Cuando las comunicaciones corporativas parecen un phishing

Cuando las comunicaciones corporativas parecen un phishing

Cuando las comunicaciones corporativas parecen un phishing

Publicado: 9 de septiembre de 2019 por 

Muchas organizaciones gastarán importantes sumas de dinero en capacitación de phishing para empleados. Tomando la forma de capacitación periódica de sensibilización, o incluso phishing simulados para evaluar la conciencia de los empleados, esta es una práctica común en empresas más grandes.

Sin embargo, incluso después de la capacitación, una línea base constante de empleados seguirá haciendo clic en un enlace malicioso de un remitente desconocido. Hoy, veremos una razón potencial por la cual podría ser: las comunicaciones corporativas a menudo se ven como phishing en sí mismas, causando confusión entre los remitentes legítimos e ilegítimos.

Plantillas de comunicaciones corporativas

A continuación se muestra una plantilla de correo electrónico que se encuentra en un blog de Microsoft Technet , utilizada como un ejemplo de cómo un administrador de sistemas puede comunicarse con los usuarios.

https://blogs.technet.microsoft.com/smeems/2017/12/13/protecting-email-ios-android/

Si bien tiene buenas intenciones y proporciona a los usuarios instrucciones bastante buenas, esta plantilla cae en conflicto con el diseño de phishing de varias maneras.

  • La gran «Acción requerida» en rojo con un signo de exclamación crea una falsa sensación de urgencia desproporcionada a la información presentada.
  • No se proporciona ninguna forma de autenticar el mensaje como comunicaciones corporativas legítimas.
  • El correo electrónico presenta toda la información a la vez en la misma página, independientemente de la relevancia para un usuario individual.
  • El enlace de asistencia se encuentra en la parte inferior y sugiere un buzón genérico en lugar de hacer referencia a una persona para contactar.

Entonces, ¿cuál es el daño aquí? ¿Seguramente un usuario puede ignorar algunos diseños exagerados y tomar el mensaje deseado? Un problema es que según Harvard Business Review , el empleado de oficina promedio recibe en promedio 120 correos electrónicos por día. Al operar bajo una sobrecarga de información constante, ese trabajador tomará atajos cognitivos para reducir las interacciones con mensajes que no son relevantes para ellos.

Por lo tanto, capacitar al empleado para que responda reflexivamente a “Acción requerida” puede indicarle que haga lo mismo con correos electrónicos maliciosos . La inclusión de paredes de textos en el cuerpo del correo electrónico refuerza el escaneo en busca de una llamada a la acción (especialmente los enlaces para hacer clic), y la falta de autenticación de mensajes o asistencia humana garantiza que si hay alguna confusión sobre la seguridad, el empleado se equivocará. sin pedir ayuda

Esencialmente, las comunicaciones bien intencionadas con estos defectos de diseño capacitan a un empleado sobrecargado para exhibir malos comportamientos, a pesar de la capacitación contra el phishing, y desalientan la búsqueda de ayuda. No es de extrañar que, según el FBI , las pérdidas por el compromiso del correo electrónico comercial (BEC) hayan aumentado en un 1.300 por ciento desde enero de 2015, y ahora suman más de $ 3 mil millones en todo el mundo.

Con estos antecedentes en mente, ¿qué sucede cuando el empleado recibe un mensaje como este?

notificación de inicio de sesión de paypal

Es de destacar que ambos phishing son más accesibles para un lector de lectura que la notificación corporativa de Microsoft, y las llamadas a la acción son menos dramáticas. El phishing de PayPal en particular tiene un logotipo pasable e imita razonablemente el idioma de una alerta de cuenta real.

Un lector más cercano detectaría incongruencias de inmediato: el primer phishing se detectaría al instante. Para el segundo, el dominio del remitente no pertenece a PayPal. Si copia el enlace y lo pega en un editor de texto, el enlace va a un sitio infectado de WordPress en lugar de PayPal, y los números en recuadro con instrucciones parecen extraños. Pero un empleado que recibe 120 correos electrónicos al día no es un lector cercano. Los phishing son «suficientemente buenos».

Una alternativa mas segura

Entonces, ¿cómo lo hacemos mejor? Veamos un correo electrónico de notificación de AirBnB.

En primer lugar, la notificación es breve. Todo el contenido relevante para el usuario se comunica en una sola oración, se hace grande y en negrita para facilitar la lectura por adelantado. Lo que sigue son detalles para que el usuario final autentique la transacción, enumerados en un orden de probable interés descendente para el usuario.

El siguiente es un camino claro para obtener asistencia, expresado en un lenguaje sugerente de una persona en el otro extremo. La última es una breve explicación de por qué el usuario debe considerar la comunicación legítima, con múltiples casos de uso proporcionados para establecer expectativas.

El mito del usuario estúpido.

La discusión de la industria sobre la suplantación de identidad (phishing) y las tasas de clics se centran principalmente en lo horribles e ignorantes que son los usuarios. Las soluciones ofrecidas generalmente se preocupan por restringir la funcionalidad del correo electrónico, los castigos «efectivos» de vergüenza y culpa por hacer clic en el enlace malicioso y la capacitación repetitiva de phishing que no se alinea con la forma en que los usuarios interactúan con el correo electrónico, ni proporciona herramientas adecuadas para responder a correos electrónicos ambiguos, como la plantilla de notificación anterior.

Todo esto es una pérdida de tiempo y presupuesto.

Si una organización tiene un problema de «usuario estúpido», un comienzo más efectivo para abordarlo sería buscar señales de diseño en el entorno de ese usuario. ¿Cuántos correos electrónicos reciben al día, y de ellos, cuántos parecen funcionalmente idénticos? ¿Cuántos no son realmente relevantes o útiles para su trabajo?

Cuando los defensores de la red envían comunicaciones a la empresa, ¿se ven o se sienten como phishing? Si el usuario recibe un correo electrónico incompleto, ¿quién está disponible para ayudarlo? ¿Saben quién es esa persona, si alguien? Al estructurar las cargas de correo electrónico de los empleados de manera que sigan los pasos a continuación, ambos «mejorarán» a un empleado rápidamente y no costarán nada. Los empleados deben por lo tanto:

  • Tener una carga lo suficientemente ligera como para participar de manera crítica en los mensajes.
  • Obtenga comunicaciones corporativas adaptadas a sus requisitos laborales
  • Tenga una manera fácil de autenticar que los remitentes de confianza son quienes dicen ser
  • Ser capaz de obtener ayuda con cero fricción.

Entonces, antes de que las organizaciones participen en más lamentos y crujir de dientes sobre el «usuario estúpido» y el costo de la capacitación y la prevención, piense por un largo tiempo en cómo se produce la comunicación en su empresa, dónde están los puntos débiles y cómo puede optimizar ese flujo de trabajo.

TrickBot agrega un nuevo truco a su arsenal: manipular textos confiables

TrickBot agrega un nuevo truco a su arsenal: manipular textos confiables

TrickBot agrega un nuevo truco a su arsenal: manipular textos confiables

Publicado: 3 de septiembre de 2019 por 
Última actualización: 4 de septiembre de 2019

Los investigadores de Dell Secureworks vieron una nueva característica en TrickBot que le permite alterar las sesiones web de los usuarios que tienen ciertos operadores de telefonía móvil. Según una publicación de blog que publicaron a principios de la semana pasada, TrickBot puede hacer esto «interceptando el tráfico de la red antes de que sea procesado por el navegador de la víctima».

Si recuerdas, TrickBot, un conocido troyano bancario que detectamos como Trojan.TrickBot , nació de los mismos actores de amenaza detrás de Dyreza , el malware que roba credenciales que nuestro propio investigador Hasherazade diseccionó en 2015 . Secureworks nombró a los desarrolladores detrás de TrickBot como Gold Blackburn.

TrickBot saltó a la fama cuando rivalizó con Emotet y se convirtió en la principal amenaza para las empresas en el último trimestre de 2018.

Antes de dar un paso más en su escala evolutiva, TrickBot ya tiene un impresionante repertorio de características, como una inyección web dinámica que usa contra sitios web de instituciones financieras; un módulo de gusanos ; una técnica de persistencia usando la Tarea Programada de Windows; la capacidad de robar datos de Microsoft Outlook , cookies e historial de navegación; los medios para apuntar a los sistemas de punto de venta (PoS) ; y la capacidad de propagarse a través de mensajes de spam y moverse lateralmente dentro de una red afectada a través del explorador EternalBlue, Eternal Romance o EternalChampion.

Ahora, más recientemente, la misma función de inyección web se usa contra los tres principales operadores de telefonía móvil con sede en los Estados Unidos: Verizon Wireless, T-Mobile y Sprint. El aumento para dar cabida a los ataques contra los usuarios de estas compañías se agregó a TrickBot el 5 de agosto, el 12 de agosto y el 19 de agosto, según Dell Secureworks.

¿Cómo funciona el ataque?

Cuando los usuarios de los sistemas afectados deciden visitar sitios web legítimos de Verizon Wireless, T-Mobile o Sprint, TrickBot intercepta la respuesta de los servidores oficiales y la pasa al servidor de comando y control (C&C) de los actores de la amenaza , iniciando su característica de inyección web dinámica. El servidor de C&C luego inyecta scripts, específicamente, scripts HTML y JavaScript (JS), dentro del navegador web del usuario afectado, alterando en consecuencia lo que el usuario ve y no ve antes de que se muestre la página web. Por ejemplo, ciertos textos, indicadores de advertencia y campos de formulario pueden eliminarse o agregarse, dependiendo de lo que los actores de la amenaza estén tratando de lograr.

Los investigadores de Dell Secureworks pudieron capturar pruebas de ciertos cambios que TrickBot realiza en la página original de los sitios de operadores móviles.

Aquí se pueden ver las diferencias, pero los usuarios que no son conscientes y que están iniciando sesión pueden no ser capaces de darse cuenta de que algo anda mal. (Cortesía: Dell Secureworks)

Arriba hay una comparación lado a lado de la página de inicio de sesión de Verizon Wireless antes (imagen de la derecha) y después (imagen de la izquierda) TrickBot manipulado. Además de algunos textos que faltan, observe también nuevos campos agregados, específicamente aquellos que solicitan números PIN.

En el caso de Sprint, el cambio es más sutil y bastante transparente: se muestra un formulario PIN adicional una vez que los usuarios pueden iniciar sesión con éxito con su nombre de usuario y contraseña.

La focalización repentina de los PIN de teléfonos móviles sugiere que los agentes de amenaza utilizando TrickBot están mostrando interés en involucrarse con ciertas tácticas de fraude como el fraude puerto de salida y de intercambio de SIM , según los investigadores.

Un fraude de transferencia ocurre cuando los actores de amenazas llaman al operador de telefonía móvil de su objetivo para solicitar que el número del objetivo sea cambiado o transferido a un nuevo proveedor de red. El intercambio de SIM o el secuestro de SIM funciona de manera similar, pero en lugar de cambiar a un nuevo proveedor, el actor de amenaza solicita una nueva tarjeta SIM al proveedor que puede poner en su propio dispositivo.

