ¿El resto acecha en las sombras? Mucho dinero de la publicidad maliciosa o de los juegos en las redes sociales con un toque de propagación viral y muchos clics robados.

Mientras tanto, allí, tenemos un grupo de personas que reconstruyen el funcionamiento interno de su organización a partir de información disponible gratuitamente en línea. En este mismo momento, están considerando enviar una misiva inocente, solo para ver si la dirección de correo está activa y si la persona responsable responde.

No volverá a tener noticias de ellos … pero es casi seguro que verá un correo de algo que dice ser el administrador de su sistema instándole a restablecer sus datos de inicio de sesión.

Dónde terminan tanto usted como las reservas de efectivo de su organización después de eso, depende completamente de la planificación que se haya hecho de antemano.

¿Qué tan preparado estará cuando los atacantes del correo electrónico empresarial llamen?

Pormalwarebytes

Evite estos correos electrónicos de phishing de PayPal

Evite estos correos electrónicos de phishing de PayPal

Evite estos correos electrónicos de phishing de PayPal

Al corriente: por 

Durante las últimas semanas, ha habido una corriente sólida de correos electrónicos falsos de PayPal en circulación, que han convertido a FOMO (miedo a perderse) en HACER ESTO O MALAS COSAS. Es una de las herramientas más comunes en el arsenal del estafador, y un poco de presión aplicada de la manera correcta a menudo les trae resultados.

Reclama que las personas perderán algo, incurrirán en cargos o se perderán un servicio valioso y vendrán corriendo. A continuación se muestra un resumen de quién dicen ser estos correos electrónicos, cómo se ven y el tipo de clics de pánico que están presionando. Estos son solo algunos ejemplos; Hay muchos, muchos otros.

Factores comunes

La mayoría de los correos que hemos visto afirman ser enviados desde

Secure (AT) intl-limited (DOT) com

O variaciones de los mismos, aunque el correo electrónico real que se utiliza con frecuencia es solo una mezcla de letras / palabras / números aleatorios. En su mayoría, también afirman que su cuenta está limitada o restringida de alguna manera, o que ha habido alguna actividad inusual en su cuenta y ahora debe demostrar que fue usted quien realizó las transacciones (inexistentes).

Es muy similar a este lote de misivas de 2015 , donde los estafadores buscaban los detalles de la tarjeta de crédito / pago. Estos son algunos de los correos, para darle una idea de lo que debe tener en cuenta. Por lo general, están llenos de errores tipográficos, y no hemos corregido ninguno de sus errores.

Click para agrandar

Correos de estafa

Re: [Importante] – Su cuenta fue temporalmente limitada

Nos gustaría informarle sobre ciertas modificaciones a nuestros contratos de usuario que le conciernen.

No se requiere ninguna acción de su parte. Sin embargo, si desea obtener más información, lo invitamos a consultar nuestra página de Actualizaciones de políticas donde encontrará los detalles de estas modificaciones, en qué casos se aplican y cómo rechazarlas, si corresponde.

Después de una revisión reciente de la actividad de su cuenta. hemos determinado que infringe la Política de uso aceptable de PayPal. Su cuenta ha sido limitada hasta que tengamos noticias suyas. Si bien su cuenta es limitada, algunas opciones en su cuenta no estarán disponibles.

Re: [Renovación del recibo de la orden] Regístrese para recibir actualizaciones del extracto bancario use Google Chrome de las Islas Marshall

Estimado servicio al cliente

Su cuenta de PayPal ha sido limitada porque hemos notado cambios significativos en la actividad de su cuenta. Como su procesador de pagos, debemos comprender mejor estos cambios. Esta limitación de cuenta afectará su capacidad para:

Envía o recibe dinero

Retirar dinero de su cuenta

Agregar o eliminar una tarjeta y cuenta bancaria

Disputar una transacción

Cierra tu cuenta

¿Qué hacer a continuación?

Inicie sesión en su cuenta de PayPal y proporcione la información solicitada a través del centro de resolución {SIC}

Re: Enviado: Actualización de la declaración de inicio de sesión con Google Chrome de Taiwán, Provincia de China

Su cuenta de PayPal ha sido limitada

Estimado cliente,

Nuestro servicio está mejorando el sistema de seguridad para todas las cuentas de PayPal. La razón, muchas cuentas han sido pirateadas por alguien para pedir un artículo usando una tarjeta de crédito / débito / banco en la cuenta asociada.

Para la conveniencia y seguridad de PayPal, hemos limitado todas las cuentas registradas.

PayPal es la forma más segura y rápida de pagar. Para recuperar su cuenta, puede hacer clic en el botón de enlace a continuación y continuar con la verificación de identidad para demostrar que es su cuenta.

Re: Recordatorio: [Informe diario] [Noticias de actualización] [Sistema conocido] Update-informatie zie factuur van – Declaración Actualización Nuevo inicio de sesión

Su cuenta de PayPal está temporalmente limitada.

Hola cliente

Notamos que has estado usando tu cuenta de Paypal de manera cuestionable. Para entender esto mejor, solo necesitamos más información de usted.

Para garantizar que su cuenta permanezca segura, necesitamos que tome medidas en su cuenta. También hemos limitado temporalmente ciertas funciones en su cuenta

Actualmente, no podrás:

• Enviar pagos

• Retirar Fondos

Que deberias hacer

Inicie sesión en su cuenta de Paypal, siga los pasos y realice las tareas requeridas.

RE: Recordatorio: [Informe diario] [Acuerdo de declaración] Hemos enviado notificaciones. Actualizaciones automáticas 

Su cuenta ha sido limitada.

Hola cliente

Hemos limitado tu cuenta

Después de una revisión reciente de la actividad de su cuenta, hemos determinado que infringe la Política de uso aceptable de PayPal. Inicie sesión para confirmar su identidad y revisar toda su actividad reciente

Puede encontrar la Política de uso aceptable de PayPal completa haciendo clic en Legal en la parte inferior de cualquier página de PayPal.

Ayuda y consejos para evitar estafas

PayPal ha expandido sus recursos de seguridad en los últimos años. Ahora tienen un portal para múltiples formas de actividad sospechosa , una sección para reportar estafas de phishing y protección para compradores y vendedores .

También puede consultar la parte 1 de nuestra guía de phishing 101 de 3 partes .

Estos correos electrónicos no se secarán en el corto plazo, así que tenga cuidado y, como siempre, visite el sitio web de PayPal directamente desde su navegador si recibe algún mensaje que indique que ha sido limitado o bloqueado. Si es genuino, el servicio al cliente podrá ayudarlo. Si no es así, ayude a PayPal y a todos los demás informando el phishing. Es un escenario de ganar-ganar.