Archivos de autor malwarebytes

Pormalwarebytes

Organizaciones benéficas y la industria de la publicidad: ecosistemas de datos y riesgos de privacidad

Organizaciones benéficas y la industria de la publicidad: ecosistemas de datos y riesgos de privacidad

Organizaciones benéficas y la industria de la publicidad: ecosistemas de datos y riesgos de privacidad

Al corriente: por 

Los datos hacen girar al mundo, la mayoría de las veces a través de la publicidad y sus mecanismos de seguimiento. Ya sea que piense que ganar dinero con grandes volúmenes de PII para mantener la web funcionando es algo bueno, o una captura de datos sórdida que a menudo fomenta prácticas publicitarias terribles, no va a desaparecer pronto. La publicidad benéfica es una característica importante de la generación de ingresos para las organizaciones benéficas con sede en el Reino Unido, y ahí es donde se encuentra nuestro enfoque en esta publicación.

ProPrivacy ha publicado un análisis detallado de los mecanismos de seguimiento de anuncios en sitios web de organizaciones benéficas populares, y explora los matices de las organizaciones que equilibran la necesidad de permanecer en funcionamiento junto con garantizar que los datos personales y la privacidad sean una prioridad en la agenda . Desafortunadamente, parece que todavía queda mucho trabajo por hacer en ese sentido.

El juego de los numeros

Desde el principio, creo que es importante precisar exactamente de qué tipo de números estamos hablando aquí. El informe es increíblemente largo y detallado y, como resultado, es bastante fácil pasar por alto puntos clave. Si hojeó el informe, o simplemente echó un vistazo a algunos fragmentos, podría pensar que 80,000 organizaciones benéficas con sede en el Reino Unido están recolectando datos a gran escala. Ese no es el caso.

Los dominios fueron extraídos por investigadores de la base de datos del Comisionado de Caridad. Una vez que se eliminaron del total los sitios potencialmente no relacionados, como las editoriales, los subdominios, las URL muertas y más, lo que queda son 64.000 sitios. Sigue siendo una cantidad considerable de dominios. Aun así, esa cuenta está a punto de caer aún más.

Los autores del estudio dedujeron que el 42% de lo que quedaba utilizaba tecnología de seguimiento de anuncios. Eso es alrededor de 27.000 sitios. Este sigue siendo un número importante, pero como puede ver, ya hemos perdido una parte significativa del recuento original.

Agregar forma a los datos

En cuanto a qué tipo de publicidad benéfica acechaba en esos sitios, daré un paso atrás y dejaré que los investigadores hablen:

La mayoría de estos rastreadores estaban relacionados con plataformas sociales. El 33,8% de los sitios analizados contenían rastreadores pertenecientes a: Facebook, Twitter, AddThis, YouTube, Instagram, LinkedIn o Flickr.

DoubleClick, la plataforma de publicidad programática (RTB) propiedad de Alphabet, se instaló en 10.105 (15,6% de los sitios).

Fuera del ecosistema publicitario de Google, encontramos 330 (0,51%) organizaciones benéficas con rastreadores de RTB y 220 (0,34%) con rastreadores de corredores de datos instalados.

Su kilometraje puede variar (¡y variará!) , Pero personalmente no creo que la gente generalmente tenga problemas con cosas como los complementos sociales, especialmente cuando muchos de nosotros usamos esas herramientas a diario. También es bastante fácil averiguar qué hacen exactamente esos complementos y cómo evitarlos si realmente lo desea.

Sin embargo, algunos de los otros elementos podrían ser motivo de preocupación .

El estudio encontró que el 90% de las 100 organizaciones benéficas más populares del Reino Unido utilizaba métodos publicitarios a través de DoubleClick o tecnología similar. Nuevamente, DoubleClick de Google es algo en lo que al menos puede encontrar información y tomar una decisión informada sobre si desea que sus datos interactúen con él. Con ellos fuera de la imagen, el 40% utilizó elementos de terceros pertenecientes a jugadores de RTB o intermediarios de datos.

Aquí es donde la historia realmente se pone en marcha. Antes de que se pueda patear dicho equipo, es hora de un breve interludio de «¿Qué es RTB?».

¿Qué son las ofertas en tiempo real (RTB)?

En los tiempos antiguos de la publicidad en línea, los anuncios se compraban a granel y se colocaban solo en sitios web específicos. Todo fue un poco engorroso y no particularmente sofisticado, al menos en comparación con lo que ahora está disponible. Real Time Bidding (RTB) es un sistema en el que los anunciantes compiten en tiempo real frente a públicos y objetivos específicos.

Es más ágil que los métodos más tradicionales de colocación de bloques de anuncios y, por lo general, un poco más económico. En lugar de los viejos métodos masivos, puede asignar el presupuesto del tamaño que desee y solo «ganar» las ofertas que le interesan. Cualquier cosa que no sea importante para su estrategia general no influirá en las cosas.

Piense en ello como un sándwich publicitario, con los anunciantes que desean promocionar productos por un lado, el sitio web por el otro y la red publicitaria que se completa entre los dos. Dentro de ese espacio de la red publicitaria, tienes a los grandes jugadores en la cima del … ¿árbol sándwich? … y una procesión interminable de agencias publicitarias.

Por lo general, hay agencias de publicidad adicionales que cumplen el papel de intermediarios que se relacionan con dichos peces gordos. En medio de todo esto, los anunciantes deshonestos colocan sus ofertas por impresiones junto con los compradores legítimos, y la naturaleza en tiempo real de las cosas hace que sea difícil detectarlas. Esos anuncios falsos podrían estar promoviendo malware, redireccionamientos o ambos.

Eso está en el extremo «definitivamente muy malo» de la escala. En otros lugares, simplemente tenemos «RTB funcionando según lo previsto». Esa es nuestra señal para volver a la historia que nos ocupa.

Sitios benéficos y RTB

Según la investigación, 21 organizaciones benéficas están compartiendo datos con corredores directamente y siete con más de un corredor. Como puede imaginar, es importante cumplir con todas las reglas relevantes para mantener a los visitantes del sitio a salvo de posibles intrusiones en la privacidad. Lo que encontró el estudio, sin embargo, fue que en muchos casos en lo que respecta a la publicidad benéfica, las organizaciones simplemente no tenían idea de lo que estaba sucediendo en su sitio.

Las cadenas tipo margarita de solicitudes de terceros desde el rastreador colocado inicialmente significan que los datos de los visitantes se pueden compartir con varias empresas. ¿Quienes son? ¿Qué están haciendo con él? Bueno, es posible que la organización benéfica no lo sepa y usted tampoco. Si las personas que dirigen la tecnología publicitaria no explican completamente lo que va a suceder a las organizaciones benéficas, eso deja en riesgo tanto al sitio como a los visitantes.

Oh no, mi tarro de galletas

Peor aún, el cumplimiento de las cookies es un desastre. En teoría, cuando ve uno de esos avisos de «Acepta», se supone que debe poder decidir si acepta cookies / seguimiento o no. Todo debe detenerse bajo el capó y esperar a que tome una decisión informada. La realidad es un poco impactante, con un enorme 92% de los principales sitios de caridad que no pausan la carga de cookies hasta que se toma una decisión.

Volviendo a los datos, 8 organizaciones benéficas detuvieron 3 rd cookie de carga hasta que se tomó la decisión. El resto estaba potencialmente compartiendo datos con los anunciantes mientras el visitante del sitio decide qué hacer a continuación. El 30% de los del nivel superior no dio ninguna opción de consentimiento de ninguna manera. Alguna forma de control real ofrecida a los visitantes fue otorgada por solo el 32%, con un 13% asegurando que sus cookies estén inactivas, esperando que el visitante haga un movimiento.

Esto, francamente, no es genial.

Escenas de una donación benéfica

Muchos de nosotros donamos a organizaciones benéficas, ya sean pagos únicos, suscripciones continuas, bolsas de ropa y más. Para dar un ejemplo, después de una mudanza, pasé con mucha ropa y otros artículos que ya no tenía uso. La forma en que funciona es que usted llena algunos formularios cuando lo entrega, y unos meses después llega una carta por la puerta. Me anima a visitar el sitio web y «Ver lo que hemos hecho con sus artículos».

Hay algunas formas diferentes en que esto puede suceder:

  1. La carta se personalizará para mis artículos, por ejemplo, con un código impreso único que ingreso en el sitio. A partir de ahí, el sitio web intentaría vincularme a los elementos proporcionados para comenzar a comparar los datos personales y los perfiles publicitarios. ¿Quién sabe si las herramientas de marketing ocultas hacen algo antes de que yo tome decisiones relacionadas con las cookies? ¿Si están conectados a empresas de publicidad en cadena?
  2. La carta incluye un código vinculado a su nombre / dirección. Este código puede o no usarse en el sitio web para actualizar los detalles en caso de mudanza. Es posible que esto esté vinculado a los perfiles de marketing cuando se ingrese o actualice por primera vez, y luego vuelva a la misma situación en el ejemplo 1.

Es hora de hacer una elección

En mi ejemplo, el sitio me presenta una ventana emergente de la longitud de la página, indicándome que las cookies analíticas / de marketing están desactivadas de forma predeterminada. Las cookies esenciales están marcadas y hay dos casillas de «aceptar la configuración recomendada» colocadas por separado. ¿No hay forma de rechazar las cookies esenciales incluso si el sitio requiere que funcionen? Si hago clic en «aceptar la configuración recomendada» junto a las cookies de marketing actualmente desactivadas, ¿las habilitará? ¿O está «desactivado» la configuración recomendada?