Esto provocará que todas las llamadas, MMS y SMS supuestamente se envíen al actor de la amenaza. Y si su objetivo es utilizar la autenticación de dos factores basada en texto (2FA) en sus cuentas en línea, el actor de la amenaza puede interceptar fácilmente los mensajes generados por la compañía para obtener acceso a esas cuentas. Esto da como resultado un fraude de adquisición de cuenta (ATO).

Tal estafa generalmente se realiza cuando los actores de amenazas ya se han apoderado de las credenciales de su objetivo y desean evadir 2FA.

¿Cómo protegerse de TrickBot?

Para no reinventar la rueda, le rogamos, querido lector, que regrese y revise nuestra publicación titulada TrickBot que se hace cargo como la principal amenaza comercial en la que describimos los pasos de remediación que las empresas (y los consumidores por igual) pueden seguir. Esta publicación también tiene una sección sobre medidas preventivas, formas en que uno puede disminuir la probabilidad de infección por TrickBot en los puntos finales, comenzando con campañas regulares de educación y sensibilización de los empleados sobre las últimas tácticas y tendencias sobre el panorama de amenazas.

Tenga en cuenta que Malwarebytes detecta y elimina automáticamente TrickBot sin intervención del usuario.

Creo que puedo haber sido víctima de esto. ¿Ahora que?

La mejor acción es llamar a su operador de telefonía móvil para informar el fraude, bloquear su número y considerar solicitar un nuevo número. También puede informar a los estafadores o estafadores a la FTC .

Continúe y cambie las contraseñas de todas sus cuentas en línea que haya vinculado con su número de teléfono.

También puede considerar el uso de métodos de autenticación más fuertes, como el uso de contraseñas de un solo uso (OTP) 2FA (Authy y Google Authenticator) para cuentas que contienen información extremadamente confidencial sobre usted, sus seres queridos y amigos. y su negocio o empleados.

Habilite un PIN en cuentas móviles.

Por último, familiarícese con las formas en que puede limitar la posibilidad de que un puerto salga o que el ataque de intercambio SIM vuelva a ocurrir. WIRED produjo una historia brillante sobre cómo protegerse contra un ataque de intercambio de SIM, mientras que Brian Krebs en KrebsOnSecurity tiene una pieza sobre cómo luchar contra las estafas de puertos 

5 pasos simples para asegurar a sus empleados remotos

5 pasos simples para asegurar a sus empleados remotos

5 pasos simples para asegurar a sus empleados remotos

Publicado: 4 de septiembre de 2019 por 

Como el trabajo remoto se ha convertido en una práctica estándar, los empleados trabajan desde cualquier lugar y utilizan cualquier dispositivo que puedan para hacer el trabajo. Eso significa conexiones repetidas a redes Wi-Fi públicas no seguras, en una cafetería o bar de jugos, por ejemplo, y mayores riesgos de fugas de datos de dispositivos perdidos, extraviados o robados.

Piénsalo.

Supongamos que su empleado remoto usa su teléfono inteligente personal para acceder a los servicios en la nube de la compañía, donde puede ver, compartir y realizar cambios en documentos confidenciales como hojas de cálculo financieras, presentaciones y materiales de marketing. Digamos que también inicia sesión en el correo electrónico de la empresa en su dispositivo y descarga algunas copias de archivos importantes directamente en su teléfono.

Ahora, imagine lo que sucede si, por accidente, pierde su dispositivo. Peor aún, imagínese si no usa un código de acceso para desbloquear su teléfono, convirtiendo su dispositivo en un tesoro de datos de la compañía sin forma de protegerlo.

Datos recientes muestran que estos escenarios no son solo hipotéticos: son riesgos reales. Según un estudio del Instituto Ponemon , desde 2016 hasta 2018, el número promedio de incidentes cibernéticos que involucran negligencia de empleados o contratistas ha aumentado en un 26 por ciento.

Para comprender mejor los desafíos y las mejores prácticas para las empresas con fuerzas de trabajo remotas, Malwarebytes se asoció con IDG Connect para producir el documento técnico, » Lattes, lunch y VPN: asegurar a los trabajadores remotos de la manera correcta «. En el documento, mostramos cuán moderno las empresas requieren ciberseguridad moderna y cómo la ciberseguridad moderna significa más que solo implementar la última tecnología. También significa implementar la buena gobernanza.

A continuación se presentan algunos consejos prácticos de nuestro informe, que detallan cómo las empresas deben proteger tanto los dispositivos personales como los proporcionados por el empleador, junto con la seguridad del acceso a las redes de la empresa y los servidores en la nube.  

Si desea profundizar y aprender sobre redes segmentadas, VPN, entrenamientos de seguridad y cómo elegir la solución antivirus adecuada, puede leer el informe completo aquí .

1. Proporcione lo que es necesario para que un empleado tenga éxito, tanto en dispositivos como en acceso a datos.

Más dispositivos significan más puntos de acceso, y más puntos de acceso significan más vulnerabilidad. Si bien puede ser tentador ofrecer a cada nuevo empleado las ventajas del último teléfono inteligente, incluso si funcionan de forma remota, debe recordar que no todos los empleados necesitan el último dispositivo para tener éxito en su trabajo.

Por ejemplo, si su equipo de atención al cliente asiste habitualmente a clientes fuera del país, es probable que necesiten dispositivos con planes de llamadas internacionales. Si sus representantes de ventas se reúnen con clientes en el campo, es probable que necesiten dispositivos inteligentes con servicios de GPS y aplicaciones de mapeo. El personal de recepción, por otro lado, podría no necesitar dispositivos inteligentes.

Para garantizar que los datos confidenciales de su empresa no sean accedidos accidentalmente por más dispositivos de los necesarios, proporcione a sus empleados solo los dispositivos que necesitan.

Además, de la misma manera que no todos los empleados necesitan el último dispositivo, tampoco todos los empleados necesitan acceso total a los datos de su empresa y a las cuentas en la nube.

Es probable que su equipo de marketing no necesite acceso general a sus finanzas, y la mayoría de sus empleados no necesitan revisar los informes legales de su empresa, suponiendo que no se encuentre en ningún tipo de situación legal.

En cambio, evalúe qué empleados necesitan acceder a qué datos a través de un modelo de «control de acceso basado en roles» (RBAC) . Los datos más confidenciales solo deben ser accesibles según sea necesario. Si un empleado no utiliza esos datos o la plataforma en la que se comparte, no necesita las credenciales de inicio de sesión para acceder a ellos.

Recuerde, cuantos más dispositivos ofrezca y más acceso tengan los empleados, más fácil será que un tercero o un empleado deshonesto adquiera datos de manera inapropiada. Reduzca el riesgo de datos extraviados y robados al brindar a sus empleados solo las herramientas y el acceso que necesitan.

2. Requerir códigos de acceso y contraseñas en todos los dispositivos provistos por la compañía.

Al igual que usa códigos de acceso y contraseñas para proteger sus dispositivos personales (su computadora portátil, su teléfono inteligente, su tableta), querrá exigir que cualquier empleado que use un dispositivo proporcionado por el empleador haga lo mismo.

Descuidar este simple paso de seguridad produce una vulnerabilidad descomunal. Si un dispositivo no seguro se pierde o es robado, cada persona ajena a la empresa puede acceder a toda la información confidencial almacenada en ese dispositivo, incluida la información de recursos humanos, detalles del cliente, presentaciones e investigaciones.

Si sus empleados también usan plataformas en línea que los mantienen conectados automáticamente, entonces toda esa información también se vuelve vulnerable. Los correos electrónicos de la empresa, los chats de Slack en el horario de trabajo, los documentos creados y compartidos en Dropbox, incluso la información de beneficios de los empleados, podían ser accedidos por error.

Para mantenerse al día con la multitud de aplicaciones de trabajo, software y utilidades basadas en navegador, recomendamos que las organizaciones usen administradores de contraseñas con autenticación de dos factores (2FA). Esto no solo evita que los empleados tengan que recordar docenas de contraseñas, sino que también proporciona un acceso más seguro a los datos de la empresa.

3. Utilice el inicio de sesión único (SSO) y 2FA para los servicios de la empresa.

Como dijimos anteriormente, la pérdida de un dispositivo de la compañía a veces resulta en más que la pérdida de datos almacenados localmente, sino también datos de red y / o basados ​​en la nube a los que puede acceder el dispositivo.

Para limitar esta vulnerabilidad, implemente una solución SSO cuando los empleados quieran acceder a la variedad de sus plataformas disponibles.

El inicio de sesión único ofrece dos beneficios inmediatos. Primero, sus empleados no necesitan recordar una serie de contraseñas para cada aplicación, desde el servicio de solicitud de viajes de la compañía hasta su página de inicio en la intranet. Dos, puede configurar un servicio SSO para requerir una forma secundaria de autenticación, a menudo un mensaje de texto enviado a un dispositivo móvil separado con un código único, cuando los empleados inician sesión.

Al utilizar estas dos funciones, incluso si a su empleado le roban el dispositivo de su compañía, el ladrón no podrá iniciar sesión en ninguna cuenta importante en línea que almacene otros datos confidenciales de la compañía.

Dos de los proveedores de inicio de sesión único más populares para pequeñas y medianas empresas son Okta y OneLogin .

4. Instale capacidades de limpieza remota en dispositivos provistos por la compañía.

Por lo tanto, sus dispositivos requieren contraseñas y los recursos en línea de su empresa también tienen habilitada la autenticación de dos factores. Bueno.

Pero, ¿qué sucede si un empleado se vuelve loco? Las medidas de seguridad anteriores ayudan cuando se roba o se pierde un dispositivo, pero ¿qué sucede cuando la amenaza proviene del interior y ya tienen todas las credenciales necesarias para saquear los archivos de la empresa?

Puede sonar como un caso extremo, pero no tiene que desplazarse hacia abajo en los resultados de búsqueda de Google de «empleado roba datos de la empresa» para saber con qué frecuencia sucede esto.

Para limitar esta amenaza, debe instalar capacidades de borrado remoto en los dispositivos proporcionados por su empresa. Este tipo de software a menudo permite a las empresas no solo borrar un dispositivo que está fuera del alcance físico, sino también localizarlo y bloquear al usuario actual.

Las opciones proporcionadas por el fabricante del teléfono, como Buscar mi iPhone en dispositivos Apple y Buscar mi móvil en dispositivos Samsung, permiten a los propietarios de dispositivos ubicar un dispositivo, bloquear su pantalla y borrar todos los datos almacenados localmente.

5. Implemente las mejores prácticas para una política de Traiga su propio dispositivo (BYOD).

Cuando se trata de trabajadores remotos, la implementación de una política Traiga su propio dispositivotiene sentido. Los empleados a menudo prefieren usar dispositivos móviles y computadoras portátiles que ya saben cómo usar, en lugar de tener que aprender un nuevo dispositivo y quizás un nuevo sistema operativo. Además, los costos de hardware para su negocio son claramente más bajos.

Pero debe conocer los riesgos de que sus empleados solo realicen su trabajo en sus dispositivos personales.

