Variante de Zeus roba tarjetas en Facebook y otros servicios como Gmail

16 mayo, 2012 Deja un comentario

La empresa de seguridad Trusteer se ha encontrado con una variante de Zeus que busca engañar a los usuarios de Facebook, Yahoo, Gmail y Hotmail para robarles sus tarjetas de débito. Este troyano está diseñado para robar todo tipo de información, principalmente bancaria, empleando diversas técnicas.

Una de ellas consiste en inyectar elementos falsos en las páginas para solicitar información confidencial, esto sucede solamente en las computadoras de los usuarios infectados y suele ser difícil de detectar a simple vista (ver ejemplo de una página bancaria modificada).

Veamos el ejemplo con Facebook. Cuando la víctima accede a su perfil se le muestra un formulario falso donde se le solicita la información de la tarjeta bajo la excusa de obtener un 20% de descuento en la compra de créditos:

zeuz facebook inyeccion de formulario

Si bien puede resultar sospechoso, al aparecer dentro de la propia página de Facebook como un elemento más, el engaño es muchísimo más creíble.

Con los webmails de Gmail, Yahoo y Hotmail sucede algo similar, todas las capturas se pueden ver en el blog de Trusteer. En este caso la excusa para solicitar la información es un supuesto nuevo servicio que permitiría asociar las tarjetas a las cuentas de e-mail y de esta forma poder realizar pagos online de forma más rápida y segura:

formulario falso tarjeta gmail generado por zeus

Zeus ha dado mucho que hablar en los últimos años, los ciberdelincuentes llegan a pagar miles de dólares por versiones personalizadas del kit lo cual sugiere que las ganancias que obtienen son bastante grandes. El año pasado su código fuente fue robado, comenzó a circular por diversos foros y hoy en día cualquiera lo puede descargar. Esto les permitió a los investigadores analizarlo en profundidad y por supuesto a muchos atacantes crear sus propias versiones modificadas.

En marzo de este año en una operación liderada por Microsoft, se incautaron varios servidores que se encontraban en Estados Unidos y eran utilizados como C&C (centros de comando y control). Por supuesto esto no le puso fin al reinado de Zeus, hay servidores activos repartidos por todo el globo (ver zeustracker.abuse.ch) pero se lograron desmantelar varias botnets.

Ver también:
Variante de Zeus que no infecta equipos lentos.
ZitMo, la versión de Zeus para móviles ataca de nuevo.

Están circulando hoaxes por WhatsApp… ahora “pasará a tarifa de pago”

14 mayo, 2012 Deja un comentario

Ayer me llegó una especie de spam por WhatsApp que en realidad era una simple cadena falsa similar a las que circulan por correo o Facebook. Esta clase de mensajes de denominan hoaxes, lo recibí de un amigo que se lo creyó y por las dudas lo reenvió a todos sus contactos:

cadena por WhatsApp

El mensaje completo dice:

Este mensaje es para informarles a todos nuestros usuarios, que nuestros servidores han estado recientemente muy congestionados, por lo que estamos pidiendo su ayuda para solucionar este problema. Requerimos que nuestros usuarios activos reenvien este mensaje a cada una de las personas de su lista de contactos a fin de confirmar nuestros usuarios activos que utilizan WhatsApp, si usted no envía este mensaje a todos sus contactos de WhatsApp, entonces su cuenta permanecerá inactiva con la consecuencia de perder todos sus contactos. El símbolo de actualización automática en su SmartPhone, aparecera con la transmisión de este mensaje. Su SmartPhone se actualizará dentro de las 24 horas siguientes, contará con un nuevo diseño y un nuevo color para el chat. Estimados usuarios de WhatsApp, vamos a hacer una actualización para WhatsApp de 23:00 p.m. hasta las 05:00 a.m. de este día. Si usted no envía esto a todos sus contactos la actualización se cancelará no tendrá la posibilidad de chatear con sus contactos.
Whatsapp pasará a tarifa de pago a menos que seas un usuario frecuente. Si tienes al menos 10 contactos envía este sms y el logotipo se convertirá en rojo para indicar que eres un usuario free

Para los que no conozcan WhatsApp, se trata de una aplicación para smartphones que permite enviar mensajes de texto y multimedia por internet de forma gratuita, el único requisito es que la otra persona también lo tenga instalado.

Pues bien, como vemos el hoax es totalmente inofensivo pero es un claro ejemplo de lo sencillo que puede ser engañar a los usuarios con ingeniería social ¿qué sucedería si el mensaje incluyera un enlace malicioso o solicitara la descarga de alguna “actualización”?

Estos mensajes se comenzaron a propagar en inglés hace algunos meses, también hay otras variantes en español. Si recibes cadenas por el estilo procura tener sentido común antes de reenviarlas y en lo posible enseñarle al contacto que esta clase de mensajes son falsos. Si no cree lo que dices puedes mostrarle el siguiente artículo “It is a hoax. Really, it is” del blog oficial de WhatsApp donde lo advierten :)

Ver también:
En la edad media también se enviaban cadenas!

