La verificación en dos pasos ya tiene un malware
Mucho se ha hablado de la necesidad de tener una verificación en dos pasos (2FA), por ser un plus de seguridad. Y de hecho lo es, hasta el punto que en las aplicaciones bancarias y otras de tipo financiero es obligatoria.
La mala noticia es que ya se ha creado un malware que simula una app de verificación en dos pasos que intenta estafar a los usuarios de servicios bancarios.
El hecho de que las entidades bancarias y financieras lo usen para infinidad de transacciones ha despertado el interés de los ciberdelincuentes que han olido el dinerito calentito que podían ganar. Se pusieron manos a la obra y desarrollaron una apliacación de phishing que simula una app de verificación de dos pasos. Para sus fechorías eligieron la interfaz del BBVA y así tratar de robar el dinero de los usuarios de este banco.
¿Cómo lo hacen?
Como en muchos actos de ciberdelincuencia, todo empieza con una réplica de la web oficial de una entidad. En este caso, de la web del BBVA. Y a partir de ahí se sigue esta sucesión de acciones:
• Réplica de la web del BBVA.
• Aviso a los usuarios de la existencia de una nueva aplicación de verificación que va a ser obligatoria en un futuro inmediato para cualquier gestión de la cuenta.
• Muchos usuarios se descargan la aplicación.
• La falsa aplicación posibilita que un malware (concretamente un troyano, de nombre Revive), infecte el dispositivo del cliente.
• Este troyano tiene la particularidad que captura todo lo que se escribe en el dispositivo en cuestión (keylogger).
• El malware pide al cliente que acepte dos permisos relacionados con los SMS y las llamadas telefónicas.
• Aparece una página que suplanta a la del BBVA y pide al cliente que introduzca los credenciales de acceso. Con ello quedan en poder de los ciberciminales, que podían transferir dinero de la cuenta de las víctimas hacia las suyas.
El descubrimiento de este troyano se lo debemos a los investigadores de la empresa italiana Cleafy, dedicada a la prevención del fraude online. Lo explican detalladamente en este artículo publicado en su web.
También podéis leer el artículo que el INCIBE ha publicado para alertar a los usuarios sobre este troyano bancario AQUÍ.
Un remedio muy asequible
La moraleja es muy clara: a pesar del doble factor de autenticación, nunca podemos estar seguros de nada. Y ante la duda, antes de clicar, molestaros en preguntar.
Hay que actuar con sentido común y no fiarse de nada de lo que recibimos. Pero también hay que proteger los dispositivos y eso no es tan complicado. Con poner una VPN suele bastar.
¿Qué es una VPN o red privada virtual? Seguro que habéis oído hablar de ella. Esta red lo que hace es redirigir el tráfico de un dispositivo hacia un túnel seguro; oculta la dirección IP y encripta los datos. En consecuencia protege frente a los timos como el que describimos.
Con este post os queremos advertir: la verificación en dos pasos ya tiene un malware. Así que agudizad las precauciones cuando os llegue un mensaje de vuestra entidad bancaria.
Imagen principal: mohamed Hassan en Pixabay
- Publicado en Ataques / Incidencias, General, Noticias, Privacidad, Protección de datos, Seguridad
Antes de enviar el 2020 a la carpeta de eliminados (II)
Segunda entrega de nuestro particular resumen del año 2020 que empezamos la semana pasada con cinco productos estrella y unas cuantas entrevistas a sus protagonistas. Hoy os queremos recordar algunos de los consejos que os hemos dado a lo largo del año, antes de enviar el 2020 a la carpeta de eliminados.
10 consejos para manteneros ciberatentos
1.- ¿YA ESTÁIS CERTIFICADOS PARA EL ESQUEMA NACIONAL DE SEGURIDAD (ENS)?
Más que un consejo es una obligatoriedad. Toda empresa que se relacione con cualquier tipo de Administración debe certificar que cumple el Esquema Nacional de Seguridad. Por supuesto que con TECNOideas podéis certificaros. ¿No creéis que es una magnífica forma de empezar el año?
2.- ¿CUMPLE VUESTRA EMPRESA LA LEY DE PROTECCIÓN DE DATOS? ¿HA SIDO YA MULTADA?