¿La casilla «aceptar la configuración recomendada» junto a las cookies esenciales marca la casilla relacionada con aquellas específicamente, o hace lo mismo que la casilla de configuración recomendada junto a las cookies de marketing? ¿Dónde hago clic para averiguarlo?

Estas son solo algunas de las preguntas que tenía en mente mientras navegaba por la página, y no estoy completamente seguro de cuáles serán las respuestas correctas. Bien puede ser una observación ligeramente excesiva de las opciones que tengo ante mí, pero tales observaciones son necesarias para averiguar exactamente a qué estamos acordando. Sin ellos, la idea de otorgar el consentimiento parece algo sin sentido.

Ética caritativa

Como señala el informe, muchas organizaciones benéficas se ocupan de temas muy delicados. ¿Qué tan preparados estamos para convertirnos en monetizados para terceros al azar, con el fin de mantener funcionando nuestras organizaciones benéficas favoritas? No hay respuestas fáciles a esta pregunta. El requisito principal aquí es garantizar que los datos de las personas sean tratados con el mismo respeto que las organizaciones benéficas dan a los destinatarios de su arduo trabajo. Los donantes están felices de que estas organizaciones sigan funcionando, y definitivamente es de interés a largo plazo para las organizaciones benéficas mantenerlas así.

Pormalwarebytes

Las campañas de publicidad maliciosa vuelven en pleno apogeo

Las campañas de publicidad maliciosa vuelven en pleno apogeo

Las campañas de publicidad maliciosa vuelven en pleno apogeo

Al corriente: por 
Última actualización:

Las campañas de publicidad maliciosa que conducen a kits de explotación no son tan comunes en estos días. De hecho, varios actores de amenazas han pasado a otros métodos de entrega en lugar de depender de descargas no autorizadas.

Sin embargo, ocasionalmente vemos picos en la actividad que son lo suficientemente notables como para resaltar una carrera exitosa. A finales de agosto, comenzamos a ver una campaña de kit de exploits de Fallout que distribuía Raccoon Stealer a través de sitios para adultos de alto tráfico. Poco después de que lo informamos a la red publicitaria, el mismo actor de amenazas regresó nuevamente usando el kit de explotación RIG.

Luego vimos posiblemente la campaña más grande hasta la fecha en el sitio principal xhamster [.] Com de un malvertiser que hemos rastreado durante más de un año. Este actor de amenazas ha logrado abusar de prácticamente todas las redes publicitarias para adultos, pero esta puede ser la primera vez que golpea a un editor importante.

Publicidad maliciosa en una red publicitaria popular

El primer anunciante malintencionado que observamos fue capaz de pujar por anuncios en varios sitios para adultos dirigiéndose a usuarios que ejecutan Internet Explorer sin ninguna restricción de geolocalización en particular, aunque la mayoría de las víctimas estaban en los EE. UU.

Figura 1: Víctimas por país a la izquierda, tráfico de sitios para adultos a la derecha

En esta campaña, los delincuentes abusaron de la popular red publicitaria ExoClick utilizando diferentes páginas de redireccionamiento. Sin embargo, cada vez pudimos notificar a la red publicitaria y hacer que se apagaran rápidamente.

El primer dominio que utilizaron fue inteca-deco [.] Com, que estaba configurado como una agencia de diseño web, pero visiblemente una página de señuelo para el ojo entrenado.

Figura 2: Página de señuelo utilizada como puerta al kit de explotación

El encubrimiento simple del lado del servidor realiza la redirección a una página de inicio del kit de explotación de Fallout que intenta explotar CVE-2019-0752 (Internet Explorer) y CVE-2018-15982 (Flash Player) antes de eliminar el Raccoon Stealer.

Figura 3: Kit de explotación de Traffic for Fallout

Aproximadamente 10 días después, otro dominio, websolvent [.] Me, se activó pero utilizó una técnica de redirección diferente, una redirección 302, también conocida como amortiguación 302. Esta vez vemos el kit de explotación RIG que también ofrece Raccoon Stealer.

Figura 4: Kit de explotación de tráfico para RIG

Más allá de una carga útil común, esos dos dominios también están relacionados. Un rastreo de RiskIQ confirma una relación entre estos 2 dominios donde el host principal fue sorprendido haciendo un redireccionamiento de meta actualización al secundario:

Figura 5: Pares de hosts de Passive Total

La publicidad maliciosa en los mejores sitios para adultos obtiene el máximo alcance

El segundo malvertiser (‘malsmoke’) es uno que hemos rastreado diligentemente durante los últimos meses y cuya carga útil final es a menudo el malware Smoke Loader. Es, con mucho, el más atrevido y exitoso, ya que persigue a grandes editoriales y una variedad de redes publicitarias. Sin embargo, hasta ahora solo los habíamos visto en editoriales de la industria para adultos que todavía son relativamente pequeñas.

En este caso, el actor de amenazas pudo abusar de la red publicitaria de Traffic Stars y colocar su anuncio malicioso en xhamster [.] Com, un sitio con poco más de 1.06 mil millones de visitas mensuales según SimilarWeb.com .

Las puertas utilizadas por este grupo también utilizan un sitio señuelo y con el tiempo han registrado dominios burlándose de las redes publicitarias y los proveedores de la nube.

Figura 6: Popunder malicioso en xhamster (llevado a primer plano)

El mecanismo de redireccionamiento es más sofisticado que los utilizados en otras campañas de publicidad maliciosa. Hay algunas comprobaciones de huellas digitales y conectividad del lado del cliente para evitar VPN y proxies, que solo apuntan a direcciones IP legítimas.

Figura 7: Tráfico de publicidad maliciosa de xhamster

Curiosamente, esta instancia de Smoke Loader también descarga Raccoon Stealer y ZLoader.

Malsmoke es probablemente la campaña de publicidad maliciosa más persistente que hemos visto este año. A diferencia de otros actores de amenazas, este grupo ha demostrado que puede cambiar rápidamente de redes publicitarias para mantener su negocio ininterrumpido.

Figura 8: Campañas de publicidad maliciosa relacionadas con malsmoke

¿Sigues usando Internet Explorer?

Los actores de amenazas que siguen aprovechando los kits de explotación para distribuir malware es una cosa, pero los usuarios finales que navegan con Internet Explorer es otra. A pesar de las recomendaciones de Microsoft y los profesionales de la seguridad, solo podemos ser testigos de que todavía hay una serie de usuarios (consumidores y empresas) en todo el mundo que aún no han migrado a un navegador moderno y totalmente compatible.

Como resultado, los autores de kits de explotación están exprimiendo hasta el último jugo de las vulnerabilidades en Internet Explorer y Flash Player (que se retirarán definitivamente el próximo año).

Los clientes de Malwarebytes han estado protegidos durante mucho tiempo contra la publicidad maliciosa y los kits de explotación. Continuamos rastreando e informando las campañas con las que nos encontramos para ayudar a hacer nuestra parte para mantener Internet más seguro.

Indicadores de compromiso

Puertas utilizadas en campaña de publicidad maliciosa que empuja a Raccoon Stealer

intica-deco [.] com
websolvent [.] me

Ladrón de mapaches

b289155154642ba8e9b032490a20c4a2c09b925e5b85dda11fc85d377baa6a6c
f319264b36cdf0daeb6174a43aaf4a6684775e6f0fb69aaf2d7dc051a593de93

Ladrón de mapaches C2s

34.105.147 [.] 92 / gate / log.php
chinadevmonster [.] Top / gate / log.php

Cargador de humo

23bef893e3af7cb49dc5ae0a14452ed781f841db7397dc3ebb689291fd701b6b

Cargador de humo C2s

dkajsdjiqwdwnfj [.] info
2831ujedkdajsdj [.] info
928eijdksasnfss [.] info
dkajsdjiqwdwnfj [.] info
2831ujedkdajsdj [.] info
928eijdksasnfss [.] info

Puertas utilizadas en la campaña de malsmoke

einlegesohle [.] com / indexx.php
adexhangetomatto [.] space
encelava [.] com / coexo.php
encelava [.] com / caac
uneaskie [.] com / ukexo.php
bumblizz [.] com / auexo.php
bumblizz [ .] com / auflexexo.php
bumblizz [.] com / caexo.php
bumblizz [.] com / caflexexo.php
bumblizz [.] com / usexo.php
bumblizz [.] com / usflexexo.php
canadaversaliska [.] info / coflexexo .php
canadaversaliska [.] info / coflexo.php
canadaversaliska [.] info / ukflexexo.php
canadaversaliska [.] info / ukflexo.php
canadaversaliska [.] info / usflexexo.php
canadaversaliska [.] info / usflexo.php
krostaur [. ] com / jpexo.php
krostaur [.] com / jpflexexo.php
krostaur [.] com / jpflexo.php
leiomity [.] com / ukexo.php
leiomity [.] com / ukflexexo.php
leiomity [.] com / usexo.php
leiomity [.] com / usflexexo.php
surdised [.] com / coexo.php
surdised [.] com /usexo.php

Tweets que hacen referencia a la campaña malsmoke

https: // twitter [.] com / MBThreatIntel / status / 1245791188281462784 https: // twitter [.] com / FaLconIntel / status / 1232475345023987713 https: // twitter [.] com / nao_sec / status / 1231149711517634560 https: // twitter [.] com / tkanalyst / status / 1229794466816389120 https: // twitter [.] com / nao_sec / status / 1209090544711815169

Pormalwarebytes

Cómo mantener la Ciberseguridad de los estudiantes a distancia  este año escolar

Cómo mantener la seguridad cibernética de los estudiantes a distancia de K-12 este año escolar

Cómo mantener la CIBERSEGURIDAD de los estudiantes a distancia  este año escolar

Al corriente: por 

Con la pandemia aún en pleno apogeo, las instituciones educativas de los EE. UU. Están iniciando el año escolar 2020-2021 de formas muy diferentes, desde la reapertura de las aulas hasta el aprendizaje a distancia a tiempo completo. Lamentablemente, a medida que las escuelas que adoptan la instrucción virtual luchan con los desafíos complejos de TI además de una infraestructura que ya es frágil, no están ni cerca de cerrar la brecha de ciberseguridad K-12.