Como dijimos anteriormente, si su empleado pierde un dispositivo personal que usa para almacenar y acceder a datos confidenciales de la compañía, entonces esos datos están en riesgo de robo y uso indebido. Además, cuando los empleados confían en sus máquinas personales para conectarse a redes Wi-Fi públicas y no seguras, pueden ser vulnerables a los ataques de intermediarios , en los que los actores de amenazas invisibles pueden mirar el tráfico que se envía y recibe por su máquina

Además, si bien los costos de hardware para usar BYOD son más bajos, a veces una empresa dedica más tiempo a garantizar que los dispositivos personales de los empleados puedan ejecutar el software requerido, lo que podría disminuir la productividad de su equipo de soporte de TI.

Finalmente, si varias personas utilizan un dispositivo personal, lo que no es raro entre las parejas románticas y los miembros de la familia, un tercero no malintencionado podría acceder, distribuir y eliminar accidentalmente los datos de la empresa.

Para abordar estos riesgos, podría considerar implementar algunas de las siguientes mejores prácticas para los dispositivos personales que usan sus empleados para hacer su trabajo:

  • Requerir el cifrado de todos los datos locales en dispositivos personales.
  • Requerir una contraseña en todos los dispositivos personales.
  • Habilite «Buscar mi iPhone», «Buscar mi móvil» o funciones similares en dispositivos personales.
  • No permitir el jailbreak de dispositivos personales.
  • Cree una lista de dispositivos aprobados para los empleados.

Depende de usted qué prácticas desea implementar. Debe encontrar un equilibrio entre asegurar a sus empleados y preservar la confianza que viene con una política BYOD.

Nuevo malware para iPhone sin precedentes descubierto

Nuevo malware para iPhone sin precedentes descubierto

Nuevo malware para iPhone sin precedentes descubierto

Publicado: 30 de agosto de 2019 por 

Una publicación de Ian Beer de Google Project Zero publicada ayer por la noche envió a la comunidad de seguridad tambaleándose. Según Beer, un pequeño conjunto de sitios web había sido pirateado en febrero y se estaban utilizando para atacar iPhones e infectarlos con malware. Estos sitios, que reciben miles de visitantes por semana, se usaron para distribuir malware iOS durante un período de dos años.

Historial de infecciones de iOS

Históricamente, iOS nunca ha estado completamente libre de malware, pero en su mayoría se ha limitado a uno de dos escenarios: ya sea que rompas tu dispositivo, lo hackees para eliminar las restricciones de seguridad e instales algo malicioso como resultado, o fuiste el objetivo de un adversario de estado nación. Un ejemplo clásico de esto último fue el caso de Ahmed Mansoor , en el que fue atacado con un mensaje de texto en un intento de infectar su teléfono con el malware de la NSO, ahora conocido como Trident .

La dificultad de infectar un iPhone es que requiere algún tipo de vulnerabilidad de día cero (es decir, desconocida para la comunidad de seguridad en el momento de su lanzamiento), y estas vulnerabilidades pueden valer $ 1 millón o más en el mercado abierto. Las compañías como Zerodium los comprarán, pero el uso generalizado de tales vulnerabilidades los «quema», lo que hace más probable que Apple se entere de su existencia y aplique soluciones.

Esto es exactamente lo que sucedió en el caso de Trident: un mensaje de texto torpe a un periodista que ya era cauteloso resultó en tres vulnerabilidades separadas de un millón de dólares que se descubrieron y repararon.

Por lo tanto, las infecciones de malware de iPhone siempre se vieron como problemas que no afectaron a la gente promedio. Después de todo, ¿quién gastaría $ 1 millón o más para infectar a las personas, a menos que la ganancia fuera mayor que el costo potencial? Nunca hubo ninguna garantía, por supuesto, y los hallazgos de Beer han alterado esa sabiduría convencional.

Mecanismo de infección

Según Beer, los sitios web en cuestión «se estaban utilizando en ataques indiscriminados de pozos de agua contra sus visitantes», utilizando 14 vulnerabilidades diferentes en iOS que se combinaron en cinco cadenas de ataque diferentes.

Una cadena de ataque es una serie de dos o más vulnerabilidades que se pueden usar juntas para lograr un objetivo en particular, generalmente la infección del sistema de destino. En tales casos, una de las vulnerabilidades por sí sola no es suficiente para lograr el objetivo, pero la combinación de dos o más lo hace posible.

Entre las vulnerabilidades utilizadas, solo se mencionó que dos todavía eran de día cero en el momento del descubrimiento (CVE-2019-7286 y CVE-2019-7287). Apple corrigió esto en el lanzamiento de iOS 12.1.4 el 7 de febrero. Los 12 restantes no eran días cero en ese momento, lo que significa que ya eran conocidos y Apple ya los había parchado. Las diversas cadenas de ataque fueron capaces de infectar dispositivos que ejecutan iOS 10 hasta iOS 12.1.3.

Sobre el contenido de seguridad de iOS 12.1.4

Para los de mentalidad técnica, Beer ha incluido descripciones excelentes y muy detalladas de cada cadena de ataque. Sin embargo, lo importante es que cada una de estas cadenas de ataque fue diseñada para colocar el mismo implante en el dispositivo, y es ese implante (el malware del iPhone) en el que nos centraremos aquí.

iPhone malware / comportamiento del implante

El implante de malware de iPhone, al que no se le ha dado un nombre, puede escapar del entorno limitado de iOS y ejecutarse como root, lo que básicamente significa que ha pasado por alto los mecanismos de seguridad de iOS y tiene el más alto nivel de privilegios.

El implante se comunica con un servidor de comando y control (C&C) en una dirección IP codificada sobre HTTP sin cifrar. Además de cargar datos en el servidor, también puede recibir varios comandos del servidor.

systemmail  : upload email from the default Mail.app
device      : upload device identifiers
               (IMEI, phone number, serial number etc)
locate      : upload location from CoreLocation
contact     : upload contacts database
callhistory : upload phone call history 
message     : upload iMessage/SMSes
notes       : upload notes made in Notes.app
applist     : upload a list of installed non-Apple apps
keychain    : upload passwords and certificates stored in the keychain
recordings  : upload voice memos made using the built-in voice memos app
msgattach   : upload SMS and iMessage attachments
priorapps   : upload app-container directories from hardcoded list of
                third-party apps if installed (appPriorLists)
photo       : upload photos from the camera roll
allapp      : upload container directories of all apps
app         : upload container directories of particular apps by bundle ID
dl          : unimplemented
shot        : unimplemented
live        : unimplemented

Esta lista de comandos revela una lista aterradora de capacidades. Entre otras cosas, el malware de iPhone es capaz de robar todos los llaveros, fotos, mensajes SMS, mensajes de correo electrónico, contactos, notas y grabaciones. También puede recuperar el historial completo de llamadas, y es capaz de hacer un monitoreo en tiempo real de la ubicación del dispositivo.

También incluye la capacidad de obtener las transcripciones de chat no cifradas de varios de los principales clientes de mensajería cifrada de extremo a extremo , incluidos Mensajes, Whatsapp y Telegram. Deja que eso se hunda por un minuto. Si está infectado, todos los mensajes cifrados no solo son recopilados por el atacante, sino que se transfieren en texto claro a través de Internet.

¿Qué hago ahora? 😱

La mala noticia es que aún no sabemos qué sitios web se vieron afectados, por lo que es imposible saber quién pudo haber sido infectado con este misterioso malware de iPhone. Eso está causando una gran cantidad de miedo entre los conscientes del problema.

Afortunadamente, no hay necesidad de entrar en pánico en este momento. Estas vulnerabilidades han sido parcheadas desde hace bastante tiempo. Además, el implante es realmente incapaz de permanecer persistente después de un reinicio. Esto significa que cada vez que se reinicia un iPhone infectado, como cuando se instala una actualización de iOS, por ejemplo, se retira el implante. (Por supuesto, un dispositivo vulnerable siempre se puede volver a infectar visitando un sitio afectado).

Debido a esto, cualquier dispositivo que ejecute iOS 12.1.4 no solo es inmune a estos ataques particulares, sino que tampoco puede infectarse más, debido al reinicio al instalar 12.1.4 (o posterior). Es poco probable que alguien siga infectado en este momento, a menos que nunca actualice o reinicie su teléfono. Si le preocupa que pueda estar infectado, simplemente instale la última actualización de iOS, que también reiniciará el teléfono y eliminará el malware, si está presente.

Si tiene un teléfono que sospecha que podría estar infectado, parece que hay una prueba fácil para ver si es así, pero tendría que hacerlo antes de reiniciar, ya que el malware debe estar activo. (Descargo de responsabilidad: sin tener una copia del implante, no he podido verificar esto personalmente ni encontrar a nadie más que haya podido hacerlo).

Primero, conecte el dispositivo afectado a una Mac a través de un cable Lightning (o, en el caso de un iPad Pro, USB-C).

A continuación, abra la aplicación Consola en la Mac, que se encuentra en la carpeta Utilidades en la carpeta Aplicaciones.

En la consola, ubique el teléfono en la lista Dispositivos y selecciónelo.

En este punto, verá que los mensajes de registro del dispositivo iOS comienzan a desplazarse en el panel de la derecha. Aunque la consola no le mostrará mensajes pasados, si monitorea, dentro de los 60 segundos o menos, un dispositivo iOS infectado debe generar mensajes que contengan ciertas frases, como «uploadDevice», «postFile success» y «timer trig.» se puede encontrar una lista de posibles cadenas para buscar en el desmontaje del implante de Beer ; en cualquier lugar, el código muestra un comando NSLog, que representa un mensaje que se repetirá en el registro.

¿Quién fue afectado?

En este punto, es imposible saber quién es responsable o quién fue infectado, sin más información, como los nombres de los sitios comprometidos.

El artículo de Beer comienza diciendo que el malware no se dirigió a personas específicas:

Los sitios pirateados se estaban utilizando en ataques indiscriminados de pozos de agua contra sus visitantes, usando iPhone 0-day.  

No hubo discriminación objetivo; simplemente visitar el sitio pirateado fue suficiente para que el servidor exploit ataque su dispositivo, y si tuvo éxito, instale un implante de monitoreo.

Ian Beer, https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html

Esto deja las cosas un poco abiertas a la interpretación. Ciertamente parece que el malware no estaba dirigido a individuos. Sin embargo, eso no significa necesariamente que no fue dirigido.

Como ejemplo, en los ataques a los pozos de agua utilizados en los recientes ataques contra Coinbase y otras compañías de criptomonedas, usando un día cero de Firefox, muchas personas visitaron la página que contiene el exploit. Sin embargo, solo un puñado fue seleccionado por los scripts maliciosos para ser infectados.

Claramente, ese tipo de focalización no ocurrió en este caso. Sin embargo, eso no significa necesariamente que el ataque no haya sido dirigido a un grupo particular de personas que probablemente visiten los sitios pirateados. De hecho, ese es el modus operandi típico para un ataque a un pozo de agua: un sitio que probablemente sea visitado por el grupo objetivo se ve comprometido y se utiliza para propagar malware. Tal cosa sucedió en 2013, cuando los atacantes comprometieron un sitio web de desarrolladores con un exploit basado en Java, infectando a los desarrolladores de muchas compañías importantes, incluida Apple, con el malware OSX .

Cerca del final del artículo, dice:

La realidad sigue siendo que las protecciones de seguridad nunca eliminarán el riesgo de ataque si estás siendo atacado. Ser objetivo podría significar simplemente haber nacido en una determinada región geográfica o ser parte de un determinado grupo étnico. 

