Querrá revisar su buzón si tiene una cuenta de Humble Bundle, ya que están notificando a algunos clientes un error que se utiliza para recopilar información de suscriptores.

Click para agrandar

El correo dice lo siguiente:

Hola,

La semana pasada, descubrimos que alguien estaba utilizando un error en nuestro código para acceder a información no personal limitada sobre las cuentas de Humble Bundle. El error no expuso las direcciones de correo electrónico, pero la persona lo explotó al probar una lista de direcciones de correo electrónico para ver si coincidían con una cuenta de Humble Bundle. Su dirección de correo electrónico fue una de las coincidencias.

Ahora, esta es la parte de un correo de incumplimiento / error donde tiendes a decir «Oh no, no otra vez» y respira profundamente. Luego ves cuánto de tu información personal se abrió camino hacia el atacante.

Oh no, no otra vez

Por una vez, su nombre, dirección e incluso sus datos de inicio de sesión están aparentemente en buenas manos. O bien este error no se expuso tanto como el atacante esperaba, o simplemente estaban en él para la colección de contenido de nicho.

El correo electrónico continúa:

La información confidencial, como su nombre, dirección de facturación, contraseña e información de pago NO fue expuesta. La única información a la que podrían haber accedido es su estado de suscripción de Humble Monthly. Más específicamente, pueden saber si su suscripción está activa, inactiva o en pausa;cuando su plan expira; y si ha recibido alguna bonificación por recomendación.

Debería explicar en este punto. Puedes comprar juegos de PC independientes en la tienda de Humble, o cualquier otro libro, juego u otra colección que se ofrezca esta semana. Alternativamente, puede suscribirse a la suscripción mensual. Con esto, pagas y luego cada mes te dan una selección aleatoria de títulos de videojuegos. Pueden ser buenos, malos o indiferentes. Es posible que ya tenga algunos, en cuyo caso puede regalarlos a otros. Si no tiene   interés en los títulos de vista previa, puede pausar temporalmente su suscripción por un mes.

Estos son los datos que el explotador de errores ha obtenido, que es definitivamente una cosa extraña y específica para tratar de agarrar.

Consejos de seguridad de Humble Bundle

Volvamos al correo en este punto:

A pesar de que la información revelada es muy limitada, nos tomamos muy en serio la confianza del cliente y deseamos divulgarlo de inmediato. Queremos asegurarnos de que pueda protegerse si alguien utiliza la información recopilada para hacerse pasar por Humble Bundle.

Como recordatorio, aquí hay algunos consejos para mantener su cuenta privada y segura:

• No comparta su contraseña, datos personales o información de pago con nadie. NUNCA pediremos información como esa.
• Tenga cuidado con los correos electrónicos con enlaces a sitios desconocidos.Si recibe un correo electrónico sospechoso relacionado con Humble Bundle, contáctenos a través de  nuestro sitio web de soporte  para que podamos investigar más y advertir a otros.
• Habilite la autenticación de dos factores (2FA) para que incluso si alguien obtiene su contraseña, no podrá acceder a su cuenta. Puede habilitar2FA siguiendo  estas instrucciones .

Le pedimos disculpas por este error. Trabajaremos aún más para garantizar su privacidad y seguridad en el futuro.

Buen consejo, pero ¿cuál es la amenaza?

Uno podría adivinar que el gran riesgo aquí, entonces, es el potencial de phishing de lanza. Podrían explotar esto enviando correos a los suscriptores de que su suscripción está a punto de expirar, o reclamar problemas con los detalles de la tarjeta almacenada. Agregue un poco de texto en color con respecto a su suscripción «actualmente en pausa», y todo se verá convincente.

El phishing es un gran peligro en línea , y debemos hacer todo lo posible para frustrarlo. Si bien la información aquí expuesta no es tan mala como suele ser, todavía puede causar grandes dolores de cabeza. Esté atento a los dudosos correos de Humble, especialmente si mencionan suscripciones. Ayudará a evitar que tu manojo de alegría se convierta en un paquete de miseria.

La semana pasada en Malwarebytes Labs, nos dimos un vistazo a nuestras predicciones de seguridad cibernética de 2019 , explicamos por qué Malwarebytes participaron en las pruebas de AV  y la forma en que tomamos parte en una junta de  retirar los botnets masivos anuncio de fraude , advirtió que los sitios web de registro de ESTA todavía acechan en pagado Los anuncios en Google , discutieron  lo que nos han traído los 25 años de cámaras web e informaron sobre el incumplimiento de Marriott que afectó a 500 millones de clientes .