Esos correos extraños que nos envían los amigos…

12 mayo, 2012 2 comentarios

Seguramente alguna vez recibiste correos de tus contactos que no tienen Asunto y no incluyen ningún mensaje, sólo un enlace sin sentido como en el siguiente ejemplo:

correo spam hotmail con enlace malicioso

Se trata de un correo que en realidad no fue enviado intencionalmente por el usuario, de hecho ni siquiera debe saber que ese correo se envió desde su cuenta. Pero aún así el enlace llama poderosamente la atención y hasta dan ganas de hacerle clic, algo que generalmente pasa cuando nos llegan mensajes de contactos especiales.

En este caso estamos ante un típico spam que se aprovecha de un WordPress vulnerado por falta de mantenimiento (el dueño o webmaster seguramente no sabe que fue infectado), es fácil darse cuenta que se trata de WordPress por los directorios del enlace “wp-content/theme” los cuales se repiten en todos los sitios que utilizan este CMS (gestor de contenidos).

Los spammers los utilizan como “redireccionadores camuflados” que llevan a las víctimas hacia otros sitios con publicidad, productos fraudulentos o exploits que intentan infectar las computadoras. Troyanos como Flashback se propagaron de esta forma, cuando uno hace clic primero accede al sitio vulnerado y de inmediato es redireccionado hacia el sitio controlado por los atacantes.

El correo falso llega realmente desde la cuenta de nuestro contacto y esto puede deberse a dos razones, su equipo se encuentra infectado o su cuenta de correo está comprometida. En cualquiera de los casos los atacantes pueden enviar de forma automática mensajes spam a toda su lista de contactos.

Ambos elementos les permiten burlar los filtros antispam, el motor no detecta nada extraño en los correos y los deja pasar, pues provienen de un contacto amigo e incluyen un enlace aparentemente inofensivo.

Al final de cuentas, un simple correo que parece no tener sentido en realidad tiene todo un trabajo malintencionado muy bien diseñado para enviar correo basura.

¿Qué hacer en estos casos?

Por supuesto, no hay que hacer clic en esos enlaces! Lo ideal sería explicarle a nuestro contacto lo que está sucediendo y recomendarle que, además de cambiar la contraseña de su correo, realice un análisis completo de su computadora en busca de virus.

Por otro lado, si eres usuario de Hotmail hay otra alternativa, hace un año aproximadamente este servicio incluyó una opción llamada “Piratearon la cuenta de mi amigo” la cual permite advertirle a Hotmail que una cuenta se encuentra comprometida, es decir, está siendo utilizada para enviar spam:

piratearon la cuenta amigo hotmail

Una vez que se hace clic en la opción aparece un mensaje como el siguiente:

Gracias por informarnos que la cuenta de tu amigo ha sufrido un ataque de un pirata informático. Tu información nos ayuda a identificar aquellas cuentas que perdieron su carácter confidencial.

Tal vez parezca una opción egoísta, pero en realidad a la cuenta de nuestro contacto no le pasará nada malo, simplemente pasará a estar monitoreada de forma especial y en caso de comprobarse alguna actividad extraña se iniciará un proceso de recuperación para que verifique sus datos y cambie la contraseña.

Al final esto lo beneficiará y también a todos sus contactos :)

Mariana de Buenos Aires… el engaño de las encuestas cambia de nombre

9 mayo, 2012 8 comentarios

Hoy me encontré con otro de esos lindos banners que te llevan a un portal falso de noticias donde se promociona un sistema para ganar dinero con encuestas, pero esta vez noté un par de cosas diferentes… cambiaron el nombre de la madre soltera y agregaron un video de YouTube donde supuestamente ella cuenta su experiencia:

mariana ramirez portal falso de noticias

Al hacer clic se inicia la reproducción y la mujer habla en un perfecto español, lo cual puede ser muy convincente.. sobre todo para aquellos o aquellas que no tienen trabajo y no tienen mucha experiencia en internet.

El video del portal falso lo pueden ver aquí: http://youtu.be/QRBqeBiV0Mo (en una semana ya tiene +27 mil reproducciones).

Los comentarios que han dejado los usuarios en YouTube lo dicen todo, por otro lado y para aquellos que aún dudan sobre esta tramoya… el mismo portal falso hace algunas semanas atrás hablaba de otra madre soltera, una tal Natalia, pero eso sí… la historia era la misma!

noticia falsa encuestas natalia

Sin mencionar que los comentarios, enlaces y todo lo demás también es falso… con este diseño simplemente simulan ser un portal de noticias para darle más seriedad al asunto.