Ian Beer, https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html

Algunos han interpretado esto como una pista de que las personas dentro de una determinada región o grupo étnico fueron blanco de este ataque, pero mi lectura es que esto es simplemente un consejo general sobre lo que significa que alguien sea «objetivo», en el contexto más amplio de discusión sobre el malware dirigido contra el no dirigido.

Mi opinión personal, que bien podría estar equivocada, es que es probable que se trate de un ataque dirigido contra un grupo particular de personas, y que probablemente fue el trabajo de un estado-nación. China ha utilizado con frecuencia técnicas como ataques de pozos de agua, cargas selectivas en documentos de Microsoft Word y campañas de correo electrónico dirigidas con archivos adjuntos maliciosos contra el pueblo uigur.

No pretendo dar a entender que China sea el culpable, ya que eso no puede conocerse con la información actualmente disponible. Este es simplemente un ejemplo para señalar que este podría ser un incidente similar, perpetrado por un país que está utilizando técnicas similares. Por otra parte, también puede no ser. El tiempo con suerte lo dirá.

Trascendencia

Aunque la amenaza de este incidente en particular ha pasado, esta fue una revelación reveladora. Finalmente, nada ha cambiado realmente. Este tipo de ataque siempre fue una posibilidad; simplemente no había sucedido todavía. Ahora que lo ha hecho, la gente no verá el iPhone de la misma manera.

Sigo pensando que el iPhone es el teléfono más seguro del planeta (sin contar los dispositivos oscuros o clasificados que solo son seguros porque pocas personas los tienen). Sin embargo, siempre hay vulnerabilidades, y es muy posible que este tipo de ataque pueda estar ocurriendo en este momento, en otro lugar, contra la versión actual de iOS.

También vale la pena señalar que la mayoría de estas vulnerabilidades no eran realmente días cero en el momento de su descubrimiento. Muchas personas nunca actualizan sus dispositivos y, como resultado, los días cero no siempre son necesarios. Siempre se recomienda actualizar a la última versión de iOS, y habría protegido contra todas las cadenas de ataque menos una hasta el 7 de febrero, y todas ellas después.

La naturaleza extremadamente cerrada de iOS significa que cuando aparece un malware como este, no hay forma de que las personas sepan si sus dispositivos están infectados o no. Si este malware fuera capaz de permanecer persistente, y si no filtrara cadenas en los registros, sería más difícil identificar si un iPhone estaba infectado, y esto conduciría a situaciones peligrosas.

Aunque Apple no permite el software antivirus en iOS, es necesario que haya algún medio para que los usuarios verifiquen sus dispositivos en busca de amenazas conocidas. ¿Quizás algo relacionado con dispositivos desbloqueados conectados por cable a máquinas confiables? Si tal cosa fuera posible, este ataque probablemente no hubiera pasado desapercibido durante dos años.

Estudio explora el problema de clickjacking en los principales sitios web clasificados en Alexa

Estudio explora el problema de clickjacking en los principales sitios web clasificados en Alexa

Estudio explora el problema de clickjacking en los principales sitios web clasificados en Alexa

Publicado: 27 de agosto de 2019 por 

Clickjacking ha existido durante mucho tiempo, trabajando de la mano con la persona involuntaria que hace el clic para enviarlos a partes desconocidas, a menudo a expensas de los propietarios del sitio. Los estafadores logran esto al ocultar el objeto de página que la víctima cree que está haciendo clic debajo de una capa (o capas) de ofuscación. Elementos invisibles de la página, como botones, cuadros translúcidos, marcos invisibles y más, son algunas de las formas en que puede producirse este ataque.

A pesar de ser una herramienta antigua, el clickjacking se está convirtiendo en un problema que empeora en la web. Exploremos cómo funciona el clickjacking, la investigación reciente sobre el clickjacking, incluidos los resultados de un estudio que examinó los 250,000 sitios web principales clasificados en Alexa, y otras formas en que los investigadores y los propietarios de sitios están tratando de proteger mejor a los usuarios de este tipo de ataque.

Sentar las bases

Hay muchos objetivos de clickjacking. 

Cursores, cookies, archivos, incluso sus redes sociales. Tradicionalmente, una gran cantidad de clickjacking se relaciona con anuncios y ganancias fraudulentas. En los primeros días de los programas de publicidad en línea, ciertas palabras clave que generaron grandes ganancias por clics se convirtieron en objetivos populares para los estafadores. Cuando no pudieran hacer que las personas hicieran clic involuntariamente en un anuncio, intentarían automatizar el proceso.

Aquí hay un ejemplo de 2016, que se reproduce en los mensajes de la ley europea de cookies aparentemente interminables en todos los sitios web. Haga estallar un anuncio legítimo, hágalo invisible y superpongalo en una ventana emergente Cookie. En ese momento, es tiempo de publicidad no intencional.

Esto no quiere decir que las técnicas de clickjacking estén estancadas; Aquí hay un buen ejemplo de cómo estos ataques son difíciles de manejar.

Clickjacking: de vuelta en la moda

Hay mucha actividad relacionada con el clickjack en este momento, por lo que los investigadores publican sus trabajos y ayudan a otros a tomar medidas para asegurar los navegadores.

Una de esas piezas de investigación se llama Todos sus clics me pertenecen: investigar la intercepción de clics en la web , centrándose en el acceso a URL centrado en JavaScript. Esperaba que la grabación de la charla del Simposio de seguridad de USENIX estuviera disponible para enlazar en este blog, pero aún no está en línea todavía; cuando lo esté, la agregaré. La charla se trata de construir una forma de observar la posible actividad de clickjack en algunos de los sitios web más populares del mundo y de informar sobre los hallazgos.

Los investigadores de una amplia variedad de ubicaciones y organizaciones agruparon recursos y crearon algo llamado «Observer», una versión personalizada de Chromium, el navegador de código abierto. Con él, esencialmente pueden ver bajo el capó de la actividad web y decir de un vistazo el punto de origen de las URL de cada enlace.

Según el trabajo de investigación, Observer se centra en tres acciones que el código JavaScript puede realizar para interceptar un clic:

  • Modificar enlaces existentes en una página
  • Crear nuevos enlaces en una página
  • Registrar controladores de eventos en elementos HTML para «enganchar» un clic

Todos estos eventos se identifican y etiquetan con una identificación única para cualquier secuencia de comandos que dio vida al proceso, junto con la navegación de la página de registro para registrar con precisión dónde un clic interceptado intenta dirigir a la víctima.

Observer registra dos estados de cada página web probada: la página se procesó completamente hasta un límite de tiempo de 45 segundos, y luego los datos de interacción, donde esencialmente ven lo que hace un sitio cuando se usa. También comprueba si los clics del usuario actualizan los elementos originales de alguna manera.

Algunas de las técnicas específicas que observa Observer:

  • Trucos de engaño visual de terceros, ya sean considerados maliciosos o accidentales. Esto se desglosa en elementos de la página que parecen ser del sitio, pero que simplemente imitan el contenido. Una barra de navegación falsa en una página de inicio es un buen ejemplo de esto. También profundizan en la técnica increíblemente común de las superposiciones transparentes, una de las favoritas de los clickjackers en todo el mundo.
  • Intercepción de hipervínculos. Los scripts de terceros pueden sobrescribir el atributo href de un enlace original al sitio web y realizar un clickjack. Detectan esto, además de estar atentos a los dudosos scripts de terceros que realizan esta acción en scripts legítimos de terceros ubicados en el sitio web. Observer también busca otro truco común: elementos grandes en los que se puede hacer clic en una página, donde cualquier interacción con el elemento encerrado está completamente bajo su control.
  • Interceptor de controlador de eventos. Todo lo que haces en un dispositivo es un evento. Los controladores de eventos son rutinas que existen para lidiar con esos eventos. Como puede imaginar, este es un gran camino para que los estafadores realicen algunas travesuras de clickjacking. Observer busca llamadas API específicas y algunas otras cosas para determinar si se está haciendo clic. Al igual que con el truco del elemento grande en el que se puede hacer clic arriba, busca elementos grandes de terceros.

Resultados del estudio

Observer rastreó los principales 250,000 sitios web de Alexa desde mayo de 2018, terminando con datos válidos del 91.45 por ciento de los sitios que verificaron contabilizando tiempos de espera y errores similares. De 228,614 sitios web, terminaron con 2,065,977 URL de navegación de terceros únicos correspondientes a 427,659 dominios únicos, con un promedio de 9.04 URL de navegación de terceros que apuntan a 1.87 dominios.

Al verificar los tres tipos principales de ataques enumerados anteriormente, encontraron no menos de 437 scripts de terceros que interceptan los clics de los usuarios en 613 sitios web. Colectivamente, esos sitios reciben alrededor de 43 millones de visitantes diariamente. Además, una buena parte de los sitios estaban trabajando deliberadamente con guiones dudosos con el fin de monetizar los clics robados, con el 36 por ciento de las URL de intercepción relacionadas con la publicidad en línea.

El documento completo es una lectura fascinante, y vale la pena buscarlo en [ PDF ].

Planes para el futuro

Los investigadores señalan que hay margen de mejora con su análisis, esto es más un asunto de «conocerte» que una inmersión profunda total. Por ejemplo, con tantos sitios para mirar, solo miran la página principal para su análisis. Si hubiera desagradables al acecho en las subpáginas, no lo habrían visto.

También señalan que su interacción con el sitio web con guión probablemente no es cómo la gente real de carne y hueso usaría los sitios web. De todos modos, este es un trabajo fenomenal y un gran componente para futuros estudios.

¿Qué más está pasando en clickjacking?

Fuera de las conferencias y documentos de investigación, también se dice que una sugerencia de tres años para combatir el clickjacking iFrame ha sido revivida y ampliada para Chrome . En otros lugares, Facebook está demandando a los desarrolladores de aplicaciones por fraude de inyección de clics.

Como puede ver en una revisión informal de las noticias de Google / Yahoo, el clickjacking no es un tema que quizás se cubra con la frecuencia que debería. Sin embargo, sigue siendo un gran problema, genera ganancias masivas para las personas que no son buenas y merece acaparar parte de la atención de vez en cuando.

¿Cómo puedo evitar el clickjacking?

Esto es muy interesante para reflexionar, ya que esto no es sólo una cosa de los usuarios finales. Los propietarios de sitios web también deben hacer su parte para garantizar que los visitantes estén sanos y salvos en sus viajes [ 1 ], [ 2 ], [ 3 ]. En cuanto a las personas que se sientan detrás de sus teclados, el consejo es muy similar a otras medidas de seguridad.

Dada la  cantidad de clics que se basa en el efectivo publicitario falso, considere con qué nivel de exposición a los anuncios se siente cómodo. Implementar una combinación de bloqueadores de anuncios y extensiones de control de script , especialmente en lo que respecta a JavaScript, funcionará de maravilla.