Otras noticias de ciberseguridad:

• LinkedIn violó la protección de datos al usar 18 millones de direcciones de correo electrónico de no miembros para comprar anuncios específicos en Facebook. (Fuente: TechCrunch)
• Los investigadores crearon huellas digitales falsas «maestras»  para desbloquear teléfonos inteligentes. (Fuente: placa base)
• Uber abofeteó con una multa de £ 385K ICO por incumplimiento importante. (Fuente: InfoSecurty Magazine)
• El desarrollador de Rogue infecta el módulo NodeJS ampliamente utilizado para robar Bitcoins. (Fuente: The Hacker News)
• Cuando el  FBI  (y no los estafadores) crea un sitio web falso de FedEx. (Fuente: Graham Cluley)
• Microsoft advierte sobre dos aplicaciones que instalaron certificados raíz y luego filtraron las claves privadas. (Fuente: ZDNet)
• La aplicación de rastreo de redes sociales Predictim está prohibida en Facebook y Twitter. (Fuente: NakedSecurity)
• Estafa de soporte técnico: centros de llamadas cerrados por la policía india en colaboración con Microsoft. (Fuente: TechSpot)
• Alemania detecta nuevos ataques cibernéticos contra políticos, militares y embajadas. (Fuente: DW)
• Es hora de cambiar su contraseña nuevamente, ya que Dell revela un intento de pirateo. (Fuente: Tendencias digitales)

¡Mantente a salvo, todos!

Hoy, Marriott reveló una violación de datos a gran escala que afectó a 500 millones de clientes que se han alojado en un hotel con la marca Starwood en los últimos cuatro años. Si bien los detalles de la violación aún son escasos, Marriott declaró que no había acceso no autorizado a una base de datos vinculada a las reservas de los clientes desde el 2014 hasta el 10 de septiembre de 2018.

Para la mayoría de los clientes afectados (aproximadamente 327 millones), los datos violados incluyen una combinación de nombre, dirección postal, número de teléfono, dirección de correo electrónico, número de pasaporte, información de la cuenta de Starwood Preferred Guest, fecha de nacimiento, sexo, información de llegada y salida, Fecha de reserva, y preferencias de comunicación. Para algunos de esos invitados, se expusieron sus números de tarjeta de crédito y las fechas de vencimiento, sin embargo, se cifraron utilizando el Estándar de cifrado avanzado (AES-128) .

Puede leer más sobre el impacto para los clientes en la declaración de Marriott aquí .

Actualmente se desconoce la causa raíz de la violación, pero Marriott indicó que los intrusos cifraron la información antes de filtrar los datos. Brian Krebs informó que Starwood reportó su propio incumplimiento en 2015, poco después de la adquisición por parte de Marriott. En ese momento, Starwood dijo que su línea de tiempo de incumplimiento se extendió un año más o menos a noviembre de 2014. La remediación incompleta de los incumplimientos es extremadamente común, y cuando se complica con los desafíos de administración de activos introducidos por las fusiones y adquisiciones, se observa un movimiento lateral y una exfiltración después de un corte inicial. No es irrazonable.

Las propiedades de Starwood afectadas son las siguientes:

• Westin
• Sheraton
• La colección de lujo
• Cuatro puntos por el Sheraton
• Hoteles W
• St. Regis
• Le Méridien
• En alto
• Elemento
• Portafolio Tributo
• Hoteles de diseño

Que deberias hacer al respecto?

Si eres cliente:

• Cambie su contraseña para su programa Starwood Preferred Guest Rewards inmediatamente. Las contraseñas aleatorias generadas por un administrador de contraseñas de su elección deberían ser las más útiles.
• Revise sus cuentas bancarias y de tarjetas de crédito para detectar actividades sospechosas.
• Considere una congelación de crédito si le preocupa que su información financiera haya sido comprometida.
• Cuidado con las estafas relacionadas con infracciones; Los ciberdelincuentes saben que esto es una violación masiva y de interés periodístico, por lo que aprovecharán la oportunidad de atrapar a los usuarios a través de la ingeniería social. Revisar los correos electrónicos supuestamente de Marriott con un ojo de águila.

Si usted es un negocio que busca consejos para evitar ser golpeado por una infracción:

• Invierta en un producto de protección de punto final y un programa de prevención de pérdida de datos para asegurarse de que las alertas sobre ataques similares lleguen a su personal de seguridad lo más rápido posible.
• Eche un vistazo a su programa de gestión de activos:
  • ¿Tiene un 100 por ciento de contabilidad de todos sus activos externos?
  • ¿Tiene perfiles de usuario uniformes en su negocio para todos los casos de uso?
• Cuando se trata de un movimiento lateral después de una brecha inicial, no puedes captar lo que no puedes ver. El primer paso para una mejor postura de seguridad es saber con qué tienes que trabajar.

En un mundo donde parece que las infracciones no pueden ser contenidas, los consumidores y las empresas una vez más tienen que lidiar con las consecuencias. Nuestro consejo a las organizaciones: No te conviertas en un cuento de advertencia. Guarde la molestia de sus clientes y salve la reputación de su empresa tomando medidas proactivas para asegurar su empresa hoy.

