El panorama del rastreo de tarjetas de crédito digitales sigue evolucionando, a menudo tomando prestadas técnicas utilizadas por otros autores de malware para evitar la detección.

Como defensores, buscamos cualquier tipo de artefacto e infraestructura maliciosa que podamos identificar para proteger a nuestros usuarios y alertar a los comerciantes afectados. Estos artefactos maliciosos pueden variar desde tiendas comprometidas hasta JavaScript, dominios y direcciones IP maliciosos que se utilizan para alojar un skimmer y exfiltrar datos.

Uno de esos artefactos es la llamada «puerta», que normalmente es un dominio o dirección IP donde los ciberdelincuentes envían y recopilan los datos robados de los clientes. Por lo general, vemos que los actores de las amenazas levantan su propia infraestructura de puerta o usan recursos comprometidos.

Sin embargo, existen variaciones que implican el abuso de programas y servicios legítimos, mezclándose así con el tráfico normal. En este blog, echamos un vistazo al último truco de skimming web, que consiste en enviar datos de tarjetas de crédito robadas a través de la popular plataforma de mensajería instantánea Telegram.

Una experiencia de compra normal

Estamos viendo un gran número de sitios de comercio electrónico atacados a través de una vulnerabilidad común o credenciales robadas. Los compradores inconscientes pueden visitar a un comerciante que se ha visto comprometido con un skimmer web y realizar una compra mientras, sin saberlo, entregan los datos de su tarjeta de crédito a los delincuentes.

Los skimmers se insertan a la perfección en la experiencia de compra y solo aquellos con buen ojo para los detalles o que están armados con las herramientas de red adecuadas pueden notar que algo no está bien.

El skimmer se activará en la página de pago y exfiltrará subrepticiamente la información personal y bancaria ingresada por el cliente. En términos simples, cosas como nombre, dirección, número de tarjeta de crédito, vencimiento y CVV se filtrarán a través de un mensaje instantáneo enviado a un canal privado de Telegram.

Skimmer basado en Telegram

Telegram es un servicio de mensajería instantánea popular y legítimo que proporciona cifrado de extremo a extremo. Varios ciberdelincuentes abusan de él para sus comunicaciones diarias, pero también para las tareas automatizadas que se encuentran en el malware.

Los atacantes han utilizado Telegram para exfiltrar datos antes, por ejemplo a través de caballos de Troya tradicionales, como el ladrón de Masad . Sin embargo, el investigador de seguridad @AffableKraut compartió la primera instancia documentada públicamente de un skimmer de tarjetas de crédito utilizado en Telegram en un hilo de Twitter .

El código del skimmer sigue la tradición en el sentido de que comprueba los depuradores web habituales para evitar ser analizados. También busca campos de interés, como facturación, pago, número de tarjeta de crédito, vencimiento y CVV.

La novedad es la presencia del código de Telegram para exfiltrar los datos robados. El autor del skimmer codificó el ID y el canal del bot, así como la solicitud de la API de Telegram con una codificación simple en Base64 para mantenerlo alejado de miradas indiscretas.

La exfiltración se activa solo si la URL actual del navegador contiene una palabra clave indicativa de un sitio de compras y cuando el usuario valida la compra. En este punto, el navegador enviará los detalles del pago tanto al procesador de pagos legítimo como a los ciberdelincuentes.

El intercambio de datos fraudulentos se realiza a través de la API de Telegram, que publica los detalles del pago en un canal de chat. Esa información se cifró previamente para dificultar la identificación.

Para los actores de amenazas, este mecanismo de exfiltración de datos es eficiente y no requiere que mantengan una infraestructura que podría ser derribada o bloqueada por los defensores. Incluso pueden recibir una notificación en tiempo real para cada nueva víctima, ayudándoles a monetizar rápidamente las tarjetas robadas en los mercados clandestinos.

Desafíos con la protección de la red

Defenderse contra esta variante de un ataque de skimming es un poco más complicado, ya que se basa en un servicio de comunicación legítimo. Obviamente, uno podría bloquear todas las conexiones a Telegram a nivel de red, pero los atacantes podrían cambiar fácilmente a otro proveedor o plataforma (como lo han hecho antes ) y aún así salirse con la suya.

Malwarebytes Browser Guard identificará y bloqueará este ataque de skimming específico sin deshabilitar o interferir con el uso de Telegram o su API. Hasta ahora solo hemos identificado un par de tiendas en línea que se han visto comprometidas con esta variante, pero es probable que haya varias más.

Como siempre, necesitamos adaptar nuestras herramientas y metodologías para mantenernos al día con los ataques con motivación financiera dirigidos a plataformas de comercio electrónico. Los comerciantes en línea también juegan un papel muy importante en descarrilar esta empresa criminal y preservar la confianza de su base de clientes. Al ser proactivos y vigilantes, los investigadores de seguridad y los proveedores de comercio electrónico pueden trabajar juntos para derrotar a los ciberdelincuentes que se interponen en el camino de los negocios legítimos.

No es de extrañar que el cambio a un entorno de trabajo completamente remoto debido a COVID-19 provoque una serie de cambios en los enfoques de las organizaciones hacia la ciberseguridad. Lo que ha sido sorprendente, sin embargo, son algunos de los cambios imprevistos en los hábitos de los empleados y cómo han impactado la postura de seguridad de las empresas grandes y pequeñas.

Nuestro último informe de Malwarebytes Labs, Enduring from Home: COVID-19’s Impact on Business Security , revela algunos datos inesperados sobre problemas de seguridad con la fuerza laboral remota de hoy.

Nuestro informe combina la telemetría de productos de Malwarebytes con los resultados de la encuesta de 200 tomadores de decisiones de TI y ciberseguridad, desde pequeñas empresas hasta grandes empresas, descubriendo nuevas preocupaciones de seguridad que surgieron después de que la pandemia obligó a las empresas estadounidenses a enviar a sus trabajadores a casa.

Los datos mostraron que desde que las organizaciones pasaron a un modelo de trabajo desde casa (FMH), el potencial de ciberataques y violaciones ha aumentado. Si bien esto no es del todo inesperado, la magnitud de este aumento es sorprendente. Desde el comienzo de la pandemia, el 20 por ciento de los encuestados dijeron que se enfrentaron a violaciones de seguridad como resultado de un trabajador remoto. Esto, a su vez, ha aumentado los costos, y el 24 por ciento de los encuestados dijo que pagaron gastos inesperados para abordar una violación de seguridad cibernética o un ataque de malware después de órdenes de refugio en el lugar.

Notamos un marcado aumento en el uso de dispositivos personales para el trabajo: el 28 por ciento de los encuestados admitió que están usando dispositivos personales para actividades relacionadas con el trabajo más que los dispositivos emitidos por el trabajo. Más allá de eso, encontramos que el 61 por ciento de las organizaciones de los encuestados no instaron a los empleados a usar soluciones antivirus en sus dispositivos personales, lo que agravó aún más el aumento de la superficie de ataque con una falta de protección adecuada.

Encontramos un contraste sorprendente entre la confianza de los líderes de TI en su seguridad durante la transición a entornos de trabajo desde el hogar (FMH) y sus posiciones de seguridad reales, lo que demuestra un problema continuo de arrogancia de seguridad. Aproximadamente tres cuartas partes (73,2 por ciento) de los encuestados le dieron a sus organizaciones una puntuación de 7 o más en preparación para la transición a la FMH, sin embargo, el 45 por ciento de las organizaciones encuestadas no realizaron análisis de seguridad y privacidad en línea de las herramientas de software necesarias para la colaboración de la FMH. .