Sin embargo, esos complementos podrían romper fácilmente la funcionalidad de ciertos sitios web, y eso es antes de que dejemos de considerar que muchos sitios ni siquiera le darán acceso si los anuncios están bloqueados por completo. Todo se reduce, como suele suceder, a las redes publicitarias que libran una guerra en su escritorio . Lo bien que le vaya frente a los riesgos potenciales del clickjacking podría depender exactamente de dónde coloca su bandera con respecto al acceso del anunciante a su sistema.

Elija lo que elija, le deseamos una navegación segura y una clara falta de clickjacking. Con suerte, veremos más investigaciones y soluciones propuestas para combatir este problema en el futuro cercano.

El negocio lucrativo de las estafas de sextortion de Bitcoin

El negocio lucrativo de las estafas de sextortion de Bitcoin

El negocio lucrativo de las estafas de sextortion de Bitcoin

Publicado: 22 de agosto de 2019 por 
Última actualización: 21 de agosto de 2019

Después de un período tranquilo después de un aumento a finales de 2018 hasta principios de 2019 , el esquema de chantaje en línea conocido como estafas de sextortion está de vuelta en el radar y en aumento .

Según un informe de Digital Shadows , una empresa líder en ciberseguridad con sede en el Reino Unido que monitorea amenazas potenciales contra las empresas, hay varios recursos disponibles para alentar a los delincuentes novatos a una vida de extorsión. Estos recursos incluyen: acceso a credenciales filtradas de infracciones pasadas, herramientas y tecnologías que ayudan a crear campañas, capacitación de extorsionistas en línea y un tesoro de guías de extorsión de bricolaje que existen en la web oscura.

El informe también encuentra que estos extorsionistas y cómplices incipientes son incentivados con altos salarios si pueden enganchar objetivos de altos ingresos, como médicos, abogados o ejecutivos de empresas, información que se puede obtener al buscar en los perfiles de LinkedIn u otras cuentas de redes sociales. .

Con una serie de formas creativas para extraer dinero de los usuarios de Internet, el alto potencial de un pago considerable y muchas manos de delincuentes profesionales, no deberíamos esperar que las estafas de sextortion en línea se detengan (permanentemente) en el corto plazo. Simplemente pregúntele al Príncipe nigeriano qué tan bien va su retiro.

Para ver qué motiva a los actores de amenazas a adoptar estafas de sextortion como parte de su repertorio criminal, hicimos lo que hacen todos los buenos detectives cuando intentan abrir un caso: seguimos el dinero. Descubra lo que descubrimos en el camino iniciado por una sola campaña de sextortion.

El spam

Pudimos determinar varios esquemas de sextortion de Bitcoin que se implementan en la naturaleza, pero para esta publicación, analizamos su forma de distribución más común: correo no deseado.

El correo electrónico de sextortion, con su mensaje incrustado como un archivo de imagen, una táctica común para evitar los filtros de spam.

El texto completo de este correo electrónico dice:

Hola, esta cuenta ahora está pirateada! ¡Cambia tu contraseña ahora mismo! 
No has oído hablar de mí y es probable que no te sorprenda por qué razón estás leyendo esta carta, ¿verdad? 
Soy un hacker que descifró su casilla de correo electrónico y dispositivos no hace mucho tiempo. 
No debe intentar ponerse en contacto conmigo o tratar de encontrarme, es inútil, ya que le envié este mensaje usando SU cuenta que he pirateado. 
Configuré un programa especial en el sitio de videos para adultos (porno) y supongo que disfrutaste este sitio para pasar un buen rato (entiendes lo que quiero decir). 
Cuando ha estado viendo videos, su navegador de Internet comenzó a actuar como un RDP (Control Remoto) que tiene un keylogger que me otorgó la capacidad de acceder a su escritorio y cámara web.
En consecuencia, mi información de softwareobtainedall. 
Has escrito contraseñas en los recursos en línea que visitaste, ya las capté. 
Por supuesto, podría cambiarlos, o tal vez ya los haya cambiado. 
Pero no importa, mis actualizaciones de malware siempre necesitan datos. 
¿Qué he hecho realmente? 
Genere una copia de seguridad de todos sus sistemas. De todos los archivos y contactos personales. 
Formé una grabación de video de doble pantalla. La primera pantalla muestra la película que estabas viendo (tienes muy buen gusto, jaja …), y la segunda pantalla muestra la película desde tu cámara web. 
Que deberias hacer
Genial, en mi opinión, 1000 USD será un precio razonable por tu pequeño secreto. Hará su depósito por bitcoins (si no reconoce esto, busque «cómo comprar bitcoin» en Google). 
Mi dirección de billetera bitcoin: 
163qcNngcPxk7njkBGU3GGtxdhi74ycqzk 
(es sensible a cAsE, así que solo cópielo y péguelo). 
Advertencia: 
tiene 2 días para realizar el pago. (Tengo un píxel exclusivo para este correo electrónico, y en este momento entiendo que has leído este correo electrónico). 
Para controlar la lectura de un membrete las acciones en él, instalé un píxel de Facebook. Gracias a ellos. (Cualquier cosa que se use para las autoridades puede ayudarnos). En el caso de que no obtenga bitcoins, sin duda ofreceré sus archivos de video a cada uno de sus contactos, incluidos familiares, colegas, etc.
 

Hay muchas variaciones de este contenido de spam, pero todas siguen una plantilla similar: hemos pirateado su cuenta, tenemos pruebas en video de que visita sitios pornográficos y ve contenido sexual, y ahora exigimos el pago o publicaremos el video de ti al público. De hecho, Talos Security Intelligence & Research Group de Cisco pudo recuperar una plantilla de correo electrónico no deseado , que según dijeron los extorsionistas enviaron por error a sus objetivos.

La Electronic Frontier Foundation (EFF) también mantiene un registro actualizado de variantes de mensajes de sextortion de Bitcoin que puede consultar en esta publicación de blog .

A medida que seguimos el dinero en esta investigación, la única información relevante que necesitábamos del correo electrónico de sextortion era la dirección de Bitcoin, que en este caso es 163qcNngcPxk7njkBGU3GGtxdhi74ycqzk . Este es nuestro punto de partida.

La investigación

Para comprender mejor los próximos pasos en nuestra investigación, los lectores primero deben comprender los conceptos básicos de cómo funcionan la criptomoneda y la cadena de bloques.

El papel moneda y las monedas son para el mundo real y material, como lo es la moneda digital para el mundo electrónico en línea.

Bitcoin es una de las miles de monedas digitales disponibles en línea hasta la fecha. Específicamente, es una moneda virtual, porque es controlada por sus creadores y utilizada y adoptada por una comunidad virtual, y al mismo tiempo una criptomoneda, porque utiliza algoritmos de cifrado y esquemas criptográficos fuertes para garantizar su resistencia a la falsificación y al criptoanálisis.

La cadena de bloques, como su nombre lo indica, es una colección de bloques de datos que están unidos para formar una cadena. Este sistema, comúnmente comparado con un libro mayor, es utilizado por varias criptomonedas: Bitcoin es una de ellas. Cada bloque en una cadena contiene información sobre múltiples transacciones. Y cada transacción tiene un ID de transacción, o TXID. Debido a la forma en que las billeteras y los sitios de criptomonedas registran las entradas de Bitcoin en las direcciones, un solo TXID puede contener múltiples entradas en su registro.

Si bien los libros de contabilidad del mundo real son privados y exclusivos solo para organizaciones e individuos que mantienen registros financieros, la cadena de bloques en la que opera Bitcoin no lo es. Esto facilita que cualquiera, incluidos los investigadores de seguridad, busque transacciones de criptomonedas en línea utilizando herramientas disponibles públicamente, como un explorador de bloques.

En un bloque de Bitcoin, la información de la transacción incluye al remitente y al receptor, todos identificados por las direcciones de Bitcoin, y el monto pagado en Bitcoin.

Tenga en cuenta estos conceptos a medida que volvemos a la campaña de sextortion y navegamos por las trincheras de las transacciones de Bitcoin.

Ir con el flujo (Bitcoin a través de blockchain)

La dirección de Bitcoin en nuestro correo electrónico de sextortion , 163qcNngcPxk7njkBGU3GGtxdhi74ycqzk , en realidad tiene un pequeño historial de transacciones.

El breve historial de transacciones de 163qcNngcPxk7njkBGU3GGtxdhi74ycqzk

Sin embargo, pudimos observar más de cerca estas transacciones y descubrir direcciones adicionales, lo que nos permitió conocer mejor esta campaña en particular.

De acuerdo con de TXID 94c86a55bb3081312d6020e67202e8c93a43d897f4a289cc655c0e9e6d9e31b4 , el saldo de 0.25924622 BTC fue enviado a otra dirección Bitcoin, 3HXdb3HAw1wVzU9b7ZSigvGaStd8KoZ3zJ el 13 de marzo de 2019. Durante ese tiempo, este valor BTC era un valor aproximado de $ 1.000, que es la cantidad demandada en el correo electrónico rescate.

Este TXID también contiene 23 entradas adicionales de otras direcciones de Bitcoin, que probablemente también estén bajo el control de los mismos actores detrás de la campaña de distorsión sexual, a 3HXdb3HAw1wVzU9b7ZSigvGaStd8KoZ3zJ . Naturalmente, todos los valores de BTC de estas entradas se combinaron, totalizando 4.16039634 BTC (aproximadamente US $ 16,100 al momento de la investigación).

2 Las 24 entradas totales de otras direcciones de Bitcoin en un TXID. Tenga en cuenta que la mayoría de los valores de entrada son similares a los actores de demanda de rescate extorsionados de los objetivos.

Mirando de cerca a 3HXdb3HAw1wVzU9b7ZSigvGaStd8KoZ3zJ , descubrimos que tiene otras 11 transacciones que siguen un patrón similar al de la transacción que acabamos de revisar .

3HXdb3HAw1wVzU9b7ZSigvGaStd8KoZ3zJ y su historial de transacciones. Aquí se destaca el TXID 94c86a55bb3081312d6020e67202e8c93a43d897f4a289cc655c0e9e6d9e31b4 antes mencionado.

Podemos confirmar que cada una de estas transacciones contiene fondos extorsionados. Tomemos, por ejemplo, TXID b8ae16d604947f67d2b27774e6cfa7afcdb7ede651bdd539b5a5dc555be302aa :

Entradas dentro de TXID b8ae16d604947f67d2b27774e6cfa7afcdb7ede651bdd539b5a5dc555be302aa

Se ha informado que todas las direcciones de Bitcoin en este TXID están asociadas con actividades delictivas en Bitcoin-Spam , una base de datos pública de direcciones de cifrado utilizadas por piratas informáticos y delincuentes. Aquí hay enlaces a sus respectivos informes de estafa y la cantidad de dinero que recibieron según el precio de Bitcoin al momento de escribir esto:

El análisis posterior a la dirección de consolidación se vuelve difícil a medida que los ladrones comienzan un proceso de lavado para ocultar sus ganancias ilícitas al dividir y mezclar los fondos robados.

Esta campaña de estafa en particular parece haber sido más activa entre el 1 de febrero de 2019 y el 13 de marzo de 2019, recaudando un total de 21.6847451 BTC, que es un poco más de US $ 220,000 a los tipos de cambio actuales.