Los niños no tienen más remedio que continuar sus estudios dentro del clima social y sanitario actual. Además de esto, deben acostumbrarse a nuevas configuraciones de aprendizaje, posiblemente múltiples, ya sea aprendizaje a distancia completo, educación en el hogar o un híbrido de instrucción en clase y en el hogar.

Independientemente de cuál de estas configuraciones los distritos escolares, los padres o tutores decidan que son las más adecuadas para sus hijos, una cosa debe seguir siendo una prioridad: la seguridad general de la experiencia de aprendizaje de los estudiantes durante la pandemia . Para esto, se necesitan muchos preparativos cuidadosos y considerables.

Nuevo término, nuevos términos

Los padres en los Estados Unidos están participando en el aprendizaje de sus hijos como nunca antes, y eso fue antes de que la pandemia los forzara. Ahora más que nunca, es importante familiarizarse con los diferentes entornos educativos para considerar cuál es el más adecuado para su familia.

Aprendizaje a distancia completo

Las clases se llevan a cabo en línea mientras los estudiantes están seguros en sus propios hogares. Los maestros también pueden ofrecer clases virtuales fuera de sus propios hogares, o pueden estar usando sus aulas vacías para mejorar el ancho de banda.

Esta configuración requiere que las familias tengan, idealmente, una computadora portátil o computadora dedicada que los estudiantes puedan usar para las sesiones de clase y el trabajo independiente. Además, es necesaria una conexión sólida a Internet para apoyar tanto a los estudiantes como a los padres que trabajan desde casa. Sin embargo, los niños de familias de bajos ingresos pueden tener dificultades para acceder a esta tecnología, a menos que la escuela les entregue computadoras portátiles y dispositivos de puntos de acceso para Wi-Fi. A menudo, hay demoras en la distribución de equipos y materiales, sin mencionar una posible curva de aprendizaje gracias a la brecha digital .

El aprendizaje a distancia completo brinda a los niños el beneficio de la instrucción del maestro mientras están a salvo de la exposición al coronavirus.

Educación en el hogar o educación en el hogar

Las clases se llevan a cabo en casa, con el padre o tutor actuando como maestro, consejero y, sí, incluso como experto en TI para sus hijos. Hoy en día, esta configuración a menudo se denomina educación en el hogar temporal o educación en el hogar de emergencia. Aunque esta es una opción viable y potencialmente económica para algunas familias, tenga en cuenta que pueden surgir desafíos inevitables en el camino. Esto podría ser especialmente cierto para los niños mayores que están más acostumbrados a utilizar la tecnología en sus estudios.

Esto no quiere decir que la falta de uso de la tecnología al instruir a los niños resultaría en una baja calidad de aprendizaje. De hecho, un estudio de la Universidad de Tilburg [ PDF ] sobre la comparación entre el aprendizaje tradicional y el aprendizaje digital entre niños de 6 a 8 años mostró que los niños se desempeñan mejor cuando se les enseña de la manera tradicional, aunque el estudio señaló además que son más receptivos a métodos de aprendizaje digital. Pero quizás la implicación más relevante del estudio es la siguiente: el papel de los profesores (en el contexto de este artículo, los padres y tutores) en el logro de los resultados de aprendizaje deseables sigue siendo un factor central.

Los padres y tutores pueden enfrentarse al desafío de pensar de manera innovadora cuando se trata de crear lecciones valiosas para sus hijos que se centren en su estilo de aprendizaje mientras los mantienen encaminados a su nivel de grado.

Aprendizaje híbrido

Esta es una combinación de instrucción en clase y en el hogar, en la que los estudiantes van a la escuela a tiempo parcial con un distanciamiento social significativo y medidas de seguridad, como el uso de máscaras, desinfección regular de instalaciones y propiedades, y limpieza regular de manos. Los estudiantes pueden dividirse en grupos más pequeños, tener horarios de llegada escalonados y pasar solo una parte de su semana en el aula.

Durante el resto del tiempo de los estudiantes, los padres o tutores tienen la tarea de continuar con la instrucción en casa. Durante estos días u horas, los padres o tutores deben lidiar con los mismos factores de estrés en el tiempo, la creatividad, la paciencia y la seguridad digital que los modelos de educación a distancia y educación en el hogar.

Los nuevos métodos de enseñanza y aprendizaje pueden surgir de la combinación de cualquiera de las tres configuraciones enumeradas anteriormente. Pero independientemente de cómo los niños deban continuar su educación, con la peor o la mejor de las circunstancias en mente, apoyar su bienestar emocional y mental es una prioridad. Para lograr la tranquilidad y mantener a los estudiantes enfocados en la instrucción, los padres también deben priorizar la protección de los dispositivos de sus hijos contra las amenazas en línea y la invasión de la privacidad.

Viejas amenazas, nuevos riesgos

Es un hecho que los entornos de aprendizaje que exponen a los niños a las amenazas en línea y arriesgan su privacidad son los que más involucran el uso de tecnología. Algunos son familiares y otros nacen de los cambios introducidos por la pandemia. Veamos los factores de riesgo que hacen que la ciberseguridad K-12 sea esencial en las escuelas y en los hogares.

Zoombing . Se trata de una ciberamenaza que recientemente cobró fuerza debido al mayor uso de Zoom, una herramienta de conferencias web ahora popular. Empleados, celebridades, amigos y familiares han usado esta aplicación (y aplicaciones similares) para comunicarse en grupos más grandes. Ahora es comúnmente adoptado por las escuelas para las horas de instrucción virtual.

Desde que se hicieron cumplir los procedimientos de refugio en el lugar, han aparecido historias de incidentes de Zoombing a izquierda y derecha. Tomemos, por ejemplo, el caso del hombre desconocido que pirateó una clase virtual de Berkeley a través de Zoom para exponerse a estudiantes de secundaria y gritar obscenidades. Lo que hizo que este caso fuera notable fue el hecho de que el maestro de esa clase siguió los procedimientos recomendados para asegurar la sesión, pero aún así se produjo una infracción.

Problemas de privacidad. Cuando se trata de datos de niños, la privacidad es casi siempre el tema principal. Y hay muchas formas en que estos datos pueden verse comprometidos: desde violaciones de datos organizacionales, algo con lo que todos estamos muy familiarizados en este momento, hasta fugas accidentales y recopilación de datos sin consentimiento de herramientas y / o aplicaciones introducidas rápidamente.

Se produjo un incidente de fuga accidental en Oakland cuando los administradores publicaron inadvertidamente cientos de códigos de acceso y contraseñas utilizadas en clases en línea y videoconferencias para el público, lo que permitió que cualquier persona con una cuenta de Gmail no solo se uniera a estas clases, sino que también tuviera acceso a los datos de los estudiantes.

En abril de 2020, un padre presentó un caso contra Google en nombre de sus dos hijos por violar la Ley de Protección de la Privacidad Infantil en Línea (COPPA) y la Ley de Privacidad de la Información Biométrica (BIPA) de Illinois. El padre, Clinton Farwell, alega que el servicio G Suite for Education de Google recopila los datos (su PII y datos biométricos) de niños, que tienen 13 años o menos, para «monitorear y perfilar a los niños de manera secreta e ilegal, pero para hacerlo sin el conocimiento o consentimiento de los padres de esos niños «.

Esto sucedió dos meses después de que Héctor Balderas, el fiscal general de Nuevo México, entablara una demanda contra la empresa por seguir rastreando a los niños fuera del aula .

Ataques de ransomware . Las instituciones educativas no son inmunes a los ataques de ransomware . Escuela Unión Panamá-Buena Vista. Independiente de Fort Worth. Escuela secundaria de la comunidad de Crystal Lake. Estos son solo algunos del total de distritos ( 284 escuelas en total) que se vieron afectados por el ransomware desde principios de 2020 hasta la primera semana de abril. Desafortunadamente, la pandemia no los convertirá en un objetivo menos, solo más.

Con muchas escuelas K-12 adaptándose a la pandemia, a menudo introduciendo herramientas y aplicaciones que se adaptan al aprendizaje remoto sin realizar auditorías de seguridad, casi se espera que suceda algo malo. La loca lucha para abordar el repentino cambio en la demanda solo muestra lo poco preparados que estaban estos distritos escolares. También es lamentable que el personal administrativo tenga que resolver las cosas y aprender por sí mismo cómo proteger mejor los datos de los estudiantes, especialmente si no tienen un equipo de TI dedicado. Y, a menudo, esa curva de aprendizaje es bastante empinada.