Conclusiones adicionales del informe

• El 18 por ciento de los encuestados admitió que, para sus empleados, la ciberseguridad no era una prioridad, mientras que el 5 por ciento dijo que sus empleados eran un riesgo de seguridad y ajenos a las mejores prácticas de seguridad.
• Al mismo tiempo, el 44 por ciento de las organizaciones de los encuestados no brindó capacitación en ciberseguridad que se enfocara en las amenazas potenciales de trabajar desde casa (como asegurarse de que las redes domésticas tuvieran contraseñas seguras o que los dispositivos no se dejaran al alcance de usuarios no autorizados).
• Mientras que el 61 por ciento de las organizaciones de los encuestados proporcionaron dispositivos emitidos por el trabajo a los empleados según fuera necesario, el 65 por ciento no implementó una nueva solución antivirus (AV) para esos mismos dispositivos

No es de extrañar que el cambio a un entorno de trabajo completamente remoto debido a COVID-19 provoque una serie de cambios en los enfoques de las organizaciones hacia la ciberseguridad. Lo que ha sido sorprendente, sin embargo, son algunos de los cambios imprevistos en los hábitos de los empleados y cómo han impactado la postura de seguridad de las empresas grandes y pequeñas.

Nuestro último informe de Malwarebytes Labs, Enduring from Home: COVID-19’s Impact on Business Security , revela algunos datos inesperados sobre problemas de seguridad con la fuerza laboral remota de hoy.

Nuestro informe combina la telemetría del producto Malwarebytes con los resultados de la encuesta de 200 tomadores de decisiones de TI y ciberseguridad, desde pequeñas hasta grandes empresas, descubriendo nuevas preocupaciones de seguridad que surgieron después de que la pandemia obligó a las empresas estadounidenses a enviar a sus trabajadores a casa.

Los datos mostraron que desde que las organizaciones pasaron a un modelo de trabajo desde casa (FMH), el potencial de ciberataques y violaciones ha aumentado. Si bien esto no es del todo inesperado, la magnitud de este aumento es sorprendente. Desde el comienzo de la pandemia, el 20 por ciento de los encuestados dijeron que se enfrentaron a violaciones de seguridad como resultado de un trabajador remoto. Esto, a su vez, ha aumentado los costos, y el 24 por ciento de los encuestados dijo que pagaron gastos inesperados para abordar una violación de seguridad cibernética o un ataque de malware después de órdenes de refugio en el lugar.

Notamos un marcado aumento en el uso de dispositivos personales para el trabajo: el 28 por ciento de los encuestados admitieron que están usando dispositivos personales para actividades relacionadas con el trabajo más que los dispositivos que se emiten en el trabajo. Más allá de eso, descubrimos que el 61 por ciento de las organizaciones de los encuestados no instaron a los empleados a usar soluciones antivirus en sus dispositivos personales, lo que agravó aún más el aumento de la superficie de ataque con una falta de protección adecuada.

Encontramos un contraste sorprendente entre la confianza de los líderes de TI en su seguridad durante la transición a entornos de trabajo desde el hogar (FMH) y sus posiciones de seguridad reales, lo que demuestra un problema continuo de arrogancia de seguridad. Aproximadamente tres cuartas partes (73,2 por ciento) de los encuestados le dieron a sus organizaciones una puntuación de 7 o más en preparación para la transición a la FMH, sin embargo, el 45 por ciento de las organizaciones encuestadas no realizaron análisis de seguridad y privacidad en línea de las herramientas de software necesarias para la colaboración de la FMH. .

Conclusiones adicionales del informe

• El 18 por ciento de los encuestados admitió que, para sus empleados, la ciberseguridad no era una prioridad, mientras que el 5 por ciento dijo que sus empleados eran un riesgo de seguridad y ajenos a las mejores prácticas de seguridad.
• Al mismo tiempo, el 44 por ciento de las organizaciones de los encuestados no brindó capacitación en ciberseguridad que se enfocara en las amenazas potenciales de trabajar desde casa (como asegurarse de que las redes domésticas tuvieran contraseñas seguras o que los dispositivos no se dejaran al alcance de usuarios no autorizados).
• Mientras que el 61 por ciento de las organizaciones de los encuestados proporcionaron dispositivos emitidos por el trabajo a los empleados según fuera necesario, el 65 por ciento no implementó una nueva solución antivirus (AV) para esos mismos dispositivos.

Para obtener más información sobre los crecientes riesgos descubiertos en la población actual de trabajadores remotos, lea nuestro informe completo:

Como si los niveles de estrés en la industria de la salud no fueran lo suficientemente altos debido a la pandemia de COVID-19, los riesgos para su ya frágil infraestructura de ciberseguridad están en su punto más alto. Desde el aumento de los ataques cibernéticos hasta las vulnerabilidades exacerbadas y los costosos errores humanos, si la ciberseguridad de la atención médica no estaba dando vueltas antes , COVID-19 lo envió en picada.

No hay tiempo para buscar una solución mejor

Como consecuencia de estar demasiado ocupados luchando contra el virus, algunas organizaciones de atención médica se han visto incapaces de buscar diferentes soluciones de seguridad más adecuadas para su situación actual.

Por ejemplo, la agencia Public Health England (PHE), que es responsable de gestionar el brote de COVID-19 en Inglaterra, decidió prolongar su contrato existente con su principal proveedor de TI sin permitir que los competidores presenten una oferta. Hicieron esto para garantizar que su tarea principal, monitorear la enfermedad generalizada, pudiera seguir adelante sin tener que preocuparse por las interrupciones del servicio u otras preocupaciones.

Extender un contrato sin mirar a la competencia no solo es una receta para obtener un mal trato, sino que también significa que las organizaciones no pueden mejorar las fallas que pueden haber encontrado en los sistemas y software existentes.

Ataques dirigidos a organizaciones sanitarias

A pesar de que hubo algunas promesas iniciales de eliminar a los proveedores de atención médica como objetivos después de que golpeó el COVID-19, los ciberdelincuentes simplemente no se molestaron en hacer lo correcto por una vez. De hecho, hemos visto algunos ataques de malware dirigidos específicamente a organizaciones de atención médica desde el comienzo de la pandemia.

Los hospitales y otras organizaciones sanitarias han cambiado su enfoque y recursos a su función principal. Si bien esto es completamente comprensible, los ha colocado en una situación vulnerable. Durante la pandemia de COVID-19, el gobierno y las organizaciones sanitarias controlan y almacenan una cantidad cada vez mayor de datos sanitarios. Según se informa, esto ha impulsado un aumento de ciberataques sofisticados y dirigidos diseñados para aprovechar un entorno cada vez más conectado.

En la atención médica, también ha provocado un aumento de los ataques de los estados nacionales , en un esfuerzo por robar datos valiosos de COVID-19 e interrumpir las operaciones de atención. De hecho, el sector se ha convertido tanto en un objetivo como en un método de ataques avanzados de ingeniería social. Los actores malintencionados que se aprovechan de la pandemia ya han lanzado una serie de campañas de phishing utilizando COVID-19 como señuelo para eliminar malware o ransomware.

COVID-19 no solo ha puesto a las organizaciones de salud en peligro directo de ataques cibernéticos, sino que algunas se han convertido en víctimas de daños colaterales. Existen, por ejemplo, ataques de compromiso de correo electrónico empresarial ( BEC ) con el tema COVID-19 que podrían tener como objetivo objetivos excepcionalmente ricos . Sin embargo, algunos se conformarán con menos si es un objetivo fácil, como uno que podría estar preocupado por luchar contra una pandemia global.

Ataques de ransomware

Como se mencionó anteriormente, los hospitales y otras organizaciones de atención médica corren el riesgo de ser víctimas de los métodos de ataque de «rociar y presa» utilizados por algunos ciberdelincuentes. El ransomware es solo una de las posibles consecuencias, pero podría decirse que es la más perjudicial cuando se trata de operaciones de atención médica, especialmente las que están a cargo del cuidado de pacientes gravemente enfermos.

INTERPOL ha emitido una advertencia a las organizaciones a la vanguardia de la respuesta mundial al brote de COVID-19 sobre los ataques de ransomware diseñados para bloquearlos de sus sistemas críticos en un intento de extorsionarlos. El equipo de INTERPOL de respuesta a amenazas cibernéticas detectó un aumento significativo en el número de intentos de ataques de ransomware contra organizaciones e infraestructura clave involucradas en la respuesta al virus.

