Las redes sociales dando muestra de su potencial en los últimos días al configurarse como gran canal de difusión de noticias sobre el terremoto de Haití, facilitando la difusión de mensajes e imágenes casi en directo informando sobre la situación. Según estimaciones de ESET, basadas en el estudio de comportamientos anteriores similares ante este tipo de situaciones, los creadores de malware podrían haber comenzado a distribuir ya amenazas dirigidas a los usuarios de redes sociales utilizando como gancho la solidaridad con los afectados por el suceso.
Tal como adelantó la compañía en su último informe sobre tendencias de malware para 2010, las redes sociales son uno de los principales objetivos de los cibercriminales y se registrará un aumento de las amenazas dirigidas a sus usuarios. Sucesos como los ocurridos en Haití sirven de gancho para la distribución de mensajes en los que se solicita dinero para ayudar a las víctimas. Hasta el momento se hacía sólo por correo electrónico, pero ahora también empiezan a distribuirse a través de redes sociales. Muchas de esas solicitudes de ayuda no serán ciertas, sino simples engaños para robar los datos de la tarjeta de crédito o estafar una cantidad de dinero a los usuarios. Este mismo problema se vio con el huracán Katrina en 2005, o con el tsunami del Índico en 2004.
Este es un listado básico de recomendaciones que los usuarios deben seguir:
- Nunca se debe llevar a cabo una transacción económica en Internet a través de sitios web que no se conozcan perfectamente.
- Nunca se debe acceder a sitios que pidan dinero a través de un enlace que nos llega a través de correo electrónico. Ese enlace puede contener argucias para que la página web a la que accedemos parezca legal, e incluso siendo legal, aprovechar alguna vulnerabilidad que nos pueda perjudicar.
- Si se quiere hacer algún tipo de donación, se recomienda acudir directamente a las páginas web de las organizaciones que se encargan de tareas de asistencia humanitaria, y nunca a través de enlaces de terceros o en sitios web desconocidos.
Ingeniería social en redes sociales
Con el inicio de 2010, los responsables de laboratorio antivirus de ESET también han detectado la difusión de amenazas que combinan técnicas de ingeniería social para hacerse con los datos de registro de los usuarios de Facebook. En concreto, la firma antivirus alerta sobre el envío de mensajes de spam a usuarios solicitándoles que confirmen los datos de acceso a sus cuentas en la red social, y requiriéndoles asimismo su nombre completo y país de residencia.
“A pesar de la alta frecuencia con la que advertimos a los usuarios sobre el peligro de pinchar en un enlace que les llega a través de correo”, comenta Fernando de la Cuadra, director de Educación de Ontinet.com, distribuidor exclusivo de los productos de seguridad de ESET en España. “Los usuarios deben desconfiar siempre de cualquier mensaje de correo no solicitado en el que se le pide confirmar sus datos de acceso, para evitar que sus datos se vean comprometidos”.
La mecánica de esta nueva amenaza es muy sencilla. Simplemente, se trata de un correo en el que el atacante se dirige al usuario haciéndose pasar por “El equipo de Facebook” para que acceda a una dirección web y complete el proceso de confirmación de sus datos. El enlace dirige al usuario a una página de phishing, en la que se le pide que introduzca la contraseña asociada a la dirección de correo a la que se envió el mensaje, y luego da acceso a otra en la que se solicitan su nombre completo y su país de residencia.
Puedes encontrar más información en el centro de ayuda de Facebook.
Nota relacionada:
Terremoto de Haití, motivo para más rogue (actualizado con las donaciones)
Filed under ESET, fraudes by on Jan 14th, 2010. Comment. 
Documentos de identidad, carnets de conducir, tarjetas de crédito, ataques informáticos, envíos spam o bases de datos repletas de datos personales o correos electrónicos se venden en los suburbios digitales de la Red. Algunas tiendas ilegales han “profesionalizado” tanto sus servicios que ofrecen descuentos por volumen, se anuncian con banners publicitarios o devuelven el dinero si, por ejemplo, los datos de la tarjeta de crédito que han proporcionado no funcionan.
Los datos robados de una tarjeta de crédito tienen un precio de mercado de unos 300 € (437 dólares). Un ataque DDoS (del inglés Distributed Denial of Service, un ataque que satura e inutiliza los servidores de la víctima) de una hora de duración puede costar unos 150€ (218 dólares). Y se pagan hasta 800 euros (1165 dólares) por un millón de correos spam. Estas y otras cifras salen a la luz gracias a las últimas investigaciones de los laboratorios de seguridad de G Data Software centradas en la industria del cibercrimen.
El equipo de G Data Software se camufló en los sórdidos círculos de acción de hackers, ladrones de datos y demás delincuentes digitales durante los meses de junio y julio de este año y descubrieron que el “escenario” se ha profesionalizado al máximo dando lugar a una economía perfectamente organizada. Al frente de la organización existen proveedores que ofrecen “hosting a prueba de balas” que permiten la existencia de foros y tiendas online ilegales en las que los ciberdelincuentes ofrecen sus servicios y se ponen en contacto con los posibles compradores.