Estafas de phishing . En el contexto de la industria de la educación, las estafas de phishing siempre han sido una amenaza constante. Según Doug Levin , fundador y presidente del Centro de Recursos de Ciberseguridad K-12 , las escuelas están sujetas a phishing «drive-by», en particular.

«Los estafadores y delincuentes realmente entienden la psique humana y el deseo de que las personas obtengan más información y sientan en algunos casos, creo que es justo decir en términos de coronavirus, cierto nivel de pánico», dijo Levin en una entrevista con EdWeek. «Eso hace que las personas sean más propensas a suspender el juicio por mensajes que de otro modo podrían ser sospechosos y más probabilidades de hacer clic en un documento porque les parece urgente, importante y relevante, incluso si no lo esperaban».

Consejos de seguridad para padres y tutores

Para garantizar que los estudiantes de educación a distancia y educados en el hogar tengan una experiencia de aprendizaje ininterrumpida, los padres o tutores deben asegurarse de que todas las herramientas y dispositivos que sus hijos usan para comenzar la escuela estén preparados. De hecho, hacerlo es similar a cómo mantener seguros los dispositivos de trabajo mientras se trabaja desde casa . En aras de la claridad, aclaremos algunos pasos generales, ¿de acuerdo?

Asegure su Wi-Fi

  • Asegúrese de que el enrutador o el punto de acceso esté utilizando una contraseña segura. No solo eso, cambie la contraseña cada dos meses para mantenerla actualizada.
  • Asegúrese de que todo el firmware esté actualizado.
  • Cambie las credenciales de administrador del enrutador.
  • Encienda el firewall del enrutador.

Asegure su (s) dispositivo (s)

  • Asegúrese de que las computadoras u otros dispositivos de los estudiantes estén protegidos con contraseña y se bloqueen automáticamente después de un corto período de tiempo. De esta manera, el trabajo no se perderá por una mascota enloquecida o una hermana menor curiosa rompiendo algunos botones.

    Para las escuelas que emiten computadoras portátiles para estudiantes, el sistema operativo más común es ChromeOS (Chromebooks). Aquí hay una guía simple y rápida sobre cómo los padres y tutores pueden bloquear Chromebooks. La contraseña no tiene por qué ser complicada, ya que usted y su hijo deberían poder recordarla. Decidan juntos una frase de contraseña, pero no la compartan con los otros niños de la casa.

  • Asegúrese de que el firewall esté habilitado en el dispositivo.
  • Aplicar la autenticación de dos factores (2FA) .
  • Asegúrese de que el dispositivo tenga una protección de punto final instalada y funcionando en tiempo real .

Asegure los datos de su hijo

  • Las escuelas utilizan una solución de gestión del aprendizaje (LMS) para realizar un seguimiento de las actividades de los niños. También es lo que los niños usan para acceder a los recursos que necesitan para aprender.

    Asegúrese de que la contraseña de LMS de su hijo siga las pautas de la escuela sobre cómo crear una contraseña de alta entropía. Si la escuela no especifica pautas de contraseña segura, cree una contraseña segura usted mismo. Los administradores de contraseñas generalmente pueden hacer esto por usted si siente que pensar en uno complicado y recordarlo es demasiado complicado.

  • También vale la pena limitar el uso del dispositivo que su hijo usa para estudiar solo al trabajo escolar. Si hay otros dispositivos en la casa, se pueden usar para acceder a las redes sociales, YouTube, videojuegos y otras actividades recreativas. Esto reducirá sus posibilidades de encontrar una amenaza en línea en el mismo dispositivo que almacena todos los datos de sus estudiantes.

Asegure la privacidad de su hijo

Hubo un caso anterior en el que una escuela encendió accidentalmente las cámaras de los dispositivos proporcionados por la escuela que los estudiantes estaban usando. Estalló en las noticias porque violó en gran medida la privacidad de uno. Aunque esto puede considerarse un incidente poco común, asuma que no puede tener demasiado cuidado cuando el dispositivo que usa su hijo tiene una cámara incorporada.

A menudo se requiere que los estudiantes muestren sus caras en el software de videoconferencia para que los maestros sepan que están prestando atención. Pero durante el resto del tiempo dedicado a las asignaciones, es una buena idea tapar las cámaras integradas. Hay cubiertas para cámaras de portátiles que los padres o tutores pueden comprar para deslizarlas por la lente cuando no están en uso.

Nuevos desafíos, nuevas oportunidades para aprender

Si bien las autoridades educativas han estado ocupadas durante meses, los padres y tutores también pueden hacer su parte al mantener su transición a un nuevo entorno de aprendizaje lo más seguro y sin fricciones posible. Como ya sabrá, algunos estados han relajado sus reglas de cierre , permitiendo que las escuelas vuelvan a abrir. Sin embargo, el tren tecnológico ha abandonado la estación.

Incluso a medida que continúe la instrucción en persona, la tecnología educativa se volverá aún más integral para las experiencias de aprendizaje de los estudiantes. Mantener esos paquetes de software especializados, aplicaciones, herramientas de comunicación y dispositivos a salvo de las amenazas cibernéticas y las invasiones de privacidad será imperativo para todas las generaciones futuras de estudiantes.

Seguro, no lo siento

Si bien los departamentos de TI de las instituciones educativas continúan lidiando con los desafíos actuales de la ciberseguridad, los padres y tutores deben intensificar sus esfuerzos y contribuir a la ciberseguridad K-12 en su conjunto. Bloquea los dispositivos de tus hijos, ya sea que los usen en el aula o en casa. Es cierto que no garantizará una protección del 100 por ciento contra los ciberdelincuentes, pero al menos, puede estar seguro de que sus hijos y sus dispositivos permanecerán lejos de su alcance.

Pormalwarebytes

Nuevo skimmer web roba datos de tarjetas de crédito y los envía a delincuentes a través de Telegram

Nuevo skimmer web roba datos de tarjetas de crédito y los envía a delincuentes a través de Telegram

Nuevo skimmer web roba datos de tarjetas de crédito y los envía a delincuentes a través de Telegram

Al corriente: por 

El panorama del rastreo de tarjetas de crédito digitales sigue evolucionando, a menudo tomando prestadas técnicas utilizadas por otros autores de malware para evitar la detección.

Como defensores, buscamos cualquier tipo de artefacto e infraestructura maliciosa que podamos identificar para proteger a nuestros usuarios y alertar a los comerciantes afectados. Estos artefactos maliciosos pueden variar desde tiendas comprometidas hasta JavaScript, dominios y direcciones IP maliciosos que se utilizan para alojar un skimmer y exfiltrar datos.

Uno de esos artefactos es la llamada «puerta», que normalmente es un dominio o dirección IP donde los ciberdelincuentes envían y recopilan los datos robados de los clientes. Por lo general, vemos que los actores de las amenazas levantan su propia infraestructura de puerta o usan recursos comprometidos.

Sin embargo, existen variaciones que implican el abuso de programas y servicios legítimos, mezclándose así con el tráfico normal. En este blog, echamos un vistazo al último truco de skimming web, que consiste en enviar datos de tarjetas de crédito robadas a través de la popular plataforma de mensajería instantánea Telegram.

Una experiencia de compra normal

Estamos viendo un gran número de sitios de comercio electrónico atacados a través de una vulnerabilidad común o credenciales robadas. Los compradores inconscientes pueden visitar a un comerciante que se ha visto comprometido con un skimmer web y realizar una compra mientras, sin saberlo, entregan los datos de su tarjeta de crédito a los delincuentes.

Los skimmers se insertan a la perfección en la experiencia de compra y solo aquellos con buen ojo para los detalles o que están armados con las herramientas de red adecuadas pueden notar que algo no está bien.

Figura 1: Skimmer de tarjetas de crédito usando el bot de Telegram

El skimmer se activará en la página de pago y exfiltrará subrepticiamente la información personal y bancaria ingresada por el cliente. En términos simples, cosas como nombre, dirección, número de tarjeta de crédito, vencimiento y CVV se filtrarán a través de un mensaje instantáneo enviado a un canal privado de Telegram.

Skimmer basado en Telegram

Telegram es un servicio de mensajería instantánea popular y legítimo que proporciona cifrado de extremo a extremo. Varios ciberdelincuentes abusan de él para sus comunicaciones diarias, pero también para las tareas automatizadas que se encuentran en el malware.

Los atacantes han utilizado Telegram para exfiltrar datos antes, por ejemplo a través de caballos de Troya tradicionales, como el ladrón de Masad . Sin embargo, el investigador de seguridad @AffableKraut compartió la primera instancia documentada públicamente de un skimmer de tarjetas de crédito utilizado en Telegram en un hilo de Twitter .

El código del skimmer sigue la tradición en el sentido de que comprueba los depuradores web habituales para evitar ser analizados. También busca campos de interés, como facturación, pago, número de tarjeta de crédito, vencimiento y CVV.

Figura 2: Primera parte del código del skimmer

La novedad es la presencia del código de Telegram para exfiltrar los datos robados. El autor del skimmer codificó el ID y el canal del bot, así como la solicitud de la API de Telegram con una codificación simple en Base64 para mantenerlo alejado de miradas indiscretas.

Figura 3: Código de skimming que contiene la API de Telegram

La exfiltración se activa solo si la URL actual del navegador contiene una palabra clave indicativa de un sitio de compras y cuando el usuario valida la compra. En este punto, el navegador enviará los detalles del pago tanto al procesador de pagos legítimo como a los ciberdelincuentes.