Instalaciones especiales COVID-19

Durante la pandemia, muchos países construyeron o renovaron edificios especiales para albergar a los pacientes con COVID-19. Estos fueron creados para aumentar rápidamente la capacidad mientras se mantiene a los pacientes con COVID separados de los demás. Pero estos centros médicos ad-hoc COVID-19 ahora tienen un conjunto único de vulnerabilidades: son remotos, se encuentran fuera de una arquitectura de defensa en profundidad y la naturaleza misma de su existencia significa que la seguridad será una prioridad menor. Estas instalaciones no solo son propensas a carecer de personal en los departamentos de TI, sino que la mayor parte posible de su presupuesto se destina a ayudar a los pacientes.

Otro punto de interés es la transferencia de datos de pacientes desde el entorno hospitalario habitual a estas ubicaciones temporales. Está claro que el personal que trabaja en las instalaciones de COVID necesitará la información sobre sus pacientes, pero ¿con qué seguridad se almacena y transfiere esa información? ¿Está tan protegido en el nuevo entorno como en el antiguo?

Robo y protección de datos

Hace unos meses, cuando la pandemia resultó ser difícil de superar, muchas agencias informaron sobre los esfuerzos dirigidos por los ciberdelincuentes para mejorar la investigación del coronavirus, los datos de pacientes y más de las industrias de la salud, la farmacéutica y la investigación. Entre estas agencias se encontraban la Agencia de Seguridad Nacional, el FBI, la Agencia de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional y la Seguridad Cibernética Nacional del Reino Unido.

En la primavera, muchos países comenzaron a discutir el uso de aplicaciones de rastreo y / o rastreo de contactos en un esfuerzo por ayudar a mantener la pandemia bajo control. Aplicaciones que advertirían a los usuarios si habían estado cerca de un usuario infectado. Es comprensible que los defensores y los periodistas plantearon muchas preocupaciones sobre la privacidad.

Se recopilan y comparten muchos datos con la intención de combatir el COVID-19, pero también existe la necesidad de proteger la información personal de las personas. Entonces, varios senadores estadounidenses presentaron la Ley de Protección de Datos del Consumidor COVID-19 . La legislación brindaría a todos los estadounidenses más transparencia, opciones y control sobre la recopilación y el uso de sus datos personales de salud, dispositivos, geolocalización y proximidad. El proyecto de ley también responsabilizará a las empresas ante los consumidores si utilizan datos personales para combatir la pandemia de COVID-19.

El impacto

Aunque tal acto de protección podría ser bienvenido y necesario, las consecuencias para una industria de ciberseguridad de la atención médica ya estresada podrían ser demasiado abrumadoras. Se podría argumentar que la legislación sobre protección de datos no debería aprobarse caso por caso, sino que debería estar en vigor para proteger a los ciudadanos en todo momento, no solo cuando se necesitan medidas adicionales para luchar contra una pandemia.

Mientras tanto, en Malwarebytes haremos nuestra parte para apoyar a los que trabajan en la industria de la salud al mantener el malware fuera de sus máquinas; es un virus menos del que preocuparse.

«Pero verifiqué los permisos antes de instalar este bloqueador de ventanas emergentes, no dijo nada acerca de cambiar mis búsquedas», responde mi padre después de que lo regaño por instalar otra extensión de Chrome para secuestrar búsquedas. Por supuesto, no son difíciles de eliminar, pero tener que hacerlo una y otra vez es una molestia. Esto es especialmente cierto porque puede ser difícil averiguar cuál de las extensiones de Chrome es la culpable si el navegador comienza a fallar.

¿Que pasó?

Recientemente, nos encontramos con una familia de secuestradores de búsquedas que engañan acerca de los permisos que van a usar en su solicitud de instalación. Esta extensión, llamada PopStop, afirma que solo puede leer su historial de navegación. Parece bastante inofensivo, ¿verdad?

Se supone que el mensaje de instalación en la tienda web le brinda información precisa sobre los permisos que requiere la extensión que está a punto de instalar. Ya es un hábito que las extensiones del navegador solo soliciten los permisos necesarios para funcionar correctamente desde el principio y luego soliciten permisos adicionales después de la instalación. ¿Por qué? Es más probable que los usuarios confíen en una extensión con advertencias limitadas o cuando se les explican los permisos.

Pero, ¿de qué sirven estas indicaciones informativas si solo te dan la mitad de la historia? En este caso, la extensión PopStop no solo lee su historial de navegación, como explica la ventana emergente, sino que también secuestra sus resultados de búsqueda.

Algunas de estas extensiones son más sencillas una vez que el usuario las instala y se enumeran debajo de las extensiones instaladas.

Pero otros son consistentes en sus mentiras incluso después de haber sido instalados, lo que hace que sea aún más difícil descubrir cuál es el responsable del secuestro de búsqueda.

¿Cómo es esto posible?

Google había decidido en algún momento prohibir las extensiones que ofuscan su código. Al hacerlo, es más fácil para ellos leer la programación del complemento y realizar el análisis adecuado.

El primer paso para determinar qué está haciendo una extensión es mirar el archivo manifest.json.

El registro de un script en el manifiesto le dice a la extensión a qué archivo hacer referencia y, opcionalmente, cómo debe comportarse ese archivo.

Lo que este manifiesto nos dice es que el único script activo es «background.js» y los permisos declarados son «pestañas» y «almacenamiento». Más sobre esos permisos más adelante.

Las partes relevantes en background.js son estas piezas, porque nos muestran hacia dónde van nuestras búsquedas:

const BASE_DOMAIN = 's3redirect.com', pid = 9126, ver = 401;
chrome.tabs.create({url: `https://${BASE_DOMAIN}/chrome3.php?q=${searchQuery}`});
        setTimeout(() => {
          chrome.tabs.remove(currentTabId);
        }, 10);

Este script usa dos métodos chrome.tabs: uno para crear una nueva pestaña basada en su consulta de búsqueda y el otro para cerrar la pestaña actual. La pestaña cerrada habría mostrado los resultados de búsqueda de su proveedor de búsqueda predeterminado.

Mirando la API chrome.tabs , leemos:

“Puede utilizar la mayoría de los métodos y eventos de chrome.tabs sin declarar ningún permiso en el archivo de manifiesto de la extensión. Sin embargo, si necesita acceso a las propiedades url, pendienteUrl, título o favIconUrl de tabs.Tab, debe declarar el permiso «tabs» en el manifiesto «.

Y efectivamente, en el manifiesto de esta extensión encontramos:

"permissions": [ "tabs", "storage" ],

El permiso de «almacenamiento» no invoca un mensaje en la pantalla de advertencia que ven los usuarios cuando instalan una extensión. El permiso «pestañas» es el motivo del mensaje «Leer su historial de navegación». Aunque la API chrome.tabs se puede utilizar por diferentes motivos, también se puede utilizar para ver la URL asociada con cada pestaña recién abierta.

Las extensiones que encontramos lograron evitar tener que mostrar el mensaje “Leer y cambiar todos tus datos en los sitios web que visitas” que estaría asociado con el método “tabCapture”. Lo hicieron cerrando la pestaña actual después de capturar su término de búsqueda y abriendo una nueva pestaña para realizar la búsqueda de ese término en su propio sitio.

Las advertencias de permisos «normales» para un secuestrador de búsquedas se parecerían más a esto:

El efecto final es el mismo, pero es menos probable que un usuario experimentado instale esta última extensión, ya que se opondría a la solicitud de permiso o reconocería el complemento como un secuestrador de búsquedas al mirar estos mensajes.

¿Estas extensiones realmente mienten?

Algunos podrían llamarlo mentira. Algunos pueden decir que no, simplemente no ofrecieron toda la verdad. Sin embargo, el objetivo de esas ventanas emergentes de permisos es darles a los usuarios la opción de descargar un programa siendo sincero sobre lo que el programa les pide a sus usuarios.

En el caso de estas extensiones de Chrome, digamos que no están revelando el alcance total de las consecuencias de instalar sus extensiones.