Esperamos que no, que no os hayan multado. Pero las leyes de protección de datos no son una broma y no sólo afectan a las grandes empresas. Muy al contrario, las pymes también deben cumplirlas, así como cualquier organización, despacho profesional o consultorio que maneje datos ajenos, incluidos los de sus clientes. Os explicamos en este artículo los pormenores de la ley. Y os recordamos que nuestro departamento de asesoría os puede ayudar a cumplirla.
3.- GUÍA SOBRE USO DE COOKIES: EL 31 DE OCTUBRE, FECHA LÍMITE
Seguimos con temas relacionados con la amplia legislación que tenemos en el sector. Para muchos fue una sorpresa saber que el 31 de octubre fue la fecha límite para implementar los nuevos criterios de la AEPD. También podéis consultar directamente la Guía en la web de la AEPD.
4.- LA CIBERSEGURIDAD INDUSTRIAL TAMBIÉN EXISTE
No solo existe, sino que se ha convertido en un problema que no debe ignorarse. Los sistemas industriales son la base de las principales infraestructuras y nos olvidamos que están conectadas a internet y son objeto de ciberataques. TECNOideas es experta en ciberseguridad industrial y por ello nuestro experto colaborador Jordi Ubach nos obsequió con dos artículos en los que también hacía gala de su experiencia docente. En el primero de ellos nos habló de la primera línea de defensa OT. En el segundo, en cambio, pasó de la defensa al ataque al explicarnos los ataques al nivel “1” en OT.
5.- ¿Y POR QUÉ NO PUEDO USAR MI EMAIL CORPORATIVO PARA REGISTRARME EN SITIOS?
Nuestros clientes nos hacen muy, muy, muy a menudo esta pregunta, así que al final decidimos hacer un artículo sobre un tema que todo el mundo debería tener muy claro. Lo podéis leer AQUÍ.
6.- ÉXITO Y CAÍDA DE ZOOM
La pandemia nos ha permitido descubrir otras formas de trabajar (aunque sean muy poco ciberseguras) y nos han mostrado la facilidad de hacer webinars. Pero uno de los programas de videollamadas y reuniones virtuales más usado, Zoom, ha pasado de ser una estrella del confinamiento a estrellarse contra la seguridad. Os lo explicamos en un primer artículo que podéis leer AQUÍ y un par de semanas más tarde no tuvimos más remedio que repetir por un nuevo ataque a Zoom con pornografía.
7.- ¿EL FIN DE LOS ATAQUES TIPO PHISHING?
El phishing, una palabreja que ya conoce casi todo el mundo, porque los correos maliciosos están a la orden del día y es una práctica que afecta con total seguridad a todo el mundo. Si no sois una rara avis, seguro que os ha llegado más de uno. Pero Google intenta poner freno a esta práctica poniendo logotipos que ayudarán a los usuarios a identificar a las empresas que envían correos.
8.- CÓMO COMPROBAR SI UN LINK O URL ES MALICIOSO
Seguimos con el tema de los fraudes con otro consejo sumamente interesante. Ya os dijimos que no hay que ser ingeniero para poder analizar una URL, porque hay muchos sitios online donde poder hacerlo. En este artículo os lo explicábamos.
9.- QUÉ ES EL FILTRADO WEB Y COMO NOS AYUDA
Otra cosa que nos molesta de sobremanera es ver en nuestros navegadores publicidad, noticias que nos envían sin solicitarlo o páginas inseguras. Para evitarlo tenemos el filtrado web, que consiste en decidir, con ayuda de un software o un hardware lo que queremos ver y lo que no queremos ver en nuestros navegadores.
10.- DNI 4.0: ¿ES CIBERSEGURO LLEVAR EL DNI EN EL MÓVIL?
El último consejo que os hemos seleccionado es de hace apenas tres semanas, porque a finales de año el Gobierno presentó el DNI 4.0 que incluye una App para poder llevar el DNI en el móvil. Aquí tenéis nuestro comentario sobre esta opción.