Figura 4: Una compra en la que se roban y se filtran datos de la tarjeta de crédito

El intercambio de datos fraudulentos se realiza a través de la API de Telegram, que publica los detalles del pago en un canal de chat. Esa información se cifró previamente para dificultar la identificación.

Para los actores de amenazas, este mecanismo de exfiltración de datos es eficiente y no requiere que mantengan una infraestructura que podría ser derribada o bloqueada por los defensores. Incluso pueden recibir una notificación en tiempo real para cada nueva víctima, ayudándoles a monetizar rápidamente las tarjetas robadas en los mercados clandestinos.

Desafíos con la protección de la red

Defenderse contra esta variante de un ataque de skimming es un poco más complicado, ya que se basa en un servicio de comunicación legítimo. Obviamente, uno podría bloquear todas las conexiones a Telegram a nivel de red, pero los atacantes podrían cambiar fácilmente a otro proveedor o plataforma (como lo han hecho antes ) y aún así salirse con la suya.

Malwarebytes Browser Guard identificará y bloqueará este ataque de skimming específico sin deshabilitar o interferir con el uso de Telegram o su API. Hasta ahora solo hemos identificado un par de tiendas en línea que se han visto comprometidas con esta variante, pero es probable que haya varias más.

Figura 5: Malwarebytes bloqueando este ataque de skimming

Como siempre, necesitamos adaptar nuestras herramientas y metodologías para mantenernos al día con los ataques con motivación financiera dirigidos a plataformas de comercio electrónico. Los comerciantes en línea también juegan un papel muy importante en descarrilar esta empresa criminal y preservar la confianza de su base de clientes. Al ser proactivos y vigilantes, los investigadores de seguridad y los proveedores de comercio electrónico pueden trabajar juntos para derrotar a los ciberdelincuentes que se interponen en el camino de los negocios legítimos.

Pormalwarebytes

El 20 por ciento de las organizaciones experimentaron una infracción debido a un trabajador remoto

El 20 por ciento de las organizaciones experimentaron una infracción debido a un trabajador remoto, revela un informe de Labs.

El 20 por ciento de las organizaciones experimentaron una infracción debido a un trabajador remoto, revela un informe de Labs.

Al corriente: por 
Última actualización:

No es de extrañar que el cambio a un entorno de trabajo completamente remoto debido a COVID-19 provoque una serie de cambios en los enfoques de las organizaciones hacia la ciberseguridad. Lo que ha sido sorprendente, sin embargo, son algunos de los cambios imprevistos en los hábitos de los empleados y cómo han impactado la postura de seguridad de las empresas grandes y pequeñas.

Nuestro último informe de Malwarebytes Labs, Enduring from Home: COVID-19’s Impact on Business Security , revela algunos datos inesperados sobre problemas de seguridad con la fuerza laboral remota de hoy.

Nuestro informe combina la telemetría de productos de Malwarebytes con los resultados de la encuesta de 200 tomadores de decisiones de TI y ciberseguridad, desde pequeñas empresas hasta grandes empresas, descubriendo nuevas preocupaciones de seguridad que surgieron después de que la pandemia obligó a las empresas estadounidenses a enviar a sus trabajadores a casa.

Los datos mostraron que desde que las organizaciones pasaron a un modelo de trabajo desde casa (FMH), el potencial de ciberataques y violaciones ha aumentado. Si bien esto no es del todo inesperado, la magnitud de este aumento es sorprendente. Desde el comienzo de la pandemia, el 20 por ciento de los encuestados dijeron que se enfrentaron a violaciones de seguridad como resultado de un trabajador remoto. Esto, a su vez, ha aumentado los costos, y el 24 por ciento de los encuestados dijo que pagaron gastos inesperados para abordar una violación de seguridad cibernética o un ataque de malware después de órdenes de refugio en el lugar.

Notamos un marcado aumento en el uso de dispositivos personales para el trabajo: el 28 por ciento de los encuestados admitió que están usando dispositivos personales para actividades relacionadas con el trabajo más que los dispositivos emitidos por el trabajo. Más allá de eso, encontramos que el 61 por ciento de las organizaciones de los encuestados no instaron a los empleados a usar soluciones antivirus en sus dispositivos personales, lo que agravó aún más el aumento de la superficie de ataque con una falta de protección adecuada.

Encontramos un contraste sorprendente entre la confianza de los líderes de TI en su seguridad durante la transición a entornos de trabajo desde el hogar (FMH) y sus posiciones de seguridad reales, lo que demuestra un problema continuo de arrogancia de seguridad. Aproximadamente tres cuartas partes (73,2 por ciento) de los encuestados le dieron a sus organizaciones una puntuación de 7 o más en preparación para la transición a la FMH, sin embargo, el 45 por ciento de las organizaciones encuestadas no realizaron análisis de seguridad y privacidad en línea de las herramientas de software necesarias para la colaboración de la FMH. .

Conclusiones adicionales del informe

  • El 18 por ciento de los encuestados admitió que, para sus empleados, la ciberseguridad no era una prioridad, mientras que el 5 por ciento dijo que sus empleados eran un riesgo de seguridad y ajenos a las mejores prácticas de seguridad.
  • Al mismo tiempo, el 44 por ciento de las organizaciones de los encuestados no brindó capacitación en ciberseguridad que se enfocara en las amenazas potenciales de trabajar desde casa (como asegurarse de que las redes domésticas tuvieran contraseñas seguras o que los dispositivos no se dejaran al alcance de usuarios no autorizados).
  • Mientras que el 61 por ciento de las organizaciones de los encuestados proporcionaron dispositivos emitidos por el trabajo a los empleados según fuera necesario, el 65 por ciento no implementó una nueva solución antivirus (AV) para esos mismos dispositivos
Pormalwarebytes

El 20 por ciento de las organizaciones experimentaron una infracción debido a un trabajador remoto

El 20 por ciento de las organizaciones experimentaron una infracción debido a un trabajador remoto, revela el informe de Labs

El 20 por ciento de las organizaciones experimentaron una infracción debido a un trabajador remoto, revela el informe de Labs

Al corriente: por 
Última actualización:

No es de extrañar que el cambio a un entorno de trabajo completamente remoto debido a COVID-19 provoque una serie de cambios en los enfoques de las organizaciones hacia la ciberseguridad. Lo que ha sido sorprendente, sin embargo, son algunos de los cambios imprevistos en los hábitos de los empleados y cómo han impactado la postura de seguridad de las empresas grandes y pequeñas.

Nuestro último informe de Malwarebytes Labs, Enduring from Home: COVID-19’s Impact on Business Security , revela algunos datos inesperados sobre problemas de seguridad con la fuerza laboral remota de hoy.

Nuestro informe combina la telemetría del producto Malwarebytes con los resultados de la encuesta de 200 tomadores de decisiones de TI y ciberseguridad, desde pequeñas hasta grandes empresas, descubriendo nuevas preocupaciones de seguridad que surgieron después de que la pandemia obligó a las empresas estadounidenses a enviar a sus trabajadores a casa.

Los datos mostraron que desde que las organizaciones pasaron a un modelo de trabajo desde casa (FMH), el potencial de ciberataques y violaciones ha aumentado. Si bien esto no es del todo inesperado, la magnitud de este aumento es sorprendente. Desde el comienzo de la pandemia, el 20 por ciento de los encuestados dijeron que se enfrentaron a violaciones de seguridad como resultado de un trabajador remoto. Esto, a su vez, ha aumentado los costos, y el 24 por ciento de los encuestados dijo que pagaron gastos inesperados para abordar una violación de seguridad cibernética o un ataque de malware después de órdenes de refugio en el lugar.

Notamos un marcado aumento en el uso de dispositivos personales para el trabajo: el 28 por ciento de los encuestados admitieron que están usando dispositivos personales para actividades relacionadas con el trabajo más que los dispositivos que se emiten en el trabajo. Más allá de eso, descubrimos que el 61 por ciento de las organizaciones de los encuestados no instaron a los empleados a usar soluciones antivirus en sus dispositivos personales, lo que agravó aún más el aumento de la superficie de ataque con una falta de protección adecuada.

Encontramos un contraste sorprendente entre la confianza de los líderes de TI en su seguridad durante la transición a entornos de trabajo desde el hogar (FMH) y sus posiciones de seguridad reales, lo que demuestra un problema continuo de arrogancia de seguridad. Aproximadamente tres cuartas partes (73,2 por ciento) de los encuestados le dieron a sus organizaciones una puntuación de 7 o más en preparación para la transición a la FMH, sin embargo, el 45 por ciento de las organizaciones encuestadas no realizaron análisis de seguridad y privacidad en línea de las herramientas de software necesarias para la colaboración de la FMH. .

Conclusiones adicionales del informe

  • El 18 por ciento de los encuestados admitió que, para sus empleados, la ciberseguridad no era una prioridad, mientras que el 5 por ciento dijo que sus empleados eran un riesgo de seguridad y ajenos a las mejores prácticas de seguridad.
  • Al mismo tiempo, el 44 por ciento de las organizaciones de los encuestados no brindó capacitación en ciberseguridad que se enfocara en las amenazas potenciales de trabajar desde casa (como asegurarse de que las redes domésticas tuvieran contraseñas seguras o que los dispositivos no se dejaran al alcance de usuarios no autorizados).
  • Mientras que el 61 por ciento de las organizaciones de los encuestados proporcionaron dispositivos emitidos por el trabajo a los empleados según fuera necesario, el 65 por ciento no implementó una nueva solución antivirus (AV) para esos mismos dispositivos.