Sería conveniente que Google agregara un posible mensaje para las extensiones que usan el método chrome.tabs.create. Esto informaría al usuario que su extensión podrá abrir nuevas pestañas, que es una forma de mostrar anuncios para que los usuarios conozcan esta posibilidad. Y chrome.tabs.create también resulta ser el método que utiliza esta extensión para reemplazar los resultados de búsqueda que buscábamos por los suyos.

Una ventaja adicional de estas extensiones es el hecho de que no se mencionan en el menú de configuración como lo haría un secuestrador de búsqueda «normal».

No aparecer en la lista como el reemplazo del motor de búsqueda, nuevamente, hace que sea más difícil para un usuario descubrir qué extensión podría ser responsable de los resultados de búsqueda inesperados.

Por el momento, estos secuestradores pueden ser reconocidos por el nuevo encabezado que agregan a sus resultados de búsqueda, que se ve así:

Esto probablemente cambiará una vez que sus dominios actuales estén marcados como páginas de destino para secuestradores y se crearán nuevas extensiones utilizando otras páginas de destino.

Más detalles

Estas extensiones interceptan resultados de búsqueda de estos dominios:

• aliexpress.com
• booking.com
• todos los dominios de google
• ask.com
• ecosia.org
• bing.com
• yahoo.com
• mysearch.com
• duckduckgo.com

También intercepta todas las consultas que contienen la cadena «spalp2020». Probablemente esto se deba a que esa cadena es un factor común en las URL del instalador que pertenecen a la familia de secuestradores powerapp.download .

Buscar secuestradores

Hemos escrito antes sobre los intereses de los desarrolladores turbios en la industria de las búsquedas de miles de millones de dólares y hemos informado sobre las diferentes tácticas a las que recurren estos desarrolladores para que los usuarios instalen sus extensiones o usen sus sitios de búsqueda [ 1 ], [ 2 ], [ 3 ].

Si bien esta familia no utiliza las prácticas de marketing más engañosas que existen, aún oculta su mal comportamiento a la vista. Muchos usuarios han aprendido a leer detenidamente los mensajes de solicitud de instalación para determinar si una extensión es segura. Es decepcionante que los desarrolladores puedan evadir dar información honesta y que estas extensiones se introduzcan en la tienda web una y otra vez.

COI

identificadores de extensión:

pcocncapgaibfcjmkkalopefmmceflnh

dpnebmclcgcbggnhicpocghdhjmdgklf

dominios de búsqueda:

s3redirect.com

s3arch.page

gooogle.page <= tenga en cuenta la «o» adicional

Malwarebytes detecta estas extensiones con el nombre de detección PUP.Optional.SearchEngineHijack.Generic .

Varios actores de amenazas continúan aprovechándose de la pandemia de coronavirus en curso a través de estafas de phishing y otras campañas de distribución de malware.

En este blog, analizamos 3 olas de phishing diferentes dirigidas a solicitantes de préstamos de ayuda Covid-19. Los correos electrónicos de phishing se hacen pasar por la Administración de Pequeñas Empresas de EE. UU. (SBA) y tienen como objetivo entregar malware, robar credenciales de usuario o cometer fraude financiero.

En cada una de estas campañas, los delincuentes falsifican el correo electrónico del remitente para que se parezca al de la SBA oficial. Esta técnica es muy común y, desafortunadamente, a menudo se malinterpreta, lo que resulta en muchas estafas exitosas.

Malware GuLoader

En abril, vimos la primera ola de ataques de la SBA utilizando COVID-19 como señuelo para distribuir malware. Los correos electrónicos contenían archivos adjuntos con nombres como ‘SBA_Disaster_Application_Confirmation_Documents_COVID_Relief.img’.

El malware era el popular GuLoader , un descargador sigiloso utilizado por los delincuentes para cargar la carga útil de su elección y evitar la detección de antivirus.

Intento de phishing tradicional

La segunda ola que vimos involucró un enfoque de phishing más tradicional donde el objetivo era recopilar credenciales de las víctimas para estafarlas más adelante.

Una URL, especialmente si no tiene nada que ver con el remitente, es un gran indicio de que el correo electrónico puede ser fraudulento. Pero las cosas se complican un poco más cuando los atacantes utilizan archivos adjuntos que parecen legítimos.

Intento de phishing avanzado

Esto es lo que vimos en un esquema bastante inteligente y atrevido que engaña a las personas para que completen un formulario completo que contiene información muy personal, incluidos los detalles de la cuenta bancaria. Estos podrían usarse para drenar cuentas directamente o en una capa adicional de ingeniería social, que engaña a los usuarios para que paguen tarifas avanzadas que no existen como parte del programa real de la SBA.

Esta última campaña comenzó a principios de agosto y es lo suficientemente convincente como para engañar incluso a los expertos en seguridad más experimentados. Aquí hay un vistazo más de cerca a algunas de las banderas rojas que encontramos mientras lo analizamos.

La mayoría de las personas no son conscientes de la falsificación de correos electrónicos y creen que si el correo electrónico del remitente coincide con el de una organización legítima, debe ser real. Desafortunadamente, ese no es el caso, y hay verificaciones adicionales que deben realizarse para confirmar la autenticidad de un remitente.

Existen varias tecnologías para confirmar la verdadera dirección de correo electrónico del remitente, pero en cambio nos centraremos en los encabezados de los correos electrónicos, una especie de plano que está disponible para cualquier persona. Dependiendo del cliente de correo electrónico, existen diferentes formas de ver dichos encabezados. En Outlook, puede hacer clic en Archivo y luego en Propiedades para mostrarlos:

Uno de los elementos a tener en cuenta es el campo «Recibido». En este caso, muestra un nombre de host (park-mx.above [.] Com) que parece sospechoso. De hecho, podemos ver que ya se ha mencionado en otra campaña de estafa .

Si volvemos a este correo electrónico, vemos que contiene un archivo adjunto, una solicitud de préstamo con el número de referencia 3245-0406. Una mirada a los metadatos PDF a veces puede revelar información interesante.

Aquí notamos que el archivo se creó el 31 de julio con Skia, una biblioteca de gráficos para Chrome. Esto nos dice que los estafadores crearon ese formulario poco antes de enviar los correos electrónicos no deseados.

A modo de comparación, si miramos la aplicación descargada del sitio web oficial de la SBA, vemos algunos metadatos diferentes:

Este formulario de solicitud legítimo se creó con Acrobat PDFMaker for Word el 27 de marzo, que coincide con el cronograma de la pandemia.

Por lo general, la solicitud de préstamo se imprime y luego se envía por correo a una dirección física en una de las oficinas gubernamentales. Si volvemos al correo electrónico original, solicita enviar el formulario completo como respuesta por correo electrónico en su lugar:

Aquí es donde las cosas se ponen interesantes. Aunque el correo electrónico del remitente es disastercustomerservice@sba.gov, cuando presiona el botón de respuesta, muestra una dirección de correo electrónico diferente en: disastercustomerservice @ gov-sba [.] Us . Si bien sba.gov es el sitio web oficial y legítimo del gobierno, gov-sba [.] Us no lo es.

Ese nombre de dominio (gov-sba [.] Us) se registró pocos días antes de que comenzara la campaña de correo electrónico y claramente no pertenece al gobierno de EE.

Sin embargo, debemos tener en cuenta que esta campaña es bastante elaborada y que sería fácil caer en la trampa. Lamentablemente, lo último que desearía al solicitar un préstamo es quedarse sin más dinero.

Si responde a este correo electrónico con el formulario completo que contiene información privada que incluye los detalles de su cuenta bancaria, esto es exactamente lo que sucedería.

Consejos sobre cómo protegerse

No hay duda de que las personas deben ser extremadamente cautelosas cuando se les pida que completen información en línea, especialmente en un correo electrónico. Los estafadores acechan en cada esquina y están listos para aprovechar la próxima oportunidad.

Tanto el Departamento de Justicia como la Administración de Pequeñas Empresas han estado advirtiendo sobre estafas relacionadas con los préstamos de la SBA. Sus respectivos sitios proporcionan varios consejos sobre cómo evitar varios esquemas maliciosos.

Quizás lo más importante, especialmente cuando se trata de correos electrónicos de phishing, es que la dirección del remitente puede falsificarse fácilmente y de ninguna manera es una garantía sólida de legitimidad, incluso si se ve exactamente igual.