El 27 de noviembre, el Departamento de Justicia de los Estados Unidos anunció la acusación de ocho personas involucradas en un caso importante de fraude publicitario que costó a los anunciantes digitales millones de dólares. La operación, denominada 3ve , fue la combinación de las botnets Boaxxe y Kovter, que el FBI, en colaboración con investigadores del sector privado, incluido uno de los nuestros en Malwarebytes, pudo desmantelar.

El aviso CERT de EE. UU. Indica que 3ve controlaba más de 1.7 millones de direcciones IP únicas entre Boaxxe y Kovter en un momento dado. Los actores de amenazas dependen de diferentes tácticas para generar tráfico y clics falsos, pero uno de los más comunes es infectar computadoras legítimas y hacer que imiten en silencio el comportamiento de un usuario típico. Al hacerlo, los estafadores pueden generar millones de dólares en ingresos al tiempo que erosionan la confianza en el negocio de la publicidad en línea.

Esta empresa criminal era bastante sofisticada ya que tenía muchas técnicas de evasión que no solo dificultaban la detección de fraudes publicitarios, sino que también limpiaban los sistemas afectados. Kovter, en particular, es una pieza única de malware que hace todo lo posible para evitar la detección e incluso para engañar a los analistas. Su naturaleza sin archivos para mantener la persistencia también lo ha hecho más difícil de deshabilitar.

Malwarebytes, junto con varias otras compañías, como Google, Proofpoint y la empresa de detección de fraude de anuncios White Ops , participaron en la investigación global de estas redes de bots de fraude de anuncios. Trabajamos con nuestros colegas en White Ops, compartiendo nuestra inteligencia y muestras del malware Kovter. Nos alegramos de poder aprovechar nuestra telemetría, que demostró ser valiosa para que otros puedan actuar.

Si bien las empresas cibercriminales pueden ser bastante sofisticadas, esta operación exitosa demuestra que los esfuerzos concertados entre los sectores público y privado pueden derrotarlos y llevar a los responsables ante la justicia.

El informe completo de 3ve, coautor de Google y White Ops, con contribuciones técnicas de Proofpoint y otros, se puede descargar aquí .

Cada año, en Malwarebytes Labs nos gusta mirar nuestra bola de cristal y predecir el futuro del malware.

Bueno, tal vez no tengamos una bola de cristal, pero sí tenemos años y años de experiencia observando tendencias y detectando cambios en los patrones. Sin embargo, cuando se trata de seguridad, solo podemos saber mucho. Por ejemplo, garantizamos que habrá algún tipo de desarrollo en el que tengamos una indicación de cero. También podemos asegurarle que las filtraciones de datos seguirán ocurriendo, justo cuando el sol sale y se pone.

Y si bien toda la esperanza es para un 2019 libre de malware, la realidad probablemente se parecerá más a esto:

Las nuevas infracciones de alto perfil empujarán a la industria de la seguridad a resolver finalmente el problema del nombre de usuario / contraseña. El enigma ineficaz de nombre de usuario / contraseñaha afectado a los consumidores y las empresas durante años. Hay muchas soluciones por ahí (criptografía asimétrica, biométrica, blockchain, soluciones de hardware, etc.), pero hasta ahora, la industria de la ciberseguridad no ha podido establecer un estándar para solucionar el problema. En 2019, veremos un esfuerzo más concertado para reemplazar las contraseñas por completo.

Las botnets IoT llegarán a un dispositivo cerca de ti. En la segunda mitad de 2018, vimos varios miles de enrutadores MikroTik pirateados para servir a los mineros de la moneda. Esto es solo el comienzo de lo que probablemente veremos en el nuevo año, con más y más dispositivos de hardware comprometidos para servir todo, desde cryptominers hasta troyanos. Se producirán compromisos a gran escala de enrutadores y dispositivos IoT , y son mucho más difíciles de parchar que las computadoras. Incluso solo la aplicación de parches no soluciona el problema, si el dispositivo está infectado.

El skimming digital aumentará en frecuencia y sofisticación. Los ciberdelincuentes buscan sitios web que procesan pagos y comprometen la página de pago directamente. Ya sea que compre patines o entradas para conciertos, cuando ingrese su información en la página de pago, si el software del carrito de la compra es defectuoso, la información se envía en texto claro, lo que permite a los atacantes interceptar en tiempo real. Las compañías de seguridad vieron evidencia de esto con los hacks de British Airways y Ticketmaster.

Microsoft Edge será un objetivo principal para los nuevos ataques de día cero y los kits de explotación. Con la transición de IE, Microsoft Edge está ganando más cuota de mercado. Esperamos ver más vulnerabilidades de Edge cuando sigamos con este navegador de próxima generación. Firefox y Chrome han hecho mucho para reforzar su propia tecnología, haciendo de Edge el próximo gran objetivo.

EternalBlue o un imitador se convertirán en el método de facto para propagar malware en 2019.Debido a que puede propagarse, EtnernalBlue y otros en la vulnerabilidad de SMB presentan un desafío particular para las organizaciones, y los ciberdelincuentes explotarán esto para distribuir nuevo malware.