Dinero dinero dinero

Cuando se trata de estafas de sextortion por correo electrónico, es suficiente decir que, desafortunadamente, los negocios son increíblemente buenos . Si bien la simplicidad y la rentabilidad de la estafa pueden servir como una invitación para los posibles delincuentes, cuanto más usuarios se den cuenta del esquema, menos estaremos cubriendo los bolsillos de los malos con nuestra criptomoneda.

Pero lo más importante, esta debería ser una llamada de atención para los usuarios. Mucha gente, incluso aquellos que se consideran conocedores de Internet, están cayendo o son sacudidos por los mensajes de extorsión, especialmente aquellos correos electrónicos que usan contraseñas antiguas para asustar a las personas inocentes para que se separen de su dinero.

Si usted o alguien que conoce puede haber recibido correos electrónicos de distorsión sexual, sepa que es muy probable que no lo estén mirando . Lo que los actores de amenazas describen en sus correos electrónicos no está ocurriendo realmente.

Además, no se asuste. Haga su debida diligencia y cuentas seguras que se hayan visto afectadas por incumplimientos masivos en el pasado (si aún no lo ha hecho). Y, por último, si desea hacer el menor salto posible, simplemente elimine el correo electrónico y archívelo en su mente como spam inofensivo

Una semana en seguridad informatica (del 12 al 18 de agosto)

Una semana en seguridad (del 12 al 18 de agosto)

Una semana en seguridad (del 12 al 18 de agosto)

Publicado: 19 de agosto de 2019 por 

La semana pasada en Malwarebytes Labs, analizamos las posibles dificultades de la tecnología de reconocimiento facial , analizamos las formas en que los sobrevivientes de abuso doméstico pueden asegurar sus datos y exploramos el panorama de amenazas educativas . También iniciamos una serie que analizaba la cadena de infección Hidden Bee , y pusimos las instalaciones de QxSearch bajo el foco de atención .

Otras noticias de ciberseguridad

Troyanos y Ransomware dominan el panorama de amenazas educativas en 2018-2019

Troyanos y ransomware dominan el panorama de amenazas educativas 2018-2019

Troyanos y ransomware dominan el panorama de amenazas educativas 2018-2019

Publicado: 14 de agosto de 2019 por 
Última actualización: 13 de agosto de 2019

De cara al nuevo año escolar, sabemos que las instituciones educativas tienen mucho de qué preocuparse. Asignaciones de maestros. Programa de desarrollo. Recopilación de suministros. Preparando aulas.

Pero un problema debería ser la preocupación de los administradores escolares y las juntas de educación más que la mayoría: proteger sus redes contra el cibercrimen.

En el año escolar 2018-2019, la educación fue el objetivo principal para el 
malware troyano , la categoría de amenaza número uno más detectada (y por lo tanto más generalizada) para todas las empresas en 2018 y principios de 2019 . El adware y el ransomware también se sintieron particularmente atraídos por el sector educativo el año pasado, convirtiéndose en su primer y segundo objetivo más deseado entre las industrias, respectivamente.

Para analizar mejor estas amenazas, extrajimos la telemetría en instituciones educativas de nuestros productos comerciales, así como de los rangos de IP que se conectan desde dominios .edu a nuestros productos de consumo. Lo que descubrimos fue que de enero a junio de 2019, el adware, los troyanos y las puertas traseras fueron las tres amenazas más comunes para las escuelas. De hecho, el 43 por ciento de todas las detecciones educativas eran adware, mientras que el 25 por ciento eran troyanos. Otro 3 por ciento eran puertas traseras.

Entonces, ¿qué nos dice esto que esperamos para el año escolar 2019–2020? Por un lado, las instituciones educativas deben prepararse para un ataque continuo de ciberataques, ya que los elementos que los hicieron atractivos para los delincuentes no han cambiado. Sin embargo, lo que es más importante, al examinar las tendencias en el delito cibernético y considerar soluciones a las debilidades que los hicieron susceptibles a los ataques, las escuelas pueden expulsar a los actores de amenazas problemáticas de sus redes para siempre.

¿Por qué educación?

Seguramente hay objetivos más rentables para los cibercriminales que la educación. La tecnología y las finanzas tienen presupuestos exponencialmente más grandes que podrían aprovecharse a través de grandes demandas de rescate. Las operaciones y los datos de atención médica son fundamentales para la atención al paciente: la pérdida de cualquiera de los dos podría ocasionar la pérdida de vidas.

Pero los ciberdelincuentes son oportunistas: si ven un objetivo fácil maduro con datos valiosos, se aprovecharán. ¿Por qué gastar el dinero y el tiempo desarrollando código personalizado para vectores de ataque sofisticados cuando prácticamente pueden atravesar una puerta abierta hacia las redes escolares?

Hay varios factores clave que se combinan para hacer que las escuelas sean objetivos fáciles. La primera es que la mayoría de las instituciones pertenecientes al sector educativo, especialmente las de educación pública, luchan con la financiación. Por lo tanto, la mayoría de su presupuesto se difiere al plan de estudios básico y no a tanta seguridad. La contratación de personal de TI y seguridad, la capacitación en mejores prácticas y la compra de herramientas y programas de seguridad robustos son a menudo una idea de último momento.

El segundo es que la infraestructura tecnológica de las instituciones educativas está desactualizada y es fácilmente penetrada por los cibercriminales. Hardware y sistemas operativos heredados que ya no son compatibles con parches. Software escolar personalizado y sistemas de gestión de aprendizaje (LMS, por sus siglas en inglés) que llevan mucho tiempo pendientes de actualizaciones. Enrutadores Wi-Fi que funcionan con contraseñas predeterminadas. Cada uno de estos hace que las escuelas sean aún más vulnerables a los ataques.

Agregando insulto a las lesiones, las redes escolares están en riesgo porque los estudiantes y el personal se conectan desde dispositivos personales (que pueden haber sido liberados) tanto en las instalaciones como en el hogar. Con una lista rotativa de nuevos estudiantes y, a veces, personal cada año, hay una superficie de ataque más grande y abierta para que los delincuentes se infiltran. De hecho, descubrimos que los dispositivos que se conectan a la red escolar (frente a los dispositivos propiedad de la escuela) representaron 1 de cada 3 compromisos detectados en el primer semestre de 2019.

Para complicar las cosas, los propios estudiantes a menudo piratean el software escolar por puro aburrimiento o ejecutan ataques DDoS para poder cerrar Internet e interrumpir el día escolar. Cada infiltración solo amplía el perímetro de defensa, haciendo que sea casi imposible para aquellos en educación proteger a sus estudiantes y a sí mismos de los ataques cibernéticos que seguramente vendrán.

Y con un acceso tan fácil, ¿qué persiguen exactamente los delincuentes? En una palabra: datos. Las escuelas recopilan y almacenan datos valiosos y confidenciales sobre sus hijos y miembros del personal, desde alergias y trastornos del aprendizaje hasta calificaciones y números de seguridad social. Esta información es muy solicitada por los actores de amenazas, que pueden usarla para mantener las escuelas en busca de rescate o para vender con altos márgenes de ganancia en el mercado negro (los datos que pertenecen a los niños generalmente obtienen un precio más alto).

Amenazas escolares: una mirada más cercana

El adware representó el mayor porcentaje de detecciones en dispositivos escolares en el primer semestre de 2019. Muchas de las familias detectadas, como SearchEncrypt, Spigot y IronCore, se anuncian como motores de búsqueda centrados en la privacidad, complementos de Minecraft u otras herramientas de enseñanza legítimas. En cambio, bombardean a los usuarios con anuncios emergentes, barras de herramientas y redireccionamientos de sitios web. Aunque no es tan dañino como los troyanos o el ransomware, el adware debilita un sistema de defensa ya débil.

El siguiente son los troyanos, que ocuparon una cuarta parte de las detecciones de amenazas en los puntos finales de la escuela en el primer semestre de 2019. En 2018, los troyanos fueron el tema de conversación de la ciudad, y las detecciones de esta amenaza en las organizaciones aumentaron en un 132 por ciento ese año.

Aunque todavía estaba bastante activo en la primera mitad de 2019, vimos que las detecciones de troyanos disminuyeron un poco durante el verano, dando paso a una avalancha de ataques de ransomware . De hecho, los ataques de ransomware contra organizaciones aumentaron un impactante 365 por ciento del segundo trimestre de 2018 al segundo trimestre de 2019. Queda por ver si esto es un indicio de un cambio de táctica a medida que avanzamos hacia el otoño o unas breves vacaciones de verano de los troyanos.

Las dos principales familias de troyanos en educación son las mismas que han estado causando dolores de cabeza a organizaciones de todo el mundo: Emotet y TrickBot. Emotet lidera las detecciones de troyanos en todas las industrias, pero ha crecido a un ritmo acelerado en educación. En H1 2019, Emotet fue el quinto más predominante amenaza identificada en las escuelas, pasando de 11 ª posición en 2018. Mientras tanto TrickBot , primo intimidación de Emotet, representa el mayor tipo de detección en la educación entre los troyanos, tirando en casi un 6 por ciento de todos compromisos identificados.

Emotet y TrickBot a menudo trabajan juntos en ataques combinados contra organizaciones, con Emotet funcionando como un descargador y un módulo de spam, mientras que TrickBot se infiltra en la red y se propaga lateralmente mediante exploits robados de la NSA. A veces el dinero se detiene allí. Otras veces, TrickBot tiene un truco más bajo la manga: el ransomware Ryuk .

Afortunadamente para las escuelas, pero desafortunadamente para nuestros estudios, Malwarebytes detiene estos ataques Emote-drops-TrickBot-drops-Ryuk mucho antes en la cadena, por lo general bloqueando Emotet o TrickBot con su motor de protección en tiempo real o tecnología anti-exploit. El ataque nunca avanza a la etapa de Ryuk, pero nuestra suposición es que muchas más de estas posibles infracciones habrían sido infecciones de ransomware problemáticas para las escuelas si no hubieran tenido las soluciones de seguridad adecuadas.

Amenazas clase 2020

La clase de 2020 puede tener muchas amenazas que enfrentar, ya que algunos distritos ya están lidiando con ataques de regreso a la escuela , según The New York Times . Troyanos como Emotet y TrickBot tuvieron carreras tremendamente exitosas el año pasado (espere que ellos u otro malware multipropósito como ellos) regresen.

Además, el ransomware ya ha hecho olas para un distrito escolar en el condado de Houston , Alabama, lo que retrasó su regreso a clases en 12 días debido a un ataque. Ya sea que se entregue a través de un ataque troyano / mixto o por sí solo, el ransomware y otras amenazas sofisticadas pueden detener las lecciones si no se abordan rápidamente.

En 2019, Malwarebytes ayudó al Distrito Escolar Central East Irondequoit en Nueva York durante un brote crítico de Emotet que un proveedor de seguridad de punto final heredado no pudo detener. Emotet corrió desenfrenado a través del entorno de puntos finales del distrito, infectando 1.400 dispositivos e impactando las operaciones de red. Afortunadamente, Malwarebytes pudo aislar, remediar y recuperar todos los puntos finales infectados en 20 días sin interrumpir por completo la red para los estudiantes o el personal.