Para obtener más información sobre los crecientes riesgos descubiertos en la población actual de trabajadores remotos, lea nuestro informe completo:

Pormalwarebytes

El impacto de COVID-19 en la ciberseguridad sanitaria

El impacto de COVID-19 en la ciberseguridad sanitaria

El impacto de COVID-19 en la ciberseguridad sanitaria

Al corriente: por 

Como si los niveles de estrés en la industria de la salud no fueran lo suficientemente altos debido a la pandemia de COVID-19, los riesgos para su ya frágil infraestructura de ciberseguridad están en su punto más alto. Desde el aumento de los ataques cibernéticos hasta las vulnerabilidades exacerbadas y los costosos errores humanos, si la ciberseguridad de la atención médica no estaba dando vueltas antes , COVID-19 lo envió en picada.

No hay tiempo para buscar una solución mejor

Como consecuencia de estar demasiado ocupados luchando contra el virus, algunas organizaciones de atención médica se han visto incapaces de buscar diferentes soluciones de seguridad más adecuadas para su situación actual.

Por ejemplo, la agencia Public Health England (PHE), que es responsable de gestionar el brote de COVID-19 en Inglaterra, decidió prolongar su contrato existente con su principal proveedor de TI sin permitir que los competidores presenten una oferta. Hicieron esto para garantizar que su tarea principal, monitorear la enfermedad generalizada, pudiera seguir adelante sin tener que preocuparse por las interrupciones del servicio u otras preocupaciones.

Extender un contrato sin mirar a la competencia no solo es una receta para obtener un mal trato, sino que también significa que las organizaciones no pueden mejorar las fallas que pueden haber encontrado en los sistemas y software existentes.

Ataques dirigidos a organizaciones sanitarias

A pesar de que hubo algunas promesas iniciales de eliminar a los proveedores de atención médica como objetivos después de que golpeó el COVID-19, los ciberdelincuentes simplemente no se molestaron en hacer lo correcto por una vez. De hecho, hemos visto algunos ataques de malware dirigidos específicamente a organizaciones de atención médica desde el comienzo de la pandemia.

Los hospitales y otras organizaciones sanitarias han cambiado su enfoque y recursos a su función principal. Si bien esto es completamente comprensible, los ha colocado en una situación vulnerable. Durante la pandemia de COVID-19, el gobierno y las organizaciones sanitarias controlan y almacenan una cantidad cada vez mayor de datos sanitarios. Según se informa, esto ha impulsado un aumento de ciberataques sofisticados y dirigidos diseñados para aprovechar un entorno cada vez más conectado.

En la atención médica, también ha provocado un aumento de los ataques de los estados nacionales , en un esfuerzo por robar datos valiosos de COVID-19 e interrumpir las operaciones de atención. De hecho, el sector se ha convertido tanto en un objetivo como en un método de ataques avanzados de ingeniería social. Los actores malintencionados que se aprovechan de la pandemia ya han lanzado una serie de campañas de phishing utilizando COVID-19 como señuelo para eliminar malware o ransomware.

COVID-19 no solo ha puesto a las organizaciones de salud en peligro directo de ataques cibernéticos, sino que algunas se han convertido en víctimas de daños colaterales. Existen, por ejemplo, ataques de compromiso de correo electrónico empresarial ( BEC ) con el tema COVID-19 que podrían tener como objetivo objetivos excepcionalmente ricos . Sin embargo, algunos se conformarán con menos si es un objetivo fácil, como uno que podría estar preocupado por luchar contra una pandemia global.

Ataques de ransomware

Como se mencionó anteriormente, los hospitales y otras organizaciones de atención médica corren el riesgo de ser víctimas de los métodos de ataque de «rociar y presa» utilizados por algunos ciberdelincuentes. El ransomware es solo una de las posibles consecuencias, pero podría decirse que es la más perjudicial cuando se trata de operaciones de atención médica, especialmente las que están a cargo del cuidado de pacientes gravemente enfermos.

INTERPOL ha emitido una advertencia a las organizaciones a la vanguardia de la respuesta mundial al brote de COVID-19 sobre los ataques de ransomware diseñados para bloquearlos de sus sistemas críticos en un intento de extorsionarlos. El equipo de INTERPOL de respuesta a amenazas cibernéticas detectó un aumento significativo en el número de intentos de ataques de ransomware contra organizaciones e infraestructura clave involucradas en la respuesta al virus.

Instalaciones especiales COVID-19

Durante la pandemia, muchos países construyeron o renovaron edificios especiales para albergar a los pacientes con COVID-19. Estos fueron creados para aumentar rápidamente la capacidad mientras se mantiene a los pacientes con COVID separados de los demás. Pero estos centros médicos ad-hoc COVID-19 ahora tienen un conjunto único de vulnerabilidades: son remotos, se encuentran fuera de una arquitectura de defensa en profundidad y la naturaleza misma de su existencia significa que la seguridad será una prioridad menor. Estas instalaciones no solo son propensas a carecer de personal en los departamentos de TI, sino que la mayor parte posible de su presupuesto se destina a ayudar a los pacientes.

Otro punto de interés es la transferencia de datos de pacientes desde el entorno hospitalario habitual a estas ubicaciones temporales. Está claro que el personal que trabaja en las instalaciones de COVID necesitará la información sobre sus pacientes, pero ¿con qué seguridad se almacena y transfiere esa información? ¿Está tan protegido en el nuevo entorno como en el antiguo?

Robo y protección de datos

Hace unos meses, cuando la pandemia resultó ser difícil de superar, muchas agencias informaron sobre los esfuerzos dirigidos por los ciberdelincuentes para mejorar la investigación del coronavirus, los datos de pacientes y más de las industrias de la salud, la farmacéutica y la investigación. Entre estas agencias se encontraban la Agencia de Seguridad Nacional, el FBI, la Agencia de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional y la Seguridad Cibernética Nacional del Reino Unido.

En la primavera, muchos países comenzaron a discutir el uso de aplicaciones de rastreo y / o rastreo de contactos en un esfuerzo por ayudar a mantener la pandemia bajo control. Aplicaciones que advertirían a los usuarios si habían estado cerca de un usuario infectado. Es comprensible que los defensores y los periodistas plantearon muchas preocupaciones sobre la privacidad.

Se recopilan y comparten muchos datos con la intención de combatir el COVID-19, pero también existe la necesidad de proteger la información personal de las personas. Entonces, varios senadores estadounidenses presentaron la Ley de Protección de Datos del Consumidor COVID-19 . La legislación brindaría a todos los estadounidenses más transparencia, opciones y control sobre la recopilación y el uso de sus datos personales de salud, dispositivos, geolocalización y proximidad. El proyecto de ley también responsabilizará a las empresas ante los consumidores si utilizan datos personales para combatir la pandemia de COVID-19.

El impacto

Aunque tal acto de protección podría ser bienvenido y necesario, las consecuencias para una industria de ciberseguridad de la atención médica ya estresada podrían ser demasiado abrumadoras. Se podría argumentar que la legislación sobre protección de datos no debería aprobarse caso por caso, sino que debería estar en vigor para proteger a los ciudadanos en todo momento, no solo cuando se necesitan medidas adicionales para luchar contra una pandemia.

Mientras tanto, en Malwarebytes haremos nuestra parte para apoyar a los que trabajan en la industria de la salud al mantener el malware fuera de sus máquinas; es un virus menos del que preocuparse.

Pormalwarebytes

Extensiones de Chrome que mienten sobre sus permisos

Extensiones de Chrome que mienten sobre sus permisos

Extensiones de Chrome que mienten sobre sus permisos

Al corriente: por 

«Pero verifiqué los permisos antes de instalar este bloqueador de ventanas emergentes, no dijo nada acerca de cambiar mis búsquedas», responde mi padre después de que lo regaño por instalar otra extensión de Chrome para secuestrar búsquedas. Por supuesto, no son difíciles de eliminar, pero tener que hacerlo una y otra vez es una molestia. Esto es especialmente cierto porque puede ser difícil averiguar cuál de las extensiones de Chrome es la culpable si el navegador comienza a fallar.

¿Que pasó?

Recientemente, nos encontramos con una familia de secuestradores de búsquedas que engañan acerca de los permisos que van a usar en su solicitud de instalación. Esta extensión, llamada PopStop, afirma que solo puede leer su historial de navegación. Parece bastante inofensivo, ¿verdad?

Mensaje de instalación de PopStop

Se supone que el mensaje de instalación en la tienda web le brinda información precisa sobre los permisos que requiere la extensión que está a punto de instalar. Ya es un hábito que las extensiones del navegador solo soliciten los permisos necesarios para funcionar correctamente desde el principio y luego soliciten permisos adicionales después de la instalación. ¿Por qué? Es más probable que los usuarios confíen en una extensión con advertencias limitadas o cuando se les explican los permisos.

Pero, ¿de qué sirven estas indicaciones informativas si solo te dan la mitad de la historia? En este caso, la extensión PopStop no solo lee su historial de navegación, como explica la ventana emergente, sino que también secuestra sus resultados de búsqueda.

Algunas de estas extensiones son más sencillas una vez que el usuario las instala y se enumeran debajo de las extensiones instaladas.

Extensión de la aplicación Niux

Pero otros son consistentes en sus mentiras incluso después de haber sido instalados, lo que hace que sea aún más difícil descubrir cuál es el responsable del secuestro de búsqueda.