La criptografía en las computadoras de escritorio, al menos en el lado del consumidor, casi morirá. Nuevamente, como vimos en octubre (2018) con los enrutadores MikroTik hackeados para servir a los mineros, los ciberdelincuentes simplemente no están obteniendo valor al apuntar a los consumidores individuales con cryptominers. En cambio, los ataques que distribuyen a los cryptominers se centrarán en plataformas que pueden generar más ingresos (servidores, IoT) y se desvanecerán de otras plataformas (minería basada en el navegador).

Los ataques diseñados para evitar la detección, como los registradores de sonido, se deslizarán en la naturaleza. Los registradores de teclas que graban sonidos a veces se denominan registradores de sonido, y pueden escuchar la cadencia y el volumen del toque para determinar qué teclas se tocan en un teclado. Ya en existencia, este tipo de ataque fue desarrollado por actores del estado nación para atacar a los adversarios. Es probable que los ataques que utilizan esta y otras nuevas metodologías de ataque diseñadas para evitar la detección se deslicen contra las empresas y el público en general.

La inteligencia artificial se usará en la creación de ejecutables maliciosos.  Si bien la idea de tener AI maliciosa ejecutándose en el sistema de una víctima es pura ciencia ficción, al menos durante los próximos 10 años, el malware modificado por, creado por, y la comunicación con un AI es Una realidad peligrosa . Una IA que se comunica con computadoras comprometidas y monitorea qué y cómo se detecta cierto malware puede implementar rápidamente contramedidas. Los controladores AI habilitarán el malware creado para modificar su propio código para evitar que se detecte en el sistema, independientemente de la herramienta de seguridad implementada. Imagine una infección de malware que actúa casi como «The Borg» de Star Trek, ajustando y aclimatando sus métodos de ataque y defensa sobre la marcha en función de lo que se enfrenta.

Traiga su propia seguridad crece a medida que disminuye la confianza. Cada vez más consumidores llevan su propia seguridad al lugar de trabajo como primer o segundo nivel de defensa para proteger su información personal. Malwarebytes recientemente realizó una investigación global y descubrió que cerca de 200,000 compañías tenían instalada una versión para el consumidor de Malwarebytes. La educación fue la industria más propensa a adoptar BYOS, seguida del software / tecnología y los servicios empresariales. 

La semana pasada, en Malwarebytes Labs, echamos un vistazo a un devastador ataque de compromiso de correo electrónico de negocios , payasadas en la web y los nuevos peligros de Deepfakes . También verificamos algunos problemas de errores de Chrome y realizamos las inmersiones más profundas en las pruebas de ADN .

Otras noticias de ciberseguridad.

• Adobe Flash bug: ¡ consigue parches ! (Fuente: Adobe)
• Acceso accidental al foro de Tesla  otorgado (Fuente: Ofertas de Dan)
• Búsqueda de JavaScript en otras pestañas del navegador [ PDF ] (Fuente: Arxiv)
• LastPass sufrió un corte de energía, otras  frustraciones (Fuente: The Register)
• El Departamento de Justicia de los Estados Unidos investiga  si  el rally de Bitcoin del año pasado fue el resultado de la manipulación  (Fuente: Bloomberg)
• Tumblr combate el contenido de explotación (Fuente: Tumblr)
• Accidente aéreo utilizado como cebo de phishing (Fuente: Gizmodo)
• Se verdadera identidad hacker tessa88 reveló ? (Fuente: Grupo Insikt)
• Más aplicaciones falsas en Google Play  descubiertas (Fuente: ESET)
• Grandes pérdidas por fraude de pagos en línea   para alcanzar los $ 48 mil millones anuales (Fuente: Help Net Security)

¡Mantente a salvo, todos!

Los documentos judiciales publicados recientemente muestran que la cadena de cine con sede en Europa Pathé perdió una pequeña fortuna debido a una estafa de compromiso de correo electrónico comercial (BEC)  en marzo de 2018. ¿Cuánto cuesta? Un sorprendente US $ 21.5 millones (aproximadamente 19 millones de euros). El ataque, que duró aproximadamente un mes, le costó a la compañía el 10 por ciento de sus ganancias totales.

¿Qué es el compromiso de correo electrónico de negocios?

El compromiso del correo electrónico empresarial es un tipo de ataque de phishing, salpicado de un toque de ingeniería social específica. Un estafador pretende ser el CEO de una organización, luego comienza a bombardear al CFO con solicitudes urgentes de una transferencia de dinero. Las solicitudes son generalmente para transferencias electrónicas (difíciles de rastrear) y, a menudo, se enrutan a través de Hong Kong (muchas transferencias bancarias, incluso más difíciles de rastrear).

Los estafadores a veces compran nombres de dominio para que los correos electrónicos falsos se vean aún más convincentes. Estos ataques se basan en la importancia social del CEO: nadie quiere cuestionar al jefe. Si una organización no tiene garantías contra estos ataques, un estafador probablemente será muy rico. Solo se necesita una estafa exitosa para generar un gran recorrido, en cuyo punto el estafador simplemente desaparece en el éter.