El libro Blanco 2009 – La economía sumergida
Descargar el informe en PDF (3.03MB)
Filed under delitos, descargas, documentos, fraudes by on Oct 2nd, 2009. Comment.
Aunque para algunos resulte decepcionante, los cuentos del tío no son un patrimonio argentino. Los nigerianos “patentaron” esta fórmula por Internet y muchos le arrogan este derecho mundial.
Para Daniel Bonina, especialista en fraudes de banca electrónica, esta modalidad creció un 10 por ciento en el último año. “Este tipo de fraude -explica Bonina- se originó en Nigeria, llegando a ser una de las principales fuentes de ingreso de ese país. Se lo conoce como estafa nigeriana o lottery scam. Hay argentinos que viajaron a Europa para reunirse con estafadores vestidos de abogados. Le entregaron dinero personalmente y volvieron con las manos vacías”. Este modelo se reproduce en la Web.
De Rusia con amor
Una de las técnicas de más circulación, según apunta Cristian Borghello, de la empresa de seguridad informática ESET, involucra a una supuesta mujer rusa que quiere huir de su país en busca del hombre de sus sueños. “Comienza con un e-mail con datos y fotos de una joven. El contenido alude al inicio de relaciones sentimentales”, apunta Borghello. Si el interesado muerde el anzuelo, es direccionado a un formulario de registro y desemboca en un portal, tipo red social, que le permitirá contactar a esta señorita. Al registrarse se reciben mensajes de más admiradoras, pero para poder leerlos deberá comprar créditos. De más está decir que el interés de las mujeres es inexistente.
La gran oferta
Una red de timadores se dedica a recorrer sitios de subasta online (MercadoLibre, DeRemate y MasOportunidades) para detectar mercaderías de gran valor. Realizan una oferta por casi el doble de su precio para hacerse acreedores. Luego se ponen en contacto con el vendedor para pedirle su número de cuenta bancaria y que envíe 15 de esos artículos a un país de Europa del este. A los pocos días llega la confirmación de la supuesta transferencia bancaria, efectuada desde una entidad oficial, junto con un link. Al hacer clic, el vendedor es conducido a una web falsa, donde se les explica que, por motivos de seguridad, el pago, aunque fue realizado, no será acreditado hasta que no se realice el envío. Muchos ingenuos vendedores envían la mercadería creyendo que el sitio del email es verdadero.
La clásica nigeriana
Se recibe un e-mail de una autoridad gubernamental africana, con membrete oficial, proponiendo un negocio tentador. Al parecer, este funcionario corrupto quiere despachar grandes sumas de dinero y necesita un cómplice en el exterior, a quien promete darle una suntuosa tajada del botín. En caso de aceptar, al iluso se le pedirá un número de cuenta bancaria y le llegarán mensajes con datos administrativos, adelantando detalles de la operación. Pero de pronto todo se complica y el burócrata empezará a pedir plata para realizar sobornos, pagar impuestos y cubrir honorarios en el país africano. Y los millones nunca llegan.
Phishing
Llega un mail con el logo de un banco -si el que recibe el correo tiene cuenta allí todo es más verosímil- en donde piden ingresar al sitio para actualizar las claves. Al hacer clic el sistema conduce a una página que simula ser real pero es trucha. Si se coloca el password puede ser robado por los hackers.
La viuda negra
Mail de Caroline Hamson, una pobre señora que se hace pasar por la viuda de un diplomático que quedó varada en Costa de Marfil. Con una prosa dramática, señala que está escribiendo desde un hospital y que le diagnosticaron una enfermedad terminal. Aunque aclara que el dinero no le interesa, pide una donación para poder enviar a sus hijas a la casa de sus abuelos. Para los interesados, ofrece certificados legales sobre lo que está contando. Seguro que alguna alma caritativa se apiada de sus pesares.
Fuente: El Clarín
Filed under amenazas, delitos, fraudes, ingeniería social, phishing, scam by on Sep 21st, 2009. Comment.
Me ha sorprendido esta nota recogida en Incubaweb sobre el aterrizaje en Youtube de la conocida amenaza informática “El fraude de las inversiones en Nigeria” o simplemente “Fraude Nigeriano“.
En este video, un supuesto príncipe Obi, da un pequeño discurso en un Inglés bastante forzado, en el que te explica que desea transferir algunos millones a tu cuenta de banco (para ser más exactos, USD $50,000,000). Lo curioso es que este video ya ha generado algunas reacciones entre los visitantes de YouTube; la mayoría son mensajes de odio y alerta, aunque hay respuestas en video que incluso son graciosas, tomando el lado positivo de esto.
Sea cual sea el objetivo del video está logrando su cometido, ya que son casi 10,000 vistas en poco más de una semana. No es un éxito arrollador pero conforme la noticia se extienda, las vistas podrían aumentar considerablemente.
Vía: Incubaweb
Banco Promerica es otra de las entidades bancarias que se suma a la campaña de información a sus usuarios, sobre las amenazas informáticas que poco se van masificando en nuestro país, por ese motivo, su mensaje tiene su espacio en este blog.
Comentarios Recientes