No quiero expandirme mucho más en el tema porque ya lo he comentado 2 o 3 veces en el blog, pero quería compartir con ustedes un comentario que dejaron hoy en el blog y espero sirva como ejemplo para aquellos que cayeron en la trampa:

Dolores dice:

Verónica, al igual que vos, caí en la trampa, desde el primer día no me senti cómoda con los links, con la información que solicitaban, con el tiempo que demanda registrarte en cada una de las páginas. Me inscribí porque pense que podía ser un ingreso extra. Cada vez que me llegaba una encuesta (muy pocas veces) al empezar a contestarla me decían que mi perfil no se ajustaba a la misma. Comencé a enviar mails a soporte técnico y todas las direcciones posibles RECLAMANDO EL REEMBOLSO DE MI DINERO. Fui insistente (8 o 10 mails por día), finalmente al cabo de 10 días de reclamar recibi un correo de clickbank avisandome que mi reembolso había sido realizado. Te aconsejo que si realmente queres que te devuelvan el dinero seas insistente. Seguramente obtengas la misma respuesta!, saludos!

El comentario lo pueden ver aquí y como también comentó Jorge Jacobo en ese mismo artículo, estos estafadores están utilizando la plataforma de Clickbank para vender el producto. Comprar por Clickbank es seguro, el problema es que se pueden comprar cosas buenas y malas, como en todos lados y uno no sabe qué tan bueno es el producto hasta que lo tiene en su poder.

Por ello Clickbank cuenta con un sistema de devoluciones (leerlo con atención) que puede ser utilizado dentro de los primeros 60 días, es de lo que habla Dolores en su comentario. Si caíste en la trampa de estos portales falsos, solicita la devolución de forma correcta e insiste hasta que tengas tu dinero de vuelta!

Campañas CPA y spam en Facebook generaron 20 millones de dólares

8 mayo, 2012 4 comentarios

Se ha revelado una cifra interesante relacionada con la publicidad y los mensajes engañosos en Facebook que se propagan viralmente. Posiblemente alguna vez te encontraste con alguna variante de ellos, en SpamLoco he comentado varios casos que utilizan diversas técnicas como el clickjacking, aplicaciones falsas, scripts e incluso ingeniería social de la más simple.La acusada en esta oportunidad es Adscend Media, una empresa de publicidad … Leer más

Bitdefender USB Immunizer, evita que el malware se propague por tus dispositivos USB

1 mayo, 2012 2 comentarios

Bitdefender USB Immunizer es una herramienta gratuita que permite "inmunizar" las memorias USB para evitar que el malware las utilice como medio de propagación. Es muy fácil de usar, simplemente hay que hacer un clic sobre el dispositivo que se desea proteger:Cabe mencionar que no se trata de un antivirus para memorias USB, en otras palabras no evita que los virus se copien en ellas desde computadoras infectadas. Simplemente crea y … Leer más

Estiman que la botnet Flashback generó unos 10 mil dólares al día

1 mayo, 2012 2 comentarios

Uno de los negocios más redituables de las botnets es el fraude de clics, los ciberdelincuentes pueden generar clics automáticamente desde los equipos infectados o sustituir los anuncios que los usuarios ven por aquellos que les generan ganancias.Justamente esto es lo que hacía Flashback, sustituyendo la publicidad de Google según las búsquedas realizadas por las víctimas. Fue el equipo de Symantec el que lo descubrió en las últimas … Leer más

w3af, herramienta para detectar vulnerabilidades web

30 abril, 2012 2 comentarios

w3af (Web Application Attack and Audit Framework) es una herramienta open source de auditoría que permite detectar vulnerabilidades web y explotarlas. Es bastante sencilla de utilizar y muy útil para automatizar diferentes análisis en un sólo proceso.Básicamente se trabaja con 4 pestañas, en Configuración del análisis se indica el objetivo y se seleccionan los plugins o escáneres que se desean utilizar; en Log se puede ver el estado … Leer más

Zello, aplicación móvil para hablar estilo walkie-talkie

29 abril, 2012 Deja un comentario

Zello es una aplicación gratuita para móviles y PC que permite charlar con los amigos al estilo walkie-talkie. Una vez instalada, simplemente se selecciona un contacto y se presiona un botón para hablar.La comunicación se realiza por medio de internet, para que funcione es necesario estar conectados por 3G o una red WiFi.Hablar por Zello es gratis pero como cualquier otra aplicación que se conecta a internet (MSN, Skype, Facebook, … Leer más

Avast! Free Antivirus disponible para Mac

27 abril, 2012 1 comentario

Avast es uno de los antivirus más populares por ofrecer desde hace años una versión gratuita para Windows, ahora han lanzado una versión de similares características para Mac OS X:No puedo comentar mucho sobre el programa porque no lo he probado, pero por lo que se puede ver en su página es bastante completo. Además de la obvia protección en tiempo real contra los archivos que se ejecutan, incluye un escudo web que analiza … Leer más