¿Lo que pasó aquí?

Esta estafa BEC en particular es interesante porque resalta un enfoque ligeramente diferente del ataque. Los estafadores abandonaron enfrentando al falso CEO contra el CFO real a favor de falsificar las misivas de la oficina central francesa a la gerencia holandesa.

Todo comienza con el siguiente correo:

“Actualmente estamos llevando a cabo una transacción financiera para la adquisición de una empresa extranjera con sede en Dubai. La transacción debe permanecer estrictamente confidencial. Nadie más debe saberlo para darnos una ventaja sobre nuestros competidores «.

Aunque el CFO y el CEO lo consideraron extraño, siguieron adelante y enviaron más de 800,000 en euros. Siguieron más solicitudes, incluidas algunas mientras el CFO estaba de vacaciones; ambos ejecutivos fueron despedidos después de que la oficina central se dio cuenta. Aunque no estuvieron involucrados en el fraude, Pathé dijo que podían, y deberían, haber notado las «señales de alerta». No lo hicieron, y no había una red de seguridad en su lugar, por lo que el intento de compromiso del correo electrónico comercial fue devastadoramente exitoso.

El juego de la vergüenza

Muchos casos de  fraude de BEC no se denuncian porque nadie quiere admitir voluntariamente que fueron víctimas. Como resultado, lo primero que se suele escuchar es en los procedimientos judiciales. Es difícil adivinar cuánto se pierde realmente con el fraude de BEC, pero el FBI previamente arrojó una cifra de $ 2.1 mil millones de dólares . La cifra real podría fácilmente ser mayor.

¿Cómo pueden las empresas combatir esto?

1. Verifique las cuentas de redes sociales y otros portales en línea de sus ejecutivos, y haga que los que están conectados a finanzas hagan sus perfiles lo más privados y seguros posible. Sin duda, puede reducir el espacio en línea de un CFO, incluso si no puede eliminarlo por completo.
2. La autenticación es la clave. El CFO y el CEO, o quien sea responsable de la autorización de transferencia, debe tener un proceso especial establecido para las aprobaciones. No debería basarse en el correo electrónico, ya que así es como las personas terminan en problemas de estafa de BEC en primer lugar. Si tiene un método de comunicación único y seguro, entonces utilícelo. Si puede bloquear aprobaciones con seguridad adicional como la autenticación de dos factores , hágalo. Algunas organizaciones hacen uso de aplicaciones de autenticador fuera de línea a medida en dispositivos personales. ¡La solución está ahí fuera!
3. Si tiene muchas oficinas y diferentes sucursales mueven el dinero de forma independiente, se aplican las mismas reglas: encuentre un método de autenticación coherente que se pueda usar en múltiples ubicaciones. Esto seguramente habría salvado a Pathé de perder $ 21.5 millones.
4. Cuando no hay otra forma de bloquear las cosas, es hora de abrir el teléfono y confiar en la autenticación verbal. Si bien esto puede causar una pequeña cantidad de problemas empresariales (si está en el otro lado del mundo, ¿está su CFO recibiendo llamadas a las 2:00 am?), Es mejor que perder todo.

Una amenaza que vale la pena abordar.

El compromiso de los correos electrónicos de negocios continúa creciendo en popularidad entre los estafadores, y todos nosotros tenemos que combatirlo. Si su organización no toma en serio a BEC, usted podría fácilmente recibir una llamada telefónica de su gerente de banco. Mantener sus finanzas en el negro es una prioridad, y los BEC son una de las amenazas más insidiosas, ya sea que distribuya películas, servicios de TI o cualquier otra cosa. No dejes que las personas malintencionadas decidan cuándo llamar una envoltura.

Tu jefe te contacta por Skype. Usted ve su cara y escucha su voz, pidiéndole que transfiera una cantidad considerable de dinero a una empresa de la que nunca haya oído hablar. ¿Pedirías una confirmación por escrito de sus órdenes? ¿O simplemente seguirías sus instrucciones?

Ciertamente me sorprendería tal solicitud, pero, de nuevo, esto no es una transacción normal para mí y mi jefe. Pero, dada la tasa de éxito del fraude de  CEO  (que fue mucho menos convincente), los actores de amenazas solo necesitarían encontrar a la persona adecuada con quien contactar para poder engañar con éxito a los empleados para que envíen el dinero.

Imagine la tasa de éxito del fraude de CEO donde los estafadores podrían replicar la cara y la voz de su jefe en una llamada de Skype. Usando las técnicas de Deepfake, pueden alcanzar ese nivel en un futuro no muy lejano.

¿Qué es Deepfake?