Si los equipos de TI de la escuela investigan , ofrecen soluciones de seguridad inteligentes a sus juntas para obtener financiación y ayudan a los estudiantes y al personal a adoptar las mejores prácticas para la higiene en línea, pueden ayudar a garantizar que nuestras instituciones educativas sigan siendo lugares funcionales y seguros para que los estudiantes aprendan.

Tecnología de reconocimiento facial: ¿fuerza para bien o amenaza a la privacidad?

Tecnología de reconocimiento facial: ¿fuerza para bien o amenaza a la privacidad?

Tecnología de reconocimiento facial: ¿fuerza para bien o amenaza a la privacidad?

Publicado: 12 de agosto de 2019 por 
Última actualización: 11 de agosto de 2019

En todo el mundo, los gobiernos y las corporaciones buscan invertir o desarrollar tecnología de reconocimiento facial. Desde la aplicación de la ley hasta las campañas de marketing, el reconocimiento facial está listo para hacer una entrada llamativa a la corriente principal. La biometría es un gran negocio, y los contratos con terceros generan ganancias significativas para todos. Sin embargo, esas ganancias a menudo llegan a expensas de los usuarios.

Hay mucho que decir sobre la ética, la privacidad y la legalidad en la tecnología de reconocimiento facial; desafortunadamente, no hay mucho de eso que sea bonito. Pensamos que ya era hora de que echemos un vistazo a este campo en expansión para ver exactamente lo que está sucediendo en todo el mundo, detrás de escena y en la vanguardia.

Resulta que … bastante.

¿La próxima gran cosa en tecnología?

Donde quiera que mire, los organismos gubernamentales, las fuerzas del orden, los manifestantes, los activistas, los grupos de presión y política, e incluso los propios desarrolladores de tecnología están en desacuerdo. Algunos quieren un aumento en la vigilancia biométrica, otros destacan fallas debido al sesgo en la programación.

Una ciudad de los Estados Unidos ha prohibido la tecnología facial por completo, mientras que algunas naciones quieren adoptarla por completo. Aeropuerto de circuito cerrado de televisión (CCTV) ? ¿Luchar contra el crimen con levas montadas en los hombros? ¿Qué tal simplemente vender productos en un centro comercial utilizando el seguimiento facial para encontrar clientes interesados? Es un campo de batalla sin parar con nuevas líneas dibujadas en la arena 24/7.

Preparando la escena: la década de 1960

La tecnología de reconocimiento facial no es nueva. Primero fue conceptualizado y trabajado seriamente a mediados de los años 60 por pioneros como Helen Chan Wolf y Woodroe Bledsoe . Hicieron lo que pudieron para explicar las variaciones en las imágenes causadas por los grados de rotación de la cabeza usando tabletas RAND para mapear 20 distancias según las coordenadas faciales. A partir de ahí, se asignó un nombre a cada imagen. Luego, la computadora trató de eliminar el efecto de cambiar el ángulo de la cabeza de las distancias que ya había calculado, y reconocer al individuo correcto colocado delante de él.

El trabajo continuó a lo largo de los años 60, y fue, a todas luces, exitoso. Las computadoras utilizaron constantemente a los humanos con mejor rendimiento en lo que respecta a las tareas de reconocimiento.

Continuando: la década de 1990

A mediados y finales de los 90, los aeropuertos, bancos y edificios gubernamentales estaban utilizando tecnología esencialmente construida sobre su premisa original. Una nueva herramienta , ZN-face, fue diseñada para trabajar con ángulos de caras menos que ideales. Ignoraba las obstrucciones, como las barbas y los anteojos, para determinar con precisión la identidad de la persona en la lente. Anteriormente, este tipo de tecnología podía fracasar sin disparos claros y sin obstrucciones, lo que dificultaba a los operadores de software determinar la identidad de alguien. ZN-face podría determinar si tenía una coincidencia en 13 segundos.

Puede ver un buen resumen de estos y otros momentos notables en el desarrollo temprano del reconocimiento facial en esta línea de tiempo. Se extiende desde los años 60 hasta mediados de los 90.

El aquí y el ahora

Mirando la imagen global para una instantánea de la tecnología actual de reconocimiento facial revela … bueno, el caos para ser honesto. Varios sabores distintos habitan en varias regiones. En el Reino Unido, la policía reúne las pancartas para un sinfín de juicios automatizados de reconocimiento facial. Esto, a pesar de los resultados de las pruebas, la respuesta universal de los investigadores e incluso los miembros del Parlamento es esencialmente «por favor, detente».

La recepción en los Estados Unidos es un poco más helada. Las corporaciones compiten por los contratos, y las ciudades individuales aceptan o rechazan totalmente lo que se ofrece. En cuanto a Asia, Hong Kong experimenta algo similar al cyberpunk distópico real. Los manifestantes no solo evaden la tecnología de reconocimiento facial sino que intentan devolverla al gobierno.

Comencemos con los esfuerzos de la policía británica para convencer a todos de que la tecnología aparentemente defectuosa es tan buena como afirman.

En todo el mundo: el Reino Unido

El Reino Unido no es ajeno a la controversia biométrica, ya que ha hecho incursiones ocasionales en violación de la privacidad y robo de información personal . Una región adversa a las tarjetas de identidad y las bases de datos nacionales , todavía hace uso de la biometría de otras maneras.

Aquí hay un ejemplo de una pequeña porción de la actividad biométrica diaria en el Reino Unido. Los residentes no europeos pagan por los permisos de residencia biométricos cada renovación de visa, generalmente cada 30 meses. Esas tarjetas contienen información biométrica junto con una fotografía, condiciones de visa y otra información pertinente vinculada a varias bases de datos del Ministerio del Interior .

Esta solicitud de libertad de información revela que la información en una tarjeta de permiso de residencia biométrica está vinculada a cuatro bases de datos separadas:

  • Sistema biométrico de inmigración y asilo (base de datos combinada de huellas digitales e imágenes faciales)
  • Índice principal de pasaportes de la oficina de pasaportes de Su Majestad (base de datos de imágenes faciales solamente)
  • Almacén de imágenes de la base de datos de inmigración de casos (base de datos de solo imágenes faciales)
  • Almacén de documentos de permiso de residencia biométrico (base de datos combinada de huellas digitales e imágenes faciales)

Vale la pena señalar que estos son solo los que pueden compartir. Además de esto, la Ley de Protección de Datos del Reino Unido contiene una exención que impide que los inmigrantes accedan a los datos, o incluso impide que otros los procesen, como es su derecho en virtud del Reglamento Global de Protección de Datos (GDPR). En la práctica, esto da como resultado un sistema de dos niveles para datos personales, y significa que las personas no pueden acceder a sus propios historiales de casos cuando cuestionan lo que consideran una mala decisión de visa.

Reino Unido: algunas pruebas de prueba

Es en este contexto volátil que el gobierno del Reino Unido quiere introducir el reconocimiento facial al público en general, y los residentes con tarjetas biométricas seguramente serían los primeros en sentir algún impacto o consecuencias en caso de que un esquema se salga de control.

La policía británica ha estado probando la tecnología durante bastante tiempo, pero con un problema: todos los informes independientes afirman que lo que está ocurriendo es un desastre.

Big Brother Watch ha llevado a cabo una amplia investigación sobre los diversos juicios y descubrió que un asombroso 98 por ciento de los partidos de reconocimiento facial automatizados en el carnaval de Notting Hill en 2018 fueron identificados erróneamente como delincuentes. La Policía del Sur de Gales, que obtuvo un error (pero no mucho) mejor que la Policía Metropolitana, logró equivocarse el 91 por ciento del tiempo; sin embargo, al igual que otras regiones, continúa promoviendo y desplegando la tecnología. Además de eso, a no menos de 2,451 personas se les tomaron fotos biométricas y se almacenaron sin su conocimiento.

Esos son algunos números sorprendentes, y de hecho el tema actual aquí parece ser: «Esto no funciona muy bien y no estamos mejorando en eso».

Los investigadores del Centro de Derechos Humanos de la Universidad de Essex de Essex esencialmente rompieron los juicios recientes en un resumen exhaustivo de las fallas actuales de la tecnología.

  • En seis pruebas, la tecnología de reconocimiento facial en vivo (LFR) realizó 42 coincidencias, pero solo ocho de ellas se consideraron una coincidencia definitiva.
  • Acercarse a las pruebas como si la tecnología LFR fuera simplemente una especie de dispositivo de CCTV no explicaba su naturaleza invasiva por diseño, o de hecho la presencia de datos biométricos y almacenamiento a largo plazo sin una divulgación clara.
  • La ausencia de una guía clara para el público y la suposición general de legalidad para esta tecnología utilizada por la policía, frente a la falta de uso legal explícito en la ley actual, deja a los investigadores pensando que esto sería realmente ilegal en los tribunales.
  • Naturalmente, el público podría estar confundido, teniendo en cuenta que si alguien no quisiera ser incluido en el juicio, la policía supondría que la persona que evita esta tecnología puede ser sospechosa. No hay mejor ejemplo de esto que un hombre que fue multado con £ 90 (US $ 115) por evitar las cámaras LFR por «comportamiento desordenado» (cubriéndose la cara) porque sentían que no estaba haciendo nada bueno.

https://www.youtube.com/watch?v=KqFyBpcbH9A

Un veredicto condenatorio

El Comité de Ciencia y Tecnología del Reino Unido (compuesto por parlamentarios y señores ) recientemente produjo sus propios hallazgos en los ensayos, y los resultados fueron bastante duros. Algunos aspectos destacados del informe, algo aburrido llamado » El trabajo del Comisionado de Biometría y el Regulador de Ciencias Forenses » (PDF):

  • Se plantearon preocupaciones de que las fuerzas del orden del Reino Unido estén conscientes o «luchen por cumplir» con un fallo del Tribunal Superior de 2012 de que la retención indefinida de imágenes de custodia de personas inocentes era ilegal, aunque la práctica aún continúa. Esas preocupaciones se exacerban cuando se considera que potencialmente se incluirían en las listas de observación de coincidencia de imágenes para cualquier tecnología LFR que utilice imágenes de custodia. Aparentemente, no hay dinero disponible para invertir en la revisión manual y la eliminación de dichas imágenes. Actualmente hay unos 21 millones de imágenes de rostros y tatuajes registrados, lo que será una tarea gigantesca. [Página 3]
  • De la página 4, probablemente el golpe más fuerte para los ensayos: «Hacemos un llamado al Gobierno para que emita una moratoria sobre el uso actual de la tecnología de reconocimiento facial y no se deben realizar más ensayos hasta que se haya introducido un marco legislativo y orientación sobre los protocolos de los ensayos». , y se ha establecido un sistema de supervisión y evaluación «
  • El Regulador de Ciencias Forenses no está en las listas que debe estar con respecto a la denuncia de irregularidades, por lo que los denunciantes en (digamos) el sector LFR no estarían tan protegidos por la legislación como lo estarían en otros. [Página 10]

Hay mucho más para digerir, pero esencialmente, tenemos una situación en la que la tecnología de reconocimiento facial está fallando en todas y cada una de las pruebas disponibles. Tenemos académicos, grupos de protesta e incluso comités parlamentarios que se oponen a los juicios, diciendo «La tasa de error es casi del 100 por ciento» y «Tenemos que detener estos juicios». Tenemos una colección masiva de imágenes, muchas de las cuales deben ser eliminadas en lugar de ser alimentado en la prueba de LFR. Y para agregar insulto a las lesiones, aparentemente hay poco margen para que los denunciantes denuncien el mal comportamiento debido a la tecnología que el gobierno podría desplegar en la fuerza policial de una nación.

