Tres sucesos graves de los cuales podés estar a salvo procediendo como corresponde

Hereje · 17/01/07, 04:28:21

Se trata de tres sucesos muy graves en lo que respecta a la seguridad, de los cuales se tomó conocimiento en las últimas semanas.

En todos estos casos, lo que te puede salvar es simplemente el sentido común. También el conocimiento, no en el sentido de saber todo o ser un experto, nada de eso es necesario, sino saber lo que hay que saber. Y no confiarse.
Remarco, no confiarse. ¿Por qué? Porque precisamente gracias a esta confianza inocente (que termina conviertiéndose en inconciencia) por parte del usuario, es que logran tener éxito los casos de fallas de seguridad, las infecciones de virus y de spyware, y peor aun el phishing (simulación de webs reales para extraer datos del usuario) o los scams (estafas).

Caso 1
Aparece un sofisticado "kit para defraudadores" en la Red
Fuente original en inglés: http://www.rsasecurity.com/press_rel...sp?doc_id=7667
Fuente que lo reprodujo en español: http://laflecha.net/canales/segurida...ores-en-la-red
Otra fuente: http://www.rompecadenas.com.ar/articulos/1503.php

Cita:

RSA, la división de seguridad de la compañía EMC, ha alertado sobre la aparición de un sofisticado 'kit para el defraudador' por Internet que permite lanzar de manera sencilla ataques de 'pishing', que permiten acceder a los datos bancarios de los clientes.
Tiene un precio de 1000 (mil) dólares y se trata de un producto "universal" que permite "fácilmente" configurar ataques a objetivos concretos sin tener que diseñar un sistema concreto para cada entidad.
el producto, se pone en contacto en tiempo real con la página web legítima de cada entidad financiera, o con la de cualquier compañía de comercio electrónico, de forma que el cliente interactúa con información legítima sin percibir irregularidad alguna.
Durante la visita de los usuarios a la página falsa, los estafadores no solo recogen la información bancaria de cada cliente sino que procesan cualquier tipo de información personal que haya sido registrada.

Caso 2
Ahora los hackers fabrican virus a pedido y los venden al mejor postor a través de Internet
Fuente del artículo: http://www.clarin.com/diario/2007/01...t-01345063.htm
Otra fuente: http://www.rompecadenas.com.ar/articulos/1498.php

Cita:

Los ataques hackers ya no son lo que eran: incorporaron nuevas modalidades de comercialización. Es decir, ya no se trata tanto de desarrolladores de virus que eligen un objetivo de ataque cada vez más ambicioso, sino de piratas que buscan colocar en el mercado sus softwares maliciosos a un precio cada vez más ambicioso. Y, según trascendió, una forma de comercializar sus productos son las subasta online.
La empresa de seguridad informática Trend Micro logró infiltrarse en una de estas subastas, donde se compran y venden softwares maliciosos en todas sus versiones. Encontraron la oferta de troyanos (virus) diseñados a pedido. El precio promedio de vulnerabilidades oscila entre los 20 y 30 mil dólares, dependiendo de la popularidad del programa y la fiabilidad del ataque. Pero una vulnerabilidad hallada en el recién lanzado Windows Vista cuesta unos 50 mil dólares, según informó eWeek. También se venden identidades robadas y dinero virtual, robado, claro. "La industria del software malicioso está haciendo más dinero que la industria de la seguridad", disparó Raymond Genes, director tecnológico de Trend Micro.
Un malware puede costar entre 5 mil y 20 mil dólares. Licencias de conducir y certificados de nacimiento se consiguen por 150 dólares y lo más barato: números de tarjeta de crédito con código de seguridad y fecha de vencimiento, cuestan entre 7 y 25 dólares.
La mayoría de los desarrolladores de software malicioso están en Europa del Este, son empresas totalmente online, a las que les depositan el dinero en cuentas medio extrañas. Del mismo modo que existe un mercado negro de armas, lo hay de este tipo de software.
Dice Claudio Avin, responsable del servicio de seguridad de Symantec: "van a ser más frecuentes los incidentes por ingeniería social, por ejemplo, falsifican los avisos del banco que se envían por sms, las notificaciones de débitos y acreditaciones, con un número de teléfono que por supuesto no es el del banco. La persona llama a ese número y se encuentra con la misma grabación del banco e ingresa su usuario y contraseña".

Caso 3
Tienes un e-mail, pero no lo respondas
Fuente: http://www.clarin.com/diario/2007/01...m-01346147.htm

Cita:

Varios usuarios de Estados Unidos reciben por estos días un e-mail firmado por un supuesto asesino a sueldo que dice tener