- Publicado en General, Seguridad, Sobre TECNOideas
Ante la imaginación, preparación
Sabemos que los delincuentes, ya sean analógicos o en su versión digital o ciber, echan mano de su imaginación para darle la vuelta a todo lo que hacemos, poder vulnerarnos, y sacar provecho económico de ello, que es su último fin.
A las bien sabidas y conocidas campañas de información falsa de la Agencia Tributaria, la Seguridad Social, Correos, couriers diversos, etc. desde hace algún tiempo están enviando emails con archivos compartidos.
Estos archivos compartidos están en Drive, Onedrive, Dropbox, etc. y como no tienen malware. Los “malos” envían comunicaciones masivas para ver si alguien pica, y cuando haces click y descargas el archivo, voilà!
También hemos recibido algún email al correo corporativo, por anuncios que tenemos o hemos tenido en diferentes e-commerces, plataformas de venta, o sitios de anuncio, con la misma técnica, e incluso sms con links.
Hace ya un tiempo, y creo que sigue vigente, también había mensajes en las redes sociales, sobre todo Facebook, e incluso links a juegos, que no eran tal, cuando se puso tan de moda que se compartiera con los amigos y se jugaran a los mismos juegos.
Aunque parezca que venga de un medio fiable, nadie nos va a enviar un prepago de una gran cantidad (si es un anuncio de venta), o nuestro amigo de toda la vida ahora le ha dado por aprender inglés y enviarte un correo en ese idioma por primera vez, o somos los afortunados herederos de una gran fortuna o de alguien que quiere invertir en nuestra idea, aunque no la tengamos (la gente sigue picando), y así etc.
Sentido común, cierta desconfianza, que no miedo, y comprobar, tanto los ficheros adjuntos como los links a la mínima sospecha (en VirusTotal por ejemplo, como hemos explicado en otro artículo).
Si su empresa necesita formación, para afrontar esta problemática, o consultoría y/o una auditoría para intentar mejorar la seguridad de sus sistemas de información, TECNOideas presta todos estos servicios y alguno más. Contáctenos sin ningún compromiso.
- Publicado en Consultoría, Formación, General, Hazlo tu mismo
¿Y por qué no puedo usar mi email corporativo para registrarme en sitos?
Es una pregunta que nos hacen muy, muy, muy, a menudo cuando hacemos una auditoría, una campaña de phising simulada, o una formación.
Un trabajador, que va a su lugar de trabajo, suele estar más delante del ordenador de su puesto, que en el de su casa – lógico – y quiere aprovechar todo ese tiempo, o el descanso de la comida, o el antiguo del cigarro, para cosas personales.
Sobre si es legal o no, que seguro nuestro colaborador Juan Carlos de Tecnogados, nos amplía el tema, nosotros os vamos a explicar porque no es nada recomendable usar el email corporativo para usos personales.
Las filtraciones de redes sociales, marketplaces, sitios de contactos, etc… que suelen ser ( y cada día más) muy numerosas, suelen saltar a la luz primero en en la Dark Web, y sobre todo intentando aprovechar estos datos, para entrar directamente en una empresa.
¿Que pueden hacer en una empresa con el acceso al correo electrónico? Pues primero información, administrativa, contratos, facturas, cualquier tema económico, que sabiendo que un día no vas a estar, pueden pedir una rectificación, y que la transferencia o el modo de pago destino, no sea el habitual.
Luego, si la empresa es mediana o grande, recuperar las credenciales de red, suelen ir implícitas al correo electrónico, por lo que ya obtendrían acceso a la red corporativa fácilmente.
Desde ahí, intentar llegar otro sistema, de más alto nivel, un servidor por ejemplo, con aumento de credenciales, pivoting, etc…. y llegar a datos sensibles, o credenciales más altas, para llegar a datos más sensibles.
Y datos e información (insistimos porque son los activos de la empresa), saber cuando alguien está fuera para ataques sociales (el del CEO por ejemplo) o vender esta información a la competencia, si se trata de proyectos de desarrollo.
Y nos podríamos pasar el día dando ejemplos, de porque es tan peligroso el email corporativo: por las filtraciones de estos, y porque cuando sepamos que hemos sido vulnerados, será tarde.