Debido a que no podemos esperar que todos busquen los encabezados y metadatos de los correos electrónicos, al menos podemos sugerir que verifiquemos la legitimidad de cualquier comunicación con un amigo o llamando a la organización gubernamental. Para esto último, siempre recomendamos no marcar nunca el número que se encuentra en un correo electrónico o que se deja en un buzón de voz, ya que podría ser falso. Busque en Google la organización su número de contacto correcto.

Malwarebytes también protege contra ataques de phishing y malware al bloquear la infraestructura ofensiva utilizada por los estafadores.

El peligro constante del compromiso del correo electrónico empresarial (BEC) se encuentra una vez más en las noticias. Esta vez, los principales equipos de fútbol de la Premier League inglesa casi fueron víctimas de sus engaños , por una suma de £ 1 millón.

Primera mitad: estafadores a la ofensiva

Alguien comprometió el correo electrónico de un Director Gerente después de iniciar sesión en un portal de phishing a través de un correo electrónico falso. Las cuentas falsas configuradas durante la ventana de transferencia para comprar y vender jugadores proporcionaron la apertura requerida. Se insertaron en las conversaciones con facilidad. Ambos clubes estaban conversando con falsificaciones, ya que los estafadores cambiaron los datos bancarios para el pago. No llegó dinero a los estafadores, ya que el banco reconoció la cuenta bancaria fraudulenta.

Al igual que con tantos ataques BEC, el punto débil era el correo electrónico no seguro sin medidas adicionales implementadas. Algún 2FA habría ayudado enormemente aquí, junto con precauciones adicionales. Hemos hablado de esto anteriormente, donde las organizaciones pueden tener que aceptar cierta desaceleración en sus actividades detrás de escena para la protección adicional que se brinda. ¿El director ejecutivo necesita confirmar los cables por teléfono con alguien en otra zona horaria? ¿Ralentizará un poco las cosas?

Eso es, para algunos, el costo de (los estafadores) hacer negocios. El truco está en tratar de encontrar las soluciones que funcionen mejor para usted, de una manera que no encuentre objeciones tanto de la junta como de las personas que utilizan estos procesos a diario.

El sector deportivo está siendo atacado digitalmente en todos los frentes en este momento. Puede leer sobre algunos de los otros ataques y algunas travesuras más relacionadas con BEC en el informe NCSC .

Segunda mitad: BEC mantiene la presión alta

Las estafas de BEC han ganado mucha visibilidad en las últimas semanas.

Las grandes pérdidas financieras acompañan a la vergüenza de hacer público el compromiso. Es casi seguro que no conocemos el verdadero alcance del daño. El ransomware y las amenazas de chantaje similares causan problemas similares al intentar estimar el impacto.

BEC tampoco es una especie de hora amateur. Los profesionales están haciendo absolutamente todo lo que pueden en este ámbito para mejorar aún más sus ganancias .

Tiempo extra: el largo brazo de la ley

Las organizaciones y las personas a menudo se dan cuenta demasiado tarde de que enviar transferencias significa que el efectivo se ha ido para siempre. El ataque responde sigilosamente y se lleva el dinero sin que nadie se dé cuenta hasta que es demasiado tarde.

Por otro lado, los bustos ocurren. Resulta que ser masivamente visible con unos 2.4 millones de seguidores en Instagram podría no ser la mejor manera de seguir siendo Guy Incognito. Después de que se robó poco menos de 1 millón de dólares de una víctima en los EE. UU., El FBI encontró evidencia de comunicaciones entre una estrella popular de las redes sociales y los presuntos co-conspiradores del fraude. El FBI presentó una denuncia penal en junio que alega que toda la riqueza de la estrella de las redes sociales se obtiene ilegalmente.

Curiosamente, se menciona otro intento en un club de fútbol de la primera división inglesa. Esta vez, sin embargo, el dinero en juego es significativamente mayor: £ 100 millones, frente a £ 1 millón.

Ay.

Penalizaciones: un último ataque de varios frentes

No es solo el BEC estándar de lo que debemos preocuparnos. Hay muchas rutas divergentes hacia su negocio que se originan aproximadamente en la misma posición inicial. El compromiso del correo electrónico del proveedor es algo que está ganando importancia desde que su hermano más conocido salió a la luz, así que agréguelo a la creciente lista de cosas contra las que defenderse. El exitoso ataque a una importante cadena de cines europea por 21 millones de dólares está empezando a parecer una papilla en este punto, aunque definitivamente no para cualquiera que se vea atrapado en las consecuencias.

Algunos estafadores usan malware . Para otros, se trata de quemar un exploit horriblemente caro. La esperanza es que gane varias veces la cantidad pagada inicialmente. ¿El resto acecha en las sombras? Mucho dinero de la publicidad maliciosa o de los juegos en las redes sociales con un toque de propagación viral y muchos clics robados.

Mientras tanto, allí, tenemos un grupo de personas que reconstruyen el funcionamiento interno de su organización a partir de información disponible gratuitamente en línea. En este mismo momento, están considerando enviar una misiva inocente, solo para ver si la dirección de correo está activa y si la persona responsable responde.

No volverá a tener noticias de ellos … pero es casi seguro que verá un correo de algo que dice ser el administrador de su sistema instándole a restablecer sus datos de inicio de sesión.

Dónde terminan tanto usted como las reservas de efectivo de su organización después de eso, depende completamente de la planificación que se haya hecho de antemano.

¿Qué tan preparado estará cuando los atacantes del correo electrónico empresarial llamen?

Durante las últimas semanas, ha habido una corriente sólida de correos electrónicos falsos de PayPal en circulación, que han convertido a FOMO (miedo a perderse) en HACER ESTO O MALAS COSAS. Es una de las herramientas más comunes en el arsenal del estafador, y un poco de presión aplicada de la manera correcta a menudo les trae resultados.

Reclama que las personas perderán algo, incurrirán en cargos o se perderán un servicio valioso y vendrán corriendo. A continuación se muestra un resumen de quién dicen ser estos correos electrónicos, cómo se ven y el tipo de clics de pánico que están presionando. Estos son solo algunos ejemplos; Hay muchos, muchos otros.

Factores comunes

La mayoría de los correos que hemos visto afirman ser enviados desde

Secure (AT) intl-limited (DOT) com

O variaciones de los mismos, aunque el correo electrónico real que se utiliza con frecuencia es solo una mezcla de letras / palabras / números aleatorios. En su mayoría, también afirman que su cuenta está limitada o restringida de alguna manera, o que ha habido alguna actividad inusual en su cuenta y ahora debe demostrar que fue usted quien realizó las transacciones (inexistentes).

Es muy similar a este lote de misivas de 2015 , donde los estafadores buscaban los detalles de la tarjeta de crédito / pago. Estos son algunos de los correos, para darle una idea de lo que debe tener en cuenta. Por lo general, están llenos de errores tipográficos, y no hemos corregido ninguno de sus errores.

Correos de estafa

Re: [Importante] – Su cuenta fue temporalmente limitada

Nos gustaría informarle sobre ciertas modificaciones a nuestros contratos de usuario que le conciernen.

No se requiere ninguna acción de su parte. Sin embargo, si desea obtener más información, lo invitamos a consultar nuestra página de Actualizaciones de políticas donde encontrará los detalles de estas modificaciones, en qué casos se aplican y cómo rechazarlas, si corresponde.

Después de una revisión reciente de la actividad de su cuenta. hemos determinado que infringe la Política de uso aceptable de PayPal. Su cuenta ha sido limitada hasta que tengamos noticias suyas. Si bien su cuenta es limitada, algunas opciones en su cuenta no estarán disponibles.

Re: [Renovación del recibo de la orden] Regístrese para recibir actualizaciones del extracto bancario use Google Chrome de las Islas Marshall

Estimado servicio al cliente

Su cuenta de PayPal ha sido limitada porque hemos notado cambios significativos en la actividad de su cuenta. Como su procesador de pagos, debemos comprender mejor estos cambios. Esta limitación de cuenta afectará su capacidad para:

Envía o recibe dinero

Retirar dinero de su cuenta

Agregar o eliminar una tarjeta y cuenta bancaria

Disputar una transacción

Cierra tu cuenta

¿Qué hacer a continuación?