La palabra «Deepfake» se creó al combinar «aprendizaje profundo» y «falso» juntos. Es un método para crear imágenes humanas basadas en inteligencia artificial (IA). En pocas palabras, los creadores alimentan datos de computadora que consisten en muchas expresiones faciales de una persona y encuentran a alguien que puede imitar la voz de esa persona. El algoritmo AI puede entonces coincidir con la boca y la cara para sincronizarse con las palabras habladas. Todo esto resultaría en una «sincronización de labios» casi perfecta con la cara y la voz correspondientes.

Comparado con las antiguas técnicas de Photoshop para crear pruebas falsas, esto se calificaría como «videoshop 3.0».

¿De dónde vino?

La primera conmoción sobre esta técnica surgió cuando un usuario de Reddit, por el nombre de DeepFakes, publicó videos explícitos de celebridades que parecían realistas. Él generó estos videos al reemplazar los rostros de los actores pornográficos originales con los de las celebridades. Al usar el aprendizaje profundo, estos «intercambios de caras» eran casi imposibles de detectar.

DeepFakes publicó el código que usó para crear estos videos en GitHub y pronto, mucha gente estaba aprendiendo a crear sus propios videos, encontrando nuevos casos de uso a medida que avanzaban. Los foros sobre Deepfakes fueron inmensamente populares, los cuales fueron inmediatamente capitalizados por los coinminers . Y en algún momento, una versión fácil de usar de la tecnología Deepfake fue incluida con un cryptominer .

La tecnología

Los efectos de Deepfake se logran usando una tecnología de aprendizaje profundo llamada autoencoder. La entrada se comprime, o se codifica, en una pequeña representación. Se pueden usar para reproducir la entrada original para que coincidan con las imágenes anteriores en el mismo contexto (aquí, es el video). Sin embargo, los creadores necesitan suficientes datos relevantes para lograr esto. Para crear una imagen de Deepfake, el productor reproduce la cara B mientras usa la cara A como entrada. Entonces, mientras el propietario de la cara A está hablando en el lado de la persona que llama en la llamada de Skype, el receptor ve la cara B haciendo los movimientos. El receptor observará la llamada como si B fuera quien hablara.

Cuantas más imágenes de la persona en cuestión podamos alimentar el algoritmo, más realistas serán las expresiones faciales de la imitación.

Dado que ya existe una IA que puede entrenarse para imitar una voz después de escucharla durante aproximadamente un minuto, no parece que pasará mucho tiempo antes de que el imitador de voz pueda ser reemplazado por otra rutina que repita las oraciones de la persona que llama. una imitación razonable de la voz que el receptor asocia con la cara en la pantalla.

Casos de abuso

Como se mencionó anteriormente, la tecnología se utilizó por primera vez para reemplazar a los actores de las películas pornográficas con celebridades. También hemos visto algunos ejemplos de cómo esta tecnología podría usarse para crear » noticias falsas y profundas «.

Entonces, ¿cuánto tiempo les tomará a los estafadores hacer el truco para crear engaños elaborados , material promocional falso y llevar a cabo fraudes realistas?

Los engaños y otras noticias falsas son lo suficientemente dañinos como lo son en el estado actual de las cosas. Por naturaleza, las personas se inclinan a creer lo que ven. Si pueden verlo «en video» con sus propios ojos, ¿por qué lo dudarían?

Es posible que la historia sobre la transmisión de «La Guerra de los Mundos» y el pánico resultante sean divertidos, pero estoy bastante seguro de que más de un millón de personas que fueron golpeadas por el pánico no estarían de acuerdo con usted. Y eso fue sólo una transmisión de radio. Imagine algo similar con “material de archivo en vivo” y utilizando las caras y voces de sus presentadores de noticias favoritos (o, mejor dicho, sus imitaciones convincentes). Imagínese si los actores de la amenaza pudieran simular un ataque terrorista o disparos en masa. Hay muchas más posibilidades nefastas.

Contramedidas

La Agencia de Proyectos de Investigación Avanzada de la Defensa (DARPA, por sus siglas en inglés) es consciente de los peligros que puede plantear Deepfakes.

“Si bien muchas de las manipulaciones son benignas, se realizan por diversión o por valor artístico, otras son para fines de confrontación, como propaganda o campañas de desinformación.

Esta manipulación de los medios visuales está habilitada por la disponibilidad a gran escala de sofisticadas aplicaciones de edición de imágenes y video, así como por los algoritmos de manipulación automatizados que permiten la edición en formas que son muy difíciles de detectar ya sea con el análisis de imágenes actual y las herramientas forenses de medios visuales. . Las herramientas forenses utilizadas hoy en día carecen de robustez y escalabilidad, y abordan solo algunos aspectos de la autenticación de medios; no existe una plataforma de extremo a extremo para realizar un análisis forense completo y automatizado «.

DARPA ha lanzado el programa MediFor para estimular a los investigadores a desarrollar tecnología que pueda detectar manipulaciones e incluso proporcionar información sobre cómo se realizaron las manipulaciones.