- Publicado en Consultoría, Formación, Malos hábitos, Protección de datos
¿Qué medidas puedes adoptar para hacer frente a ciberataques en tu empresa ?
Las brechas de seguridad están a la orden del día, el phishing no deja de crecer y los ataques BEC (Business Email Compromise) o fraude del CEO, son cada vez más habituales. Las ciberamenazas crecen y se multiplican.
Ahora vivimos en un mundo de mayor complejidad, con interacciones más complejas, más dispositivos y sensores conectados, trabajadores dispersados y la nube. Todo ello ha creado una superficie de ataque exponencialmente mayor que ha cambiado por completo las reglas.
La seguridad hoy en día requiere de un cambio en el modelo de inversión para pasar de tratar de prevenir las brechas a toda costa a construir una seguridad intrínseca en todo, desde la aplicación a la red, básicamente todo lo que se conecta y transporta datos.
Las brechas son inevitables pero lo verdaderamente importante es la rapidez y efectividad con las que se mitigan las amenazas, y para ello es necesaria la cooperación e implicación de todos los departamentos de la empresa.
Ello implica que hay que invertir en las personas adecuadas para impulsar las mejores prácticas y que haga que la empresa vaya un paso por delante en un mundo con ciberataques cada vez más sofisticados.
Cuando se habla de Ciberseguridad se tiende a pensar que las amenazas vienen siempre de fuera, pero en realidad un gran porcentaje de los problemas se inician dentro de la empresa, la mayoría de las veces por un error humano, pinchando un enlace malicioso, abriendo un adjunto que no es lo que parece, respondiendo un email que no es de quien dice ser…
Pues el 29 % de los ataques producidos en las empresas son de procedencia desconocida, por lo que las soluciones de seguridad tradicionales, como los antivirus basados en firmas, el firewall perimetral y los sistemas de prevención de intrusiones no son suficientes por si mismos para lograr una protección efectiva (que no total).
Muchas infraestructuras críticas ahora están conectadas a internet sin contar la protección necesaria, (entre ellos el sector industrial), otros sectores ampliamente protegidos, como son el sector financiero, también serán el blanco preferido de los cibercriminales.
¿Qué medidas podemos adoptar para hacer frente a los ataques sofisticados y dirigidos ?
- Formación y concienciación, puesto que más del 80% de los incidentes de seguridad se deben a errores humanos.
- Detectar vulnerabilidades y gestionar parches de seguridad
- Configurar un cortafuegos para asegurar las conexiones y prevenir intrusiones en nuestra red.
- Utilizar solo aquellas aplicaciones fiables y autorizadas.
- Proteger el correo electrónico con una potente solución anti-spam
- Habilitar un filtrado web para evitar el acceso a sitios maliciosos, descargas de código, sandboxing, etc
- Proteger todos los dispositivos: servidores, estaciones de trabajo y dispositivos móviles en cualquiera de las plataformas con una solución avanzada de última generación
- Por si todo lo anterior falla…Contar con un sistema de recuperación ante desastres
Las consecuencias que tiene un ciberataque para una empresa son devastadoras y la gran mayoría no cuenta con medios suficientes para recuperarse tras sufrirlos. ¿quieres asesorarte sobre qué medidas adoptar en tu negocio para aumentar la seguridad de tus sistemas? ¿eres una pyme y dispones de un presupuesto ajustado?
Cuéntanos tu proyecto y trataremos de ayudarte.
- Publicado en Hazlo tu mismo, Seguridad
La parte más vulnerable de la cadena empresarial
La parte más vulnerable de la cadena empresarial es el empleado. Las empresas se protegen con costosos sistemas, que a veces ni necesitan y no prestan la debida atención al eslabón más débil.
Openbank está realizando una campaña, con consejos sobre seguridad, y avisan de llamadas de “técnico informático” de soporte de alguna empresa, que lo único que hacen es robarte información para poder defraudarte dinero.
También leíamos hace unos días, un artículo sobre suplantación de identidad en una corporación, haciéndose pasar por un alto cargo directivo para instar de urgencia a realizar una transferencia.
Esto se puede realizar suplantando el número de móvil, con voz con ruido (aludiendo coche o aeropuerto para disimular) o directamente ya con sintetizadores de voz, o recreación mediante inteligencia artificial.