Inicie sesión en su cuenta de PayPal y proporcione la información solicitada a través del centro de resolución {SIC}

Re: Enviado: Actualización de la declaración de inicio de sesión con Google Chrome de Taiwán, Provincia de China

Su cuenta de PayPal ha sido limitada

Estimado cliente,

Nuestro servicio está mejorando el sistema de seguridad para todas las cuentas de PayPal. La razón, muchas cuentas han sido pirateadas por alguien para pedir un artículo usando una tarjeta de crédito / débito / banco en la cuenta asociada.

Para la conveniencia y seguridad de PayPal, hemos limitado todas las cuentas registradas.

PayPal es la forma más segura y rápida de pagar. Para recuperar su cuenta, puede hacer clic en el botón de enlace a continuación y continuar con la verificación de identidad para demostrar que es su cuenta.

Re: Recordatorio: [Informe diario] [Noticias de actualización] [Sistema conocido] Update-informatie zie factuur van – Declaración Actualización Nuevo inicio de sesión

Su cuenta de PayPal está temporalmente limitada.

Hola cliente

Notamos que has estado usando tu cuenta de Paypal de manera cuestionable. Para entender esto mejor, solo necesitamos más información de usted.

Para garantizar que su cuenta permanezca segura, necesitamos que tome medidas en su cuenta. También hemos limitado temporalmente ciertas funciones en su cuenta

Actualmente, no podrás:

• Enviar pagos

• Retirar Fondos

Que deberias hacer

Inicie sesión en su cuenta de Paypal, siga los pasos y realice las tareas requeridas.

RE: Recordatorio: [Informe diario] [Acuerdo de declaración] Hemos enviado notificaciones. Actualizaciones automáticas 

Su cuenta ha sido limitada.

Hola cliente

Hemos limitado tu cuenta

Después de una revisión reciente de la actividad de su cuenta, hemos determinado que infringe la Política de uso aceptable de PayPal. Inicie sesión para confirmar su identidad y revisar toda su actividad reciente

Puede encontrar la Política de uso aceptable de PayPal completa haciendo clic en Legal en la parte inferior de cualquier página de PayPal.

Ayuda y consejos para evitar estafas

PayPal ha expandido sus recursos de seguridad en los últimos años. Ahora tienen un portal para múltiples formas de actividad sospechosa , una sección para reportar estafas de phishing y protección para compradores y vendedores .

También puede consultar la parte 1 de nuestra guía de phishing 101 de 3 partes .

Estos correos electrónicos no se secarán en el corto plazo, así que tenga cuidado y, como siempre, visite el sitio web de PayPal directamente desde su navegador si recibe algún mensaje que indique que ha sido limitado o bloqueado. Si es genuino, el servicio al cliente podrá ayudarlo. Si no es así, ayude a PayPal y a todos los demás informando el phishing. Es un escenario de ganar-ganar.

En noticias recientes, el gigante minorista Amazon envió un memorando a los empleados diciéndoles que eliminen la popular aplicación de redes sociales TikTok de sus teléfonos. En el memorando decía que la aplicación representaría un riesgo de seguridad sin entrar en detalles. Más tarde, el memo fue retirado sin una explicación, excepto que se envió por error. ¿Ya tenemos curiosidad, mi querido Watson?

¿Qué es el TikTok?

Para aquellos de nosotros que no podemos distinguir una aplicación de redes sociales de otra, TikTok es una de las más populares y fue especialmente diseñada para permitir a los usuarios subir videos cortos para que otros les den me gusta y compartan. La funcionalidad ha crecido desde una aplicación básica de sincronización de labios para alojar una amplia variedad de videoclips cortos. Es predominantemente popular entre un público más joven. La mayoría de los usuarios tienen entre 13 y 24 años . En el primer trimestre de 2019, TikTok fue la aplicación más descargada en la App Store, con más de 33 millones de instalaciones. TikTok es propiedad de una compañía tecnológica china llamada ByteDance .

La nación declara la atención

Esta no fue la primera vez que TikTok se enfrentó a la eliminación de varios dispositivos. India ya prohibió TikTok. Y Estados Unidos y Australia también están considerando bloquear la aplicación. De hecho, en diciembre, el ejército de EE. UU. Prohibió a TikTok de sus teléfonos, y en marzo, los senadores de EE. UU. Propusieron un proyecto de ley que bloquearía a TikTok de todos los dispositivos gubernamentales.

¿Es seguro TikTok?

Para empezar, el hecho de que TikTok sea un producto chino no ayuda. Una serie de aplicaciones y paquetes de software chinos han sido investigados y se encontró que estaban «llamando a casa». Ahora bien, esto no significa que lo estén espiando automáticamente, pero cuando comienza su investigación con una expectativa negativa, se inclina a verlo como tal. Y recopilar información sobre un cliente sin su consentimiento está mal.

El hecho de que TikTok sea diferente en la propia China, donde se conoce con el nombre de Douyin, es otro factor. Pero esto podría explicarse, así como China tiene la reputación de espiar a su población. Entonces, tal vez la versión extranjera es menos intrusiva que la doméstica. Y algunos gobiernos tienen sus propias razones para no confiar en nada de origen chino u otra agenda para boicotear productos originarios de China.

Agregando a la sospecha que un usuario de Reddit por el mango de bangorlol publicó comentarios sobre los datos encontrados para ser enviados a casa cuando realizó la ingeniería inversa de la aplicación. El mismo usuario ha iniciado un hilo en reddit donde desea cooperar con otros ingenieros de ingeniería inversa en las versiones más recientes de la aplicación. Un tipo de comportamiento que fue confirmado por otra fuente es que la aplicación copia información del portapapeles. Lo que sin duda es algo que va más allá de lo que hacen otras aplicaciones de redes sociales.

La defensa de TikTok

La defensa principal de TikTok consiste en el hecho de que la mayoría de su personal superior está fuera de China. En su blog también especificaron dónde se almacenan sus datos y que los datos no están sujetos a la ley china.

“TikTok está liderado por un CEO estadounidense, con cientos de empleados y líderes clave en materia de seguridad, productos y políticas públicas aquí en los Estados Unidos. Nunca hemos proporcionado datos de usuarios al gobierno chino, ni lo haríamos si nos lo pidieran «.

Opciones para prohibir completamente TikTok

Además de organizaciones como Wells Fargo y algunas ramas del ejército de los EE. UU. Que piden a sus empleados que se abstengan de usar la aplicación en dispositivos que también contienen datos sobre la organización, también hemos visto países que abogan por la prohibición total de la aplicación. Pero este no es un objetivo fácil de alcanzar y también podría resultar ineficaz.

Para una prohibición total de una aplicación, debería eliminarla de las tiendas oficiales. Esto es más difícil de lograr para algunos países que para otros. India prohibió TikTok junto con otras 58 aplicaciones chinas. El gobierno de los EE. UU. Tendría que encontrar una razón legal sólida para solicitar que Apple y Google retiren TikTok de sus tiendas de aplicaciones y probablemente se encontrarán con mucha resistencia.

Además, si la gente quiere instalar una aplicación popular como TikTok, hay muchas otras fuentes. Las descargas no se limitan a las tiendas de juegos oficiales, por lo que un usuario determinado podrá encontrar la aplicación en otro lugar. Y no impide que los millones de usuarios activos sigan utilizando la aplicación.

Otra opción es darle a TikTok el mismo tratamiento que le fue entregado a Huawei. Póngalos en la lista de entidades de los Departamentos de Comercio, lo que les negaría el acceso a la tecnología estadounidense. Dadas las circunstancias que no logran mucho más que negarles el acceso a las tiendas de juegos con las mismas consecuencias que discutimos anteriormente.

Redes sociales y privacidad

Hemos advertido muchas veces que no publiquemos información sensible a la privacidad en las redes sociales y que lo guiemos a usted y a sus hijos a usar las redes sociales de manera segura . Incluso publicamos una guía para aquellos que querían eliminarse de las principales redes sociales .