UKGOV: sigue adelante

Esto suena como una buena receta para el desastre, sin embargo, nadie parece estar escuchando. La aplicación de la ley insiste en que los controles y equilibrios humanos ayudarán a abordar esos terribles números de juicio, pero hasta ahora no parece haber ayudado mucho . El Ministerio del Interior afirma que hay apoyo público para el uso de LFR para combatir el terrorismo y otros delitos, pero «apoyará un debate abierto» sobre los usos de la tecnología. Queda por ver qué forma toma este debate.

En todo el mundo: los Estados Unidos

La experiencia de los EE. UU. Con la tecnología de reconocimiento facial se está convirtiendo rápidamente en comercial, ya que los grandes jugadores esperan extender sus sistemas personalizados a las masas. Sin embargo, muchas de las mismas preocupaciones que persiguen las operaciones del Reino Unido también están presentes aquí. La falta de supervisión, la ética, la tasa de fracaso de la tecnología y el sesgo contra los grupos marginados son preocupaciones urgentes.

Preocupaciones corporativas

Amazon, potencialmente uno de los jugadores más importantes en este espacio, tiene su propia tecnología personalizada llamada Rekognition . Tiene licencia para las empresas y las fuerzas del orden , y es completamente posible que alguien ya lo haya experimentado sin saberlo. La Unión Americana de Libertades Civiles no estaba exactamente entusiasmada con esta perspectiva, y lo dijo .

El deseo de implementar la tecnología personalizada de Amazon para la aplicación de la ley, e ICE específicamente, fue rechazado por varios grupos, incluidos sus propios empleados . Al igual que con muchas objeciones a la tecnología de reconocimiento facial, el tema se centró en los derechos humanos. De la carta abierta:

“Nos negamos a construir la plataforma que impulsa a ICE, y nos negamos a contribuir a herramientas que violen los derechos humanos. Como amazónicos éticamente preocupados, exigimos una elección en lo que construimos, y una opinión sobre cómo se usa ”.

Incluso algunos accionistas tienen los pies fríos sobre los usos potenciales de este poderoso sistema de reconocimiento impulsado por IA. Sin embargo, la mejor respuesta que probablemente encontrará a algunas de estas preocupaciones de Amazon es una publicación de blog de febrero llamada » Algunas ideas sobre la legislación de reconocimiento facial «.

Y en la esquina azul

No todos en la tecnología comercial de EE. UU. Están totalmente de acuerdo con la tecnología facial, y es interesante ver algunas de las respuestas de otros gigantes tecnológicos para trabajar en este campo. En abril, Microsoft reveló que se habían negado a vender tecnología facial a la policía californiana. Según ese artículo, Google se negó rotundamente a venderlo también a las fuerzas del orden público, pero tienen otras ofertas relacionadas con la IA que han causado una reacción violenta .

Las abrumadoras preocupaciones estaban (nuevamente) ancladas en posibles abusos de los derechos civiles. Además, las tasas de error ya altas en LFR casadas con sesgos potenciales en género y raza jugaron un papel importante.

De ciudad en ciudad, la batalla continúa

En un giro de los acontecimientos algo novedoso, San Francisco se convirtió en la primera ciudad de los Estados Unidos en prohibir por completo la tecnología de reconocimiento facial . La policía, las autoridades de transporte y cualquier otra persona que desee utilizarlo necesitará la aprobación de los administradores de la ciudad. En otra parte, Orlando transmitió la tecnología de Rekognition de Amazondespués de unos 15 meses de, lo adivinaron, problemas técnicos y problemas técnicos . Aparentemente, las cosas eran tan problemáticas que nunca llegaron a un punto en el que pudieran probar imágenes.

En Brooklyn, Nueva York, la presión ha comenzado a presionar sobre la tecnología facial en un nivel mucho más pequeño y de nicho. La ley No Barreras biométricas a la vivienda quiere:

… prohíbe el uso de tecnología de reconocimiento biométrico en ciertas unidades de vivienda con asistencia federal y para otros fines.

Este es un desarrollo sorprendente. Un número creciente de propietarios y propietarios de edificios están insertando tecnología IoT / inteligente en los hogares de las personas. Esto está sucediendo si los quieren o no , independientemente de cuán seguros sean o no .

Si bien acepto que puedo sonar como un disco rayado, estas preocupaciones son válidas. Quizás, solo quizás, la privacidad no sea tan muerta como a algunos les gustaría pensar. Las tasas de error, fallos técnicos, la explotación de ciertas comunidades y utilizarlos como conejillos de indias para las tecnologías emergentes están listados como razones para el gran retroceso Estados Unidos LFR de 2019 .

En todo el mundo: China

China ya es un lugar profundamente vinculado a múltiples sistemas de seguimiento / vigilancia .

Actualmente hay 170 millones de cámaras de CCTV en China, con planes de agregar 400 millones adicionales entre 2018 y 2021. Este sistema está diseñado para combinarse con la tecnología de reconocimiento facial vinculada a múltiples actividades diarias, desde conseguir el papel higiénico en un baño público hasta abriendo puertas. Unirlo todo será 190 millones de tarjetas de identidad , con una tasa de precisión de reconocimiento facial prevista del 90 por ciento.

https://www.youtube.com/watch?v=lH2gMNrUuEY

Las personas también están tratando de usar «moldes faciales hiperrealistas» para evitar los sistemas de pago de autenticación biométrica. Ciertamente, no hay fin de la innovación que tiene lugar tanto del gobierno como de la población en general.

https://platform.twitter.com/widgets.js

Hong Kong

Hong Kong ya ha experimentado algunos enfrentamientos con biometría y tecnología facial, pero principalmente con fines promocionales / de marketing. Por ejemplo, en 2015, una campaña diseñada para crear conciencia sobre la basura en toda la región hizo uso del ADN y la tecnología producida en los EE. UU. Para avergonzar a las chinches. Tomando muestras de basura encontradas en las calles, extrajeron ADN y produjeron reconstrucciones faciales. Esas maquetas faciales se colocaron en vallas publicitarias en Hong Kong en áreas de alto tráfico y lugares donde originalmente se recuperó la basura.

El kilometraje variará drásticamente en la precisión de estas imágenes porque, como se ha señalado, «el ADN solo puede producir una alta probabilidad de cómo se ve alguien» y la idea era generar debate, no señalar con el dedo.

De todos modos, avanza unos años y la tecnología se está utilizando para dispensar papel higiénico y avergonzar a los jaywalkers . Más en serio, nos enfrentamos a protestas diarias en Hong Kong por el proyecto de ley de extradición propuesto . Con la capacidad de protestar de manera segura en la vanguardia de las mentes de las personas, la tecnología de reconocimiento facial avanza al plato. Lamentablemente, todo lo que logra es lograr que todo el proceso sea aún más tenso de lo que ya es .

Los manifestantes cubren sus rostros y los propietarios de teléfonos deshabilitan la tecnología de inicio de sesión de reconocimiento facial. La policía retira las credenciales de identificación, por lo que las personas en los canales de Telegram comparten información personal sobre los oficiales y sus familias. La policía antidisturbios lleva cámaras en postes porque los dispositivos montados en la pared están obstaculizados con lápices láser y pintura en aerosol .

https://platform.twitter.com/widgets.js

Reglas y regulaciones (flexión)

Hong Kong tiene un estricto conjunto de reglas para el reconocimiento facial automático. Un manifestante intentó hacer un sistema de reconocimiento facial casero utilizando fotos en línea de agentes de policía. El proyecto finalmente se archivó debido a la falta de tiempo, pero la escalada del desarrollo tecnológico de reconocimiento por parte de un residente habitual es bastante única.

Todo esto puede sonar un poco por ahí o por encima. Aun así, con  1.000 disparos de gas lacrimógenojunto con cientos de balas de goma, los manifestantes no se arriesgan . Por ahora, estamos obteniendo una vista panorámica de cómo se vería si LFR fuera colocado al frente y al centro en una batalla entre la supervisión del gobierno y los derechos civiles. Queda por ver si inclina la balanza de una forma u otra.

Mirando … y esperando

Rumores legales lentos e implacables en el Reino Unido son una cosa. Las ciudades que adoptan o rechazan la tecnología en los Estados Unidos es otra muy distinta, especialmente cuando el rango de posturas es desde organizaciones y políticas hasta el nivel de la vivienda. En el lado opuesto del espectro, ver LFR en las protestas de Hong Kong es una idea alarmante de hacia dónde podría conducir el estado de la biometría y el reconocimiento facial si no se abordan las preocupaciones antes de la implementación.

Parece que la tecnología, como suele suceder, se ha adelantado mucho a nuestra capacidad para definir su uso ético.

La pregunta es: ¿Cómo nos ponemos al día?

El informe trimestral de Labs revela que el ransomware se ha vuelto desenfrenado contra las empresas

El informe trimestral de Labs revela que el ransomware se ha vuelto desenfrenado contra las empresas

El informe trimestral de Labs revela que el ransomware se ha vuelto desenfrenado contra las empresas

Publicado: 8 de agosto de 2019 por 
Última actualización: 7 de agosto de 2019

El ransomware ha vuelto, tanto que creamos un informe completo sobre él.

Durante 10 trimestres, hemos cubierto tácticas y técnicas de cibercrimen , cubriendo una amplia gama de amenazas que vimos alojadas contra consumidores y empresas a través de nuestra telemetría de productos, honeypots e inteligencia de amenazas. Hemos analizado troyanos peligrosos como Emotet y TrickBot, la explosión y la posterior caída de la criptominería, las tendencias en el malware de Mac y Android, y todo lo demás.

Pero este trimestre, notamos una amenaza que dominaba el paisaje tanto que merecía su propia mirada dura durante un período más largo que un solo trimestre. El ransomware, que muchos investigadores han notado que tomó un largo respiro después de su apogeo de 2016 y 2017, está de regreso a lo grande, apuntando a negocios con determinación feroz, código personalizado y fuerza bruta.

Durante el último año, hemos sido testigos de un aumento casi constante en las detecciones comerciales de ransomware, aumentando un sorprendente 365 por ciento del segundo trimestre de 2018 al segundo trimestre de 2019.

Por lo tanto, este trimestre, nuestro informe de Tácticas y técnicas de cibercrimen es una retrospectiva completa de ransomware, que analiza a las principales familias que causan el mayor daño a los consumidores, empresas, regiones, países e incluso estados específicos de los EE. UU. Examinamos los aumentos en los ataques presentados contra ciudades , organizaciones de atención médica y escuelas, así como las tácticas de distribución que son más populares hoy en día. También observamos el cambio táctico del ransomware de campañas masivas generales contra los consumidores a ataques dirigidos contra organizaciones.

Para profundizar en el informe completo, incluidas nuestras predicciones para el ransomware del futuro, descargue las Tácticas y técnicas de cibercrimen: Retrospectiva de ransomware aquí .