Extensión PopStop

¿Cómo es esto posible?

Google había decidido en algún momento prohibir las extensiones que ofuscan su código. Al hacerlo, es más fácil para ellos leer la programación del complemento y realizar el análisis adecuado.

El primer paso para determinar qué está haciendo una extensión es mirar el archivo manifest.json.

manifest.json

El registro de un script en el manifiesto le dice a la extensión a qué archivo hacer referencia y, opcionalmente, cómo debe comportarse ese archivo.

Lo que este manifiesto nos dice es que el único script activo es «background.js» y los permisos declarados son «pestañas» y «almacenamiento». Más sobre esos permisos más adelante.

Las partes relevantes en background.js son estas piezas, porque nos muestran hacia dónde van nuestras búsquedas:

const BASE_DOMAIN = 's3redirect.com', pid = 9126, ver = 401;
chrome.tabs.create({url: `https://${BASE_DOMAIN}/chrome3.php?q=${searchQuery}`});
        setTimeout(() => {
          chrome.tabs.remove(currentTabId);
        }, 10);

Este script usa dos métodos chrome.tabs: uno para crear una nueva pestaña basada en su consulta de búsqueda y el otro para cerrar la pestaña actual. La pestaña cerrada habría mostrado los resultados de búsqueda de su proveedor de búsqueda predeterminado.

Mirando la API chrome.tabs , leemos:

“Puede utilizar la mayoría de los métodos y eventos de chrome.tabs sin declarar ningún permiso en el archivo de manifiesto de la extensión. Sin embargo, si necesita acceso a las propiedades url, pendienteUrl, título o favIconUrl de tabs.Tab, debe declarar el permiso «tabs» en el manifiesto «.

Y efectivamente, en el manifiesto de esta extensión encontramos:

"permissions": [ "tabs", "storage" ],

El permiso de «almacenamiento» no invoca un mensaje en la pantalla de advertencia que ven los usuarios cuando instalan una extensión. El permiso «pestañas» es el motivo del mensaje «Leer su historial de navegación». Aunque la API chrome.tabs se puede utilizar por diferentes motivos, también se puede utilizar para ver la URL asociada con cada pestaña recién abierta.

Las extensiones que encontramos lograron evitar tener que mostrar el mensaje “Leer y cambiar todos tus datos en los sitios web que visitas” que estaría asociado con el método “tabCapture”. Lo hicieron cerrando la pestaña actual después de capturar su término de búsqueda y abriendo una nueva pestaña para realizar la búsqueda de ese término en su propio sitio.

Las advertencias de permisos «normales» para un secuestrador de búsquedas se parecerían más a esto:

El efecto final es el mismo, pero es menos probable que un usuario experimentado instale esta última extensión, ya que se opondría a la solicitud de permiso o reconocería el complemento como un secuestrador de búsquedas al mirar estos mensajes.

¿Estas extensiones realmente mienten?

Algunos podrían llamarlo mentira. Algunos pueden decir que no, simplemente no ofrecieron toda la verdad. Sin embargo, el objetivo de esas ventanas emergentes de permisos es darles a los usuarios la opción de descargar un programa siendo sincero sobre lo que el programa les pide a sus usuarios.

En el caso de estas extensiones de Chrome, digamos que no están revelando el alcance total de las consecuencias de instalar sus extensiones.

Sería conveniente que Google agregara un posible mensaje para las extensiones que usan el método chrome.tabs.create. Esto informaría al usuario que su extensión podrá abrir nuevas pestañas, que es una forma de mostrar anuncios para que los usuarios conozcan esta posibilidad. Y chrome.tabs.create también resulta ser el método que utiliza esta extensión para reemplazar los resultados de búsqueda que buscábamos por los suyos.

Una ventaja adicional de estas extensiones es el hecho de que no se mencionan en el menú de configuración como lo haría un secuestrador de búsqueda «normal».

Un secuestrador de búsquedas que reemplace su motor de búsqueda predeterminado aparecerá en Configuración> Motor de búsqueda

No aparecer en la lista como el reemplazo del motor de búsqueda, nuevamente, hace que sea más difícil para un usuario descubrir qué extensión podría ser responsable de los resultados de búsqueda inesperados.

Por el momento, estos secuestradores pueden ser reconocidos por el nuevo encabezado que agregan a sus resultados de búsqueda, que se ve así:

Esto probablemente cambiará una vez que sus dominios actuales estén marcados como páginas de destino para secuestradores y se crearán nuevas extensiones utilizando otras páginas de destino.

Más detalles

Estas extensiones interceptan resultados de búsqueda de estos dominios:

  • aliexpress.com
  • booking.com
  • todos los dominios de google
  • ask.com
  • ecosia.org
  • bing.com
  • yahoo.com
  • mysearch.com
  • duckduckgo.com

También intercepta todas las consultas que contienen la cadena «spalp2020». Probablemente esto se deba a que esa cadena es un factor común en las URL del instalador que pertenecen a la familia de secuestradores powerapp.download .

Buscar secuestradores

Hemos escrito antes sobre los intereses de los desarrolladores turbios en la industria de las búsquedas de miles de millones de dólares y hemos informado sobre las diferentes tácticas a las que recurren estos desarrolladores para que los usuarios instalen sus extensiones o usen sus sitios de búsqueda [ 1 ], [ 2 ], [ 3 ].

Si bien esta familia no utiliza las prácticas de marketing más engañosas que existen, aún oculta su mal comportamiento a la vista. Muchos usuarios han aprendido a leer detenidamente los mensajes de solicitud de instalación para determinar si una extensión es segura. Es decepcionante que los desarrolladores puedan evadir dar información honesta y que estas extensiones se introduzcan en la tienda web una y otra vez.

COI

identificadores de extensión:

pcocncapgaibfcjmkkalopefmmceflnh

dpnebmclcgcbggnhicpocghdhjmdgklf

dominios de búsqueda:

s3redirect.com

s3arch.page

gooogle.page <= tenga en cuenta la «o» adicional

Malwarebytes detecta estas extensiones con el nombre de detección PUP.Optional.SearchEngineHijack.Generic .

Pormalwarebytes

Estafas de phishing de la SBA: desde malware hasta ingeniería social avanzada

Estafas de phishing de la SBA: desde malware hasta ingeniería social avanzada

Estafas de phishing de la SBA: desde malware hasta ingeniería social avanzada

Al corriente: por 

Varios actores de amenazas continúan aprovechándose de la pandemia de coronavirus en curso a través de estafas de phishing y otras campañas de distribución de malware.

En este blog, analizamos 3 olas de phishing diferentes dirigidas a solicitantes de préstamos de ayuda Covid-19. Los correos electrónicos de phishing se hacen pasar por la Administración de Pequeñas Empresas de EE. UU. (SBA) y tienen como objetivo entregar malware, robar credenciales de usuario o cometer fraude financiero.

En cada una de estas campañas, los delincuentes falsifican el correo electrónico del remitente para que se parezca al de la SBA oficial. Esta técnica es muy común y, desafortunadamente, a menudo se malinterpreta, lo que resulta en muchas estafas exitosas.

Malware GuLoader

En abril, vimos la primera ola de ataques de la SBA utilizando COVID-19 como señuelo para distribuir malware. Los correos electrónicos contenían archivos adjuntos con nombres como ‘SBA_Disaster_Application_Confirmation_Documents_COVID_Relief.img’.

Estafa de phishing de la SBA de EE. UU.
Figura 1: Correo electrónico no deseado que contiene archivos adjuntos maliciosos

El malware era el popular GuLoader , un descargador sigiloso utilizado por los delincuentes para cargar la carga útil de su elección y evitar la detección de antivirus.

Intento de phishing tradicional

La segunda ola que vimos involucró un enfoque de phishing más tradicional donde el objetivo era recopilar credenciales de las víctimas para estafarlas más adelante.

estafa tradicional de la SBA de EE. UU.
Figura 2: Correo electrónico de phishing que atrae a los usuarios a un sitio para ingresar sus credenciales

Una URL, especialmente si no tiene nada que ver con el remitente, es un gran indicio de que el correo electrónico puede ser fraudulento. Pero las cosas se complican un poco más cuando los atacantes utilizan archivos adjuntos que parecen legítimos.

Intento de phishing avanzado

Esto es lo que vimos en un esquema bastante inteligente y atrevido que engaña a las personas para que completen un formulario completo que contiene información muy personal, incluidos los detalles de la cuenta bancaria. Estos podrían usarse para drenar cuentas directamente o en una capa adicional de ingeniería social, que engaña a los usuarios para que paguen tarifas avanzadas que no existen como parte del programa real de la SBA.

Intento avanzado de phishing de la SBA de EE. UU.
Figura 3: Correo electrónico de phishing que contiene un formulario de solicitud de préstamo

Esta última campaña comenzó a principios de agosto y es lo suficientemente convincente como para engañar incluso a los expertos en seguridad más experimentados. Aquí hay un vistazo más de cerca a algunas de las banderas rojas que encontramos mientras lo analizamos.

La mayoría de las personas no son conscientes de la falsificación de correos electrónicos y creen que si el correo electrónico del remitente coincide con el de una organización legítima, debe ser real. Desafortunadamente, ese no es el caso, y hay verificaciones adicionales que deben realizarse para confirmar la autenticidad de un remitente.