Una de las señales que los investigadores ahora buscan cuando intentan descubrir un video documentado es la frecuencia con la que la persona del video parpadea. Cuando una persona normal parpadea cada pocos segundos, una imitación de Deepfake podría no hacerlo, o no lo suficiente como para ser convincente. Una de las razones de este efecto es que las imágenes de personas con los ojos cerrados no se publican mucho, por lo que tendrían que usar secuencias de video reales como entradapara obtener la frecuencia de parpadeo correcta.

A medida que avance la tecnología, indudablemente veremos mejoras tanto en el lado imitativo como en el defensivo. Lo que ya parece evidente es que tomará más que un ojo entrenado para reconocer los videos de Deepfake; necesitaremos algoritmos de aprendizaje automático para adaptarse.

Anti-video fraude

Con la excepcional velocidad de los desarrollos en el campo de Deepfakes, parece probable que vea un engaño o estafa utilizando este método en un futuro próximo. Tal vez incluso comencemos a utilizar software especializado contra el fraude de video en algún momento, de la misma manera en que nos hemos acostumbrado al uso de la protección antispam y antimalware.

Manténgase seguro y esté atento!

Tim Cotten , un desarrollador de software de Washington, DC, estaba respondiendo a una solicitud de ayuda de una colega la semana pasada, que creía que su cuenta de Gmail había sido pirateada, cuando descubrió algo falso . La evidencia presentada fue varios correos electrónicos en su  carpeta de Enviados , supuestamente enviados por ella a sí misma.

Cotten se quedó atónito cuando, tras el diagnóstico inicial, descubrió que los correos electrónicos enviados no provenían de su cuenta, sino de otra, que Gmail, que es el servicio de correo electrónico organizado, solo se archiva en su carpeta Enviados . ¿Por qué haría eso si el correo electrónico no fuera de ella? Parece que mientras la tecnología de filtrado y organización de Google funcionó a la perfección, algo salió mal cuando Gmail trataba de procesar los mensajes de correo electrónico  A partir de campos.

Este truco es un placer para los phishers.

Cotten anotó en una publicación del blog que el encabezado De de los correos electrónicos en la carpeta Enviados de su compañero de trabajo  contenía (1) la dirección de correo electrónico del destinatario y (2) otro texto, generalmente un nombre, posiblemente para una mayor credibilidad. La presencia de la dirección del destinatario provocó que Gmail moviera el correo electrónico a la carpeta Enviados y que ignorara la dirección de correo electrónico del remitente real.

¿Por qué un delincuente cibernético elaboraría un correo electrónico que nunca termina en la bandeja de entrada de una víctima? Esta táctica es particularmente útil para una campaña de phishing que se basa en la confusión del destinatario.

“Imagine, por ejemplo, el escenario en el que se podría crear un correo electrónico personalizado que imita los correos electrónicos anteriores que el remitente ha enviado legítimamente y que contiene varios enlaces. Una persona podría, al querer recordar cuáles eran los enlaces, regresar a su carpeta enviada para encontrar un ejemplo: ¡desastre! ”, Escribió Cotten.

Cotten proporcionó una demostración de Bleeping Computer en la que mostró un remitente potencialmente malintencionado falsificando el campo De mostrando un nombre diferente al destinatario. Esto puede generar una alta rotación de víctimas si se usa en una campaña fraudulenta por parte del CEO / correo electrónico comercial (BEC), anotaron.

Después de alertar sobre este error, Cotten, sin saberlo, abrió las compuertas para que otros investigadores de seguridad presenten sus errores descubiertos de Gmail. Eli Gray , por ejemplo, compartió el descubrimiento de un error en 2017 que permitió la suplantación de correos electrónicos, que se corrigió en la versión web de Gmail pero sigue siendo un defecto en la versión de Android. Un comentarista del foro  afirmó que la aplicación de correo de iOS también tiene la misma falla.

Otra agita el polvo.

Días después de revelar públicamente el error de Gmail, Cotten descubrió otra falla en la que los actores maliciosos pueden ocultar los detalles del remitente en el encabezado De al forzar a Gmail a mostrar un campo completamente en blanco.

Lo logró al reemplazar una parte de su caso de prueba por una cadena de código larga y arbitraria, como puede ver a continuación:

Los usuarios promedio de Gmail pueden tener dificultades para revelar el verdadero remitente porque al hacer clic en el botón Responder y la opción «Mostrar original» aún aparece un campo en blanco.

La falta de detalles del remitente podría aumentar la posibilidad de que los usuarios abran un correo electrónico malicioso para hacer clic en un enlace incrustado o abrir un archivo adjunto, especialmente si contiene un tema que sea tanto procesable como urgente.

Cuando se encontró con el silencio

Las vulnerabilidades de Gmail que se mencionan en esta publicación están relacionadas con la experiencia del usuario (UX) y, hasta el momento, Google aún no las ha abordado. (Cotten ha propuestouna posible solución para el gigante tecnológico). Desafortunadamente, los usuarios de Gmail solo pueden esperar las correcciones.