Pero cuando la aplicación de redes sociales está decidida a extraer sus datos, se convierte en una historia completamente diferente. No hemos visto pruebas concluyentes de que esto sea cierto para TikTok, pero algunas de las acusaciones son muy serias y parecen estar respaldadas por hechos e investigaciones autorizadas.

Otros analistas descartaron los hallazgos de los investigadores como conclusiones rápidas. Una cosa es segura: un análisis completo sin la ayuda de los desarrolladores requerirá mucho esfuerzo y tiempo e incluso entonces, los resultados pueden ser discutibles. En este punto, no podemos estar seguros de si la aplicación TikTok está espiando a sus usuarios de una manera que va más allá de lo que podríamos esperar de una aplicación de redes sociales ordinaria.

Todo lo que podemos hacer en este momento es informar a nuestros usuarios sobre la discusión en curso y tal vez explicar algunos de los puntos que se están planteando. También sentimos la necesidad de repetir nuestras advertencias sobre la difícil relación entre las redes sociales y la privacidad. Obviamente, si surge algún hecho concreto, lo mantendremos informado.

Las falsificaciones subversivas que entran en la fiesta sin previo aviso, hacen lo suyo, y luego se escabullen en la noche sin que nadie se dé cuenta de dónde está. Los clips fácilmente desacreditados de Donald Trump gritando LOS NUKES ESTÁN ARRIBA o algo igualmente ridículo no son una preocupación importante. Ya hemos investigado por qué ese es el caso .

Lo que también hemos explorado son las formas centradas en las personas con las que puede entrenar su ojo para detectar defectos y errores sobresalientes en imágenes falsas profundas , esencialmente, GANS (redes de confrontación generativas) que salió mal. Por lo general, habrá algo un poco fuera de los detalles, y depende de nosotros descubrirlo.

También se están haciendo progresos en el ámbito de la verificación digital de fraude, con algunas técnicas ingeniosas disponibles para ver qué es real y qué no. Resulta que hay una historia en las noticias que combina la subversión, el ojo humano e incluso una salpicadura de examen automatizado en buena medida.

Una carta falsa al editor

Un muchacho joven, «Oliver Taylor», que estudiaba en la Universidad de Birmingham, se encontró con editoriales publicados en las principales fuentes de noticias como Time of Israel y Jerusalem Post, con su «carrera» de escritura aparentemente  cobrando vida a fines de 2019 , con artículos adicionales en varios lugares a lo largo de 2020.

Después de una corriente de estas piezas, todo explotó en abril cuando un nuevo artículo de «Taylor» aterrizó haciendo algunas acusaciones bastante fuertes contra un par de académicos del Reino Unido.

Después de las inevitables consecuencias, resultó que Oliver Taylor no estaba estudiando en la Universidad de Birmingham . De hecho, aparentemente no era real y casi todos los rastros en línea del autor desaparecieron en el éter. Su número de teléfono móvil era inalcanzable, y nada regresó de su dirección de correo electrónico.

Aún más curiosamente, su fotografía tenía todas las características de una falsificación profunda (o, controvertidamente, no una «falsificación profunda»; más sobre el creciente choque sobre nombres descriptivos más adelante). Independientemente de lo que pretendes clasificar como el rostro ficticio de este hombre, en términos simples, es una imagen generada por IA diseñada para parecer lo más real posible.

¿Alguien había creado una construcción virtual y aprovechó su tiempo con una serie de publicaciones de blog que de otro modo no serían notables simplemente para establecerse en las principales plataformas antes de abandonar lo que parece ser una publicación de rencor?

Fingir para hacerlo

No se equivoquen, las entidades falsas que presionan opiniones influyentes son definitivamente una cosa. Las organizaciones de noticias derechas se han topado recientemente con un problema de este tipo . No hace mucho tiempo, Facebook eliminó unas asombrosas 700 páginas con 55 millones de seguidores en una colosal explosión de desinformación impulsada por la IA denominada » Enjambre de cara falsa «. Esta gran parte de la actividad de estilo Borg hizo pleno uso de las falsificaciones profundas y otras tácticas para impulsar consistentemente los mensajes políticos con un fuerte apoyo anti-China.

Lo que nos lleva de vuelta a nuestro estudiante solitario, con su colección de artículos bajo el radar, que culmina en un ataque directo contra académicos confundidos. El punto final, las travesuras políticas de 700 páginas y una tormenta de gente falsa, podría ser fácilmente puesto en marcha por un valiente humano falso con un sueño y una misión para causar agravación a otros.

¿Cómo determinó la gente que no era real?

Tech avanza hasta el plato

Algunas sospechas, y las personas adecuadas con la tecnología adecuada en la mano, es cómo lo hicieron. Hay muchas cosas que puede hacer para eliminar imágenes falsas, y hay una gran sección en Reuters que lo guía a través de las diversas etapas de detección. Los usuarios ya no tienen que elegir manualmente los defectos; La tecnología (por ejemplo) aislará la cabeza del fondo, haciendo que sea más fácil ver fallas distorsionadas con frecuencia. O tal vez podamos usar mapas de calor generados por algoritmos para resaltar las áreas más sospechosas de interferencia digital.

Aún mejor, hay herramientas disponibles que le darán un resumen de lo que sucede con una imagen.

Cavando en la tierra

Si edita muchas fotografías en su PC, probablemente esté familiarizado con los metadatos EXIF. Esta es una combinación de muchos bits de información en el momento en que se toma la foto. Tipo de cámara / teléfono, lente, GPS, detalles de color: el cielo es el límite. Por otro lado, algunos de ellos, como los datos de ubicación, pueden ser potencialmente una amenaza a la privacidad, por lo que es bueno saber cómo eliminarlos si es necesario.

Como con la mayoría de las cosas, realmente depende de lo que quieras de él. Las imágenes generadas por IA a menudo no son diferentes.

Hay muchas formas de unir sus imágenes GAN. Esto deja rastros, a menos que intentes ofuscarlo o de alguna manera eliminar alguna información. Hay formas de profundizar en la parte inferior de una imagen GAN y obtener resultados útiles.

Deslizamiento de imagen: a menudo una idea de último momento

En noviembre de 2019, pensé que sería divertido si los creadores de «Katie Jones» simplemente hubieran deslizado perezosamente una imagen de un sitio web de generación de rostros, en lugar de agonizar por los detalles de la imagen falsa.

Para nuestro estudiante universitario ficticio, parece que las personas detrás de él pueden haber hecho exactamente eso [ 1 ], [ 2 ]. El creador del sitio del que probablemente se extrajo la imagen ha dicho que están tratando de hacer que sus imágenes ya no se puedan descargar, y / o colocar las cabezas de las personas frente a un fondo falso identificable al 100 por ciento como el «espacio». También afirman que «los verdaderos malos actores alcanzarán soluciones más sofisticadas», pero como hemos visto en dos casos de alto perfil, los malos actores con grandes plataformas y alcance influyente de hecho solo están tomando la imagen falsa que desean.

Esto probablemente se deba a que, en última instancia, la imagen es solo una ocurrencia tardía; la guinda de un pastel de propaganda abultado.

Solo rueda con eso

Como hemos visto, la imagen no fue hecha a medida para esta campaña. Casi con certeza no estaba en la vanguardia del plan para quien se le ocurrió, y no estaban planificando su esquema de dominación mundial comenzando con fotos de perfil falsas. Está justo allí, y necesitaban uno, y (parece), de hecho, simplemente tomaron uno de un sitio web de generación de rostros disponible gratuitamente. Podría haber sido fácilmente una imagen de modelo de stock robada, pero eso es, por supuesto, algo más fácil de rastrear. 

Y así, mis amigos, es cómo terminamos con otro uso más sutil de la tecnología sintética cuya presencia puede no haber importado tanto.

¿Son estos incluso deepfakes?

Una pregunta interesante, y una que parece aparecer cada vez que una cara generada por GAN se adjunta a travesuras dudosas o una estafa absoluta. Algunos dirían que una imagen estática, totalmente sintética, no es una falsificación profunda porque es un tipo de salida totalmente diferente.

Para desglosar esto:

1. El tipo más familiar de deepfake, donde terminas con un video de [estrella de cine] diciendo algo desconcertante o haciendo algo salaz, se produce al alimentar una herramienta con múltiples imágenes de esa persona. Esto empuja a la IA a hacer que la [estrella de cine] diga lo desconcertante, o realice acciones en un clip en el que de otro modo no existirían. Las falsificaciones pornográficas increíblemente comunes serían el mejor ejemplo de esto.
2. La imagen utilizada para «Oliver Taylor» es un tiro en la cabeza procedente de una GAN que se alimenta con muchas imágenes de personas reales, con el fin de juntar todo de una manera que escupe una imagen pasable de un humano 100 por ciento falso. Él es absolutamente la suma de sus partes, pero de una manera que ya no se parece a ellas.

Entonces, cuando la gente dice: «Eso no es falso», quieren mantener una división firme entre «imagen o clip falso basado en una persona, generado a partir de esa misma persona» versus «imagen o clip falso basado en varias personas, para crear una persona totalmente nueva «.

La otra marca negativa común establecida en contra de las falsificaciones profundas de imágenes GAN sintéticas es que las manipulaciones digitales no son las que la hacen efectiva. ¿Cómo puede ser una falsificación profunda si no fue muy bueno?

Llama a los testigos al stand.

Todos los puntos válidos, pero los contrapuntos también son convincentes.

Si vamos a descartar su derecho al estado de deepfake porque las manipulaciones digitales no son efectivas, entonces terminaremos con muy pocas falsificaciones de buena fe. Las manipulaciones digitales no lo hicieron efectivo, porque no era muy bueno. Del mismo modo, nunca sabríamos si las manipulaciones digitales no han sido buenas porque las extrañaríamos por completo, ya que vuelan por debajo del radar.

Incluso las mejores variantes basadas en películas tienden a contener cierto nivel de falta de exactitud, y todavía tengo que colocar un montón delante de mí donde no pude detectar al menos nueve de cada 10 falsificaciones de GAN mezcladas con fotos reales.

Por interesante e interesante que sea la tecnología, la producción sigue siendo en gran medida un poco desordenada. Por experiencia, la combinación de un ojo entrenado y algunas de las herramientas de detección que existen hacen que las ambiciones del falsificador sean breves. La idea es hacer lo suficiente para impulsar cualquier persona / intención ficticia adjunta a la imagen que esté por encima de la línea y hacerla plausible, ya sea blogs, artículos de noticias, artículos de opinión, publicaciones de trabajo falsas, lo que sea. La falsificación digital funciona mejor como un ruido extra en el fondo. Realmente no desea llamar la atención como parte de una operación más grande.

¿Es este término general una ayuda o un obstáculo?

En cuanto a mantener la etiqueta «deepfake» lejos de las personas falsas de GAN, aunque aprecio la diferencia en la salida de imágenes, no estoy 100 por ciento seguro de que esto sea necesariamente útil. La palabra deepfake es un acrónimo de «aprendizaje profundo» y «falso». Ya sea que termine con Nicolas Cage caminando en The Matrix, o si tiene una cara simulada obtenida de un sitio web de generación de imágenes, ambos son falsos de alguna forma de aprendizaje profundo.

El resultado final es el mismo: una cosa falsa que hace una cosa falsa, incluso si el camino tomado para llegar allí es diferente. Algunos argumentarían que esta es una división / eliminación potencialmente innecesaria e innecesaria de una definición general que logra aplicarse de manera útil y precisa a los dos escenarios anteriores, y sin duda a otros.

Sería interesante saber si hay un consenso en el espacio de análisis profundo de AI / creación de GAN / analista sobre esto. Desde mi propia experiencia hablando con personas en esta área, la bolsa de opiniones es tan variada como la calidad de los resultados de GAN. Quizás eso cambie en el futuro.

El futuro de la detección falsa

Le pregunté a Munira Mustaffa , analista de seguridad, si las técnicas de detección automatizadas superarían a simple vista para siempre:

He estado reflexionando sobre esta pregunta, y no estoy seguro de qué más podría agregar. Sí, creo que una verificación automática de falsificación profunda probablemente pueda hacer una mejor evaluación que el ojo humano eventualmente. Sin embargo, incluso si tiene la IA perfecta para detectarlos, siempre será necesaria la revisión humana. Creo que el contexto también es importante en términos de su pregunta. Si estamos detectando deepfakes, ¿contra qué estamos detectando?

Creo que también es importante reconocer que no existe una definición establecida de lo que es un falso falso. Algunos dirían que el término solo se aplica a audio / videos, mientras que las manipulaciones de fotos son «falsificaciones baratas». El lenguaje es crítico. Dejando a un lado la semántica, a lo sumo, la gente está jugando con deepfakes / cheapfakes para producir cosas tontas a través de FaceApp. Pero el problema aquí no es realmente sobre deepfakes / cheapfakes, sino que es la intención detrás del uso. Los usos anteriores han indicado cómo se han empleado los deepfakes para influir en la percepción, como el video ‘tonto’ de Nancy Pelosi.

Al final del día, no importa cuán sofisticado sea el software de detección si las personas no van a estar atentas para investigar a quién permiten su red o quién está influyendo en su punto de vista. Creo que la gente está demasiado enfocada en el concepto de que las aplicaciones de deepfakes son principalmente para porno de venganza y para influir en los votantes. Todavía tenemos que ver operaciones a gran escala empleándolos. Sin embargo, como nos demostró el caso reciente de Oliver Taylor, las aplicaciones deepfake / cheapfake van más allá de eso.

Existe un peligro potencial real de que un buen deepfake / cheapfake que esté correctamente respaldado pueda transformarse en un individuo creíble y persuasivo. Esto, por supuesto, plantea más preguntas preocupantes: ¿qué podemos hacer para mitigar esto sin sofocar las voces que ya están luchando por encontrar una plataforma?

Somos falsos en la luna

Estamos en un punto en el que se podría argumentar que los videos falsos son más interesantes conceptualmente que en ejecución. El Centro de Virtualidad Avanzada del MIT ha reunido una versión del discurso que se suponía que Richard Nixon pronunciaría si el alunizaje terminara en tragedia . Es absolutamente una cosa escalofriante mirar; sin embargo, el clip en sí no es el mejor técnicamente.

La cabeza no juega bien con las fuentes de luz a su alrededor, el escote de la camisa está mal contra la mandíbula y la voz tiene múltiples rarezas digitales en todo momento. Tampoco ayuda que usen su discurso de renuncia para el cuerpo, ya que uno tiene que preguntarse sobre la óptica de barajar papeles cuando anuncia que los astronautas han muerto horriblemente.

No, lo interesante para mí es decidir mostrar la naturaleza engañosa de los deepfakes utilizando un hombre que nació en 1913 y murió hace 26 años. ¿Alguien menor de 40 años recuerda su aspecto, el sonido de su voz fuera de la parodia y las películas lo suficientemente bien como para hacer una comparación? ¿O el punto es la disociación de una gran parte de la memoria colectiva? ¿Eso lo hace más efectivo o menos?

No estoy seguro, pero definitivamente agrega peso a la idea de que, por ahora, las falsificaciones profundas, ya sea video o imagen estática, son más efectivas como pequeños aspectos de las campañas de desinformación más grandes que las piezas de engaño digital que llaman la atención.

¿Nos vemos en tres meses?

Es inevitable que tengamos otra historia delante de nosotros lo suficientemente pronto, explicando cómo otra entidad fantasma ha preparado una identificación falsa el tiempo suficiente para dejar caer su carga útil o sembrar alguna discordia en los niveles más altos. Recuerde que las imágenes falsas son simplemente un pequeño trampolín hacia un objetivo general y no el objetivo final en sí mismo. Es un nuevo mundo valiente de interrupción, y tal vez para cuando levantes otra silla, incluso podría darte una convención de nomenclatura definitiva.