Existen varias tecnologías para confirmar la verdadera dirección de correo electrónico del remitente, pero en cambio nos centraremos en los encabezados de los correos electrónicos, una especie de plano que está disponible para cualquier persona. Dependiendo del cliente de correo electrónico, existen diferentes formas de ver dichos encabezados. En Outlook, puede hacer clic en Archivo y luego en Propiedades para mostrarlos:

encabezados de correo electrónico de Outlook para evitar estafas
Figura 4: Encabezados de correo electrónico que muestran remitente sospechoso

Uno de los elementos a tener en cuenta es el campo «Recibido». En este caso, muestra un nombre de host (park-mx.above [.] Com) que parece sospechoso. De hecho, podemos ver que ya se ha mencionado en otra campaña de estafa .

Si volvemos a este correo electrónico, vemos que contiene un archivo adjunto, una solicitud de préstamo con el número de referencia 3245-0406. Una mirada a los metadatos PDF a veces puede revelar información interesante.

Metadatos de pdf de estafa de SBA
Figura 5: Formulario de solicitud de carga sospechosa y sus metadatos

Aquí notamos que el archivo se creó el 31 de julio con Skia, una biblioteca de gráficos para Chrome. Esto nos dice que los estafadores crearon ese formulario poco antes de enviar los correos electrónicos no deseados.

A modo de comparación, si miramos la aplicación descargada del sitio web oficial de la SBA, vemos algunos metadatos diferentes:

metadatos pdf oficiales de la SBA
Figura 6: Formulario oficial de solicitud de préstamo y sus metadatos

Este formulario de solicitud legítimo se creó con Acrobat PDFMaker for Word el 27 de marzo, que coincide con el cronograma de la pandemia.

Por lo general, la solicitud de préstamo se imprime y luego se envía por correo a una dirección física en una de las oficinas gubernamentales. Si volvemos al correo electrónico original, solicita enviar el formulario completo como respuesta por correo electrónico en su lugar:

malwarebytes correo electrónico falso de estafa sba
Figura 7: El correo electrónico de respuesta enviaría un formulario de solicitud de préstamo a los delincuentes

Aquí es donde las cosas se ponen interesantes. Aunque el correo electrónico del remitente es disastercustomerservice@sba.gov, cuando presiona el botón de respuesta, muestra una dirección de correo electrónico diferente en: disastercustomerservice @ gov-sba [.] Us . Si bien sba.gov es el sitio web oficial y legítimo del gobierno, gov-sba [.] Us no lo es.

correo electrónico falsificado de correo electrónico de phishing sba
Figura 8: Dominio registrado por estafadores poco antes del ataque

Ese nombre de dominio (gov-sba [.] Us) se registró pocos días antes de que comenzara la campaña de correo electrónico y claramente no pertenece al gobierno de EE.

Sin embargo, debemos tener en cuenta que esta campaña es bastante elaborada y que sería fácil caer en la trampa. Lamentablemente, lo último que desearía al solicitar un préstamo es quedarse sin más dinero.

Si responde a este correo electrónico con el formulario completo que contiene información privada que incluye los detalles de su cuenta bancaria, esto es exactamente lo que sucedería.

Consejos sobre cómo protegerse

No hay duda de que las personas deben ser extremadamente cautelosas cuando se les pida que completen información en línea, especialmente en un correo electrónico. Los estafadores acechan en cada esquina y están listos para aprovechar la próxima oportunidad.

Tanto el Departamento de Justicia como la Administración de Pequeñas Empresas han estado advirtiendo sobre estafas relacionadas con los préstamos de la SBA. Sus respectivos sitios proporcionan varios consejos sobre cómo evitar varios esquemas maliciosos.

Quizás lo más importante, especialmente cuando se trata de correos electrónicos de phishing, es que la dirección del remitente puede falsificarse fácilmente y de ninguna manera es una garantía sólida de legitimidad, incluso si se ve exactamente igual.

Debido a que no podemos esperar que todos busquen los encabezados y metadatos de los correos electrónicos, al menos podemos sugerir que verifiquemos la legitimidad de cualquier comunicación con un amigo o llamando a la organización gubernamental. Para esto último, siempre recomendamos no marcar nunca el número que se encuentra en un correo electrónico o que se deja en un buzón de voz, ya que podría ser falso. Busque en Google la organización su número de contacto correcto.

Malwarebytes también protege contra ataques de phishing y malware al bloquear la infraestructura ofensiva utilizada por los estafadores.

Pormalwarebytes

Compromiso del correo electrónico empresarial: apuntar al objetivo

Compromiso del correo electrónico empresarial: apuntar al objetivo

Compromiso del correo electrónico empresarial: apuntar al objetivo

Al corriente: por 
Última actualización:

El peligro constante del compromiso del correo electrónico empresarial (BEC) se encuentra una vez más en las noticias. Esta vez, los principales equipos de fútbol de la Premier League inglesa casi fueron víctimas de sus engaños , por una suma de £ 1 millón.

Primera mitad: estafadores a la ofensiva

Alguien comprometió el correo electrónico de un Director Gerente después de iniciar sesión en un portal de phishing a través de un correo electrónico falso. Las cuentas falsas configuradas durante la ventana de transferencia para comprar y vender jugadores proporcionaron la apertura requerida. Se insertaron en las conversaciones con facilidad. Ambos clubes estaban conversando con falsificaciones, ya que los estafadores cambiaron los datos bancarios para el pago. No llegó dinero a los estafadores, ya que el banco reconoció la cuenta bancaria fraudulenta.

Al igual que con tantos ataques BEC, el punto débil era el correo electrónico no seguro sin medidas adicionales implementadas. Algún 2FA habría ayudado enormemente aquí, junto con precauciones adicionales. Hemos hablado de esto anteriormente, donde las organizaciones pueden tener que aceptar cierta desaceleración en sus actividades detrás de escena para la protección adicional que se brinda. ¿El director ejecutivo necesita confirmar los cables por teléfono con alguien en otra zona horaria? ¿Ralentizará un poco las cosas?

Eso es, para algunos, el costo de (los estafadores) hacer negocios. El truco está en tratar de encontrar las soluciones que funcionen mejor para usted, de una manera que no encuentre objeciones tanto de la junta como de las personas que utilizan estos procesos a diario.

El sector deportivo está siendo atacado digitalmente en todos los frentes en este momento. Puede leer sobre algunos de los otros ataques y algunas travesuras más relacionadas con BEC en el informe NCSC .

Segunda mitad: BEC mantiene la presión alta

Las estafas de BEC han ganado mucha visibilidad en las últimas semanas.

Las grandes pérdidas financieras acompañan a la vergüenza de hacer público el compromiso. Es casi seguro que no conocemos el verdadero alcance del daño. El ransomware y las amenazas de chantaje similares causan problemas similares al intentar estimar el impacto.

BEC tampoco es una especie de hora amateur. Los profesionales están haciendo absolutamente todo lo que pueden en este ámbito para mejorar aún más sus ganancias .

Tiempo extra: el largo brazo de la ley

Las organizaciones y las personas a menudo se dan cuenta demasiado tarde de que enviar transferencias significa que el efectivo se ha ido para siempre. El ataque responde sigilosamente y se lleva el dinero sin que nadie se dé cuenta hasta que es demasiado tarde.

Por otro lado, los bustos ocurren. Resulta que ser masivamente visible con unos 2.4 millones de seguidores en Instagram podría no ser la mejor manera de seguir siendo Guy Incognito. Después de que se robó poco menos de 1 millón de dólares de una víctima en los EE. UU., El FBI encontró evidencia de comunicaciones entre una estrella popular de las redes sociales y los presuntos co-conspiradores del fraude. El FBI presentó una denuncia penal en junio que alega que toda la riqueza de la estrella de las redes sociales se obtiene ilegalmente.

Curiosamente, se menciona otro intento en un club de fútbol de la primera división inglesa. Esta vez, sin embargo, el dinero en juego es significativamente mayor: £ 100 millones, frente a £ 1 millón.

Ay.

Penalizaciones: un último ataque de varios frentes

No es solo el BEC estándar de lo que debemos preocuparnos. Hay muchas rutas divergentes hacia su negocio que se originan aproximadamente en la misma posición inicial. El compromiso del correo electrónico del proveedor es algo que está ganando importancia desde que su hermano más conocido salió a la luz, así que agréguelo a la creciente lista de cosas contra las que defenderse. El exitoso ataque a una importante cadena de cines europea por 21 millones de dólares está empezando a parecer una papilla en este punto, aunque definitivamente no para cualquiera que se vea atrapado en las consecuencias.

Algunos estafadores usan malware . Para otros, se trata de quemar un exploit horriblemente caro. La esperanza es que gane varias veces la cantidad pagada inicialmente. ¿El resto acecha en las sombras? Mucho dinero de la publicidad maliciosa o de los juegos en las redes sociales con un toque de propagación viral y muchos clics robados.

Mientras tanto, allí, tenemos un grupo de personas que reconstruyen el funcionamiento interno de su organización a partir de información disponible gratuitamente en línea. En este mismo momento, están considerando enviar una misiva inocente, solo para ver si la dirección de correo está activa y si la persona responsable responde.

No volverá a tener noticias de ellos … pero es casi seguro que verá un correo de algo que dice ser el administrador de su sistema instándole a restablecer sus datos de inicio de sesión.

Dónde terminan tanto usted como las reservas de efectivo de su organización después de eso, depende completamente de la planificación que se haya hecho de antemano.

¿Qué tan preparado estará cuando los atacantes del correo electrónico empresarial llamen?