Por eso, siguiendo con la formación que ofrecemos, hemos creado una píldora formativa para trabajadores de 2 horas de duración, totalmente bonificable, con el nombre “Creando cultura de ciberseguridad en el puesto de trabajo”.
Aquí el empleado aprenderá a identificar correos fraudulentos, prácticas de ingeniería social, protección personal y de los dispositivos, etc…
Y también, otra píldora formativa de 3 horas de duración, dirigida a mandos intermedios y equipo de Dirección, específico para estos puestos.
Por último, realizamos auditarías a empresas, vemos los procesos que siguen con información sensible, y sus prácticas contables y administrativas, para ver si son vulnerables mediante las vías antes mencionadas, y también telemáticamente.
Cualquier información no dudéis en contactar a través de nuestro formulario.
- Publicado en Consultoría, Formación
Phising, Vishing y Smishing
Hace unos días, la Policía Nacional destapaba un fraude de más de 900 mil euros por compras a través de webs fraudulentas y Vishing.
Podéis ver toda la noticia AQUÍ, y si habéis comprado en alguna de las webs que muestran, como contactar con ellos.
¿Pero que diferencias hay entre estos tres sistemas de fraude?
El más conocido Phishing, es el sistema que induce a hacer click dentro de emails recibidos, que suplantan la identidad de un servicio casi siempre financiero, que enlazan a webs falsas donde nos roban nuestros datos para hacer login en la real.
En el Vishing, los delincuentes crean un sistema de voz automatizado parecido al que quieren suplantar, o directamente nos llaman ellos, haciéndose pasar por un empleado del banco, para que le demos también, nuestra identidad digital.
Por último, el Simishing, sería el sistema que usa mensajes de texto o de Whatsupp, para el mismo fin, hacer click en un enlace a una web fraudulenta, o que llamemos a un teléfono de tarificación especial y nos hagan esperar todo lo que puedan, con el siguiente perjuicio a nuestra factura.
Ante todo sentido común, no hacer click en enlaces por muy seguros que nos parezcan, sobre todo de bancos o monederos electrónicos, e ir a nuestro navegador y teclear la dirección. Si teclear porque hay un malware que suplanta nuestros favoritos, y hablaremos en otro artículo.
Y las compras en tiendas de confianza, que los chollos y los duros a cuatro pesetas no suelen existir.
Más sobre el sentido común.
Estos días nos han vuelto a anunciar un fraude masivo de un supuesto virus que "hace que tu ordenador se bloquee al ver pornografía o descargar contenidos ilegales" y te hace pasar por una página de la SGAE o de la Policia Nacional, para que previo pago de 50 o 100 euros, te desbloqueen el equipo.
Ya hemos hablado más de una vez sobre temas de esta índole, y solo queremos repetir, hasta la saciedad y aún haciéndonos pesados, que el mejor antivirus es el sentido común. Comunicado multa SGAE, AQUÍ, y el comunicado sobre el de la Policia Nacional, AQUÍ.
- Publicado en Seguridad
Aumenta exponencialmente los ataques a Android: ¿es poco seguro?
Durante este año se han publicado diversos estudios donde indican que los ataques a los dispositivos que cuentan con este sistema operativo basado en Linux, han aumentado un 400%. ¿Que quiere decir esto? ¿Estamos ante un sistema operativo más vulnerable que los demás?
Las estadísticas hay que tomarlas como tal, un punto de vista matemático, que si no aporta más datos, es simplemente eso, números en un contexto. Si añadimos que este año la media de activaciones diarias en el mundo de un dispositivo Android es de 550mil, que cuentan ya con 130 millones y que es el número uno (menos en EEUU), pues parece que ya no alarma tanto.
Si que es cierto que los usuarios de teléfonos móviles han descuidado desde siempre la seguridad, y han olvidado implementar un antivirus en los smartphones, pensando que sigue siendo un simple teléfono. Pero cabe recordar que es un pequeño ordenador, con un sistema operativo y por ello vulnerable a cualquier intento de infectación, ya sea de virus, malware o robo de datos.
- Publicado en Malos hábitos, Seguridad
Español 
Català