Detectar intentos de phishing o correos electrónicos falsificados puede ser complicado, especialmente cuando los cibercriminales pueden penetrar en fuentes confiables, pero un poco de vigilancia puede recorrer un largo, largo camino.

Umbro, la popular marca de ropa deportiva, ha tenido su sitio web Umbro Brasil pirateado e inyectado con no uno sino dos skimmers web parte del grupo Magecart.

Magecart se ha convertido en un nombre familiar en los últimos meses debido a los ataques de alto perfil en varios sitios web de comerciantes. Los delincuentes pueden robar sin problemas el pago y la información de contacto de los visitantes que compran productos o servicios en línea.

Múltiples actores de amenazas están compitiendo en diferentes escalas para obtener su parte del pastel. Como resultado, hay muchos scripts y grupos de skimming web que se centran en tipos particulares de comerciantes o áreas geográficas.

Por ejemplo, en este compromiso de Umbro Brasil, uno de los dos scripts de skimming comprueba la presencia de otro código de skimming y, si está presente, modificará ligeramente el número de tarjeta de crédito que ingresó la víctima. Efectivamente, el primer skimmer recibirá números de tarjeta de crédito incorrectos como un acto directo de sabotaje.

Dos skimmers van de cabeza a cabeza

El sitio web de Umbro Brasil ( umbro.com [.] Br ) ejecuta la plataforma de comercio electrónico Magento. El primer skimmer se carga a través de un dominio falso de la biblioteca BootStrap bootstrap-js [.] Com , recientemente discutido por Brian Krebs . Mirando su código, vemos que se ajusta al perfil de los actores de amenazas predominantemente activos en América del Sur, según un informe reciente de RiskIQ .

Este skimmer no está ofuscado y filtra los datos en una salida JSON estándar. Sin embargo, otro skimmer también está presente en el mismo sitio, cargado desde g-statistic [.] Com . Esta vez, está muy ofuscado como se ve en la siguiente imagen:

No hay juego limpio entre los grupos de Magecart

Otro aspecto interesante es cómo el segundo skimmer altera el número de tarjeta de crédito del primer skimmer. Antes de que se envíen los datos del formulario, toma el número de la tarjeta de crédito y reemplaza su último dígito con un número aleatorio.

El siguiente fragmento de código muestra cómo ciertos nombres de dominio activan este mecanismo. Aquí reconocemos bootstrap-js [.] Com, que es el primer skimmer. Luego, se genera un entero aleatorio que va de 0 a 9 para su uso posterior. Finalmente, se quita el último dígito de la tarjeta de crédito y se usa el número aleatorio generado previamente.

Al manipular los datos, el segundo skimmer puede enviar un número de tarjeta de crédito inválido pero  casi correcto al skimmer de la competencia. Debido a que solo se modificó una pequeña parte, lo más probable es que pase las pruebas de validación y salga a la venta en los mercados negros. Los compradores eventualmente se darán cuenta de que sus tarjetas de crédito compradas no funcionan y no volverán a confiar en ese vendedor.

El segundo skimmer, ahora que es el único que posee el número de tarjeta de crédito válido, utiliza una función especial para codificar los datos que extrata. En cuanto a la solicitud POST, solo podemos ver lo que parece ser un alboroto enviado a su dominio de exfiltración ( nube en línea [.] ):

Esta situación en la que múltiples infecciones residen en el mismo host no es inusual. De hecho, a menos que se arregle una vulnerabilidad con un servidor web, puede ser propensa a varios compromisos por parte de diferentes perpetradores. A veces pueden coexistir pacíficamente, a veces compiten directamente por los mismos recursos.

El deporte más genial de la ciudad.

Si bien el web skimming ha estado funcionando durante años, ahora se ha convertido en una (re) ocurrencia muy común. El investigador de seguridad Willem de Groot ha agregado datos para sitios web de 40K desde su conteo en 2015. Su estudio también muestra que la reinfección entre sitios de comercio electrónico (20% de tasa de reinfección) es un problema que debe abordarse.

Los propietarios de sitios web que manejan el procesamiento de pagos deben hacer la debida diligencia para asegurar su plataforma manteniendo sus programas y complementos actualizados, así como prestando especial atención a los scripts de terceros.

Los consumidores también deben estar conscientes de esta amenaza cuando compran en línea, incluso si el comerciante es una marca reconocida y de buena reputación. Además de monitorear de cerca sus estados de cuenta bancarios, deben considerar formas en que puedan limitar el daño de retiros maliciosos.

Hemos informado a CERT.br de este compromiso y, aunque los skimmers todavía están en línea, los usuarios de Malwarebytes están cubiertos por nuestro módulo de protección web.

Expresiones de gratitud:

Gracias a Willem de Groot por su ayuda en esta investigación.

IOCs

Skimmers

1er skimmer: bootstrap-js [.] Com
2do skimmer: g-statistic [.] Com

Exfiltración

Dominio exfil del primer skimmer: bootstrap-js [.] Com
2.º dominio exfil del skimmer: onlineclouds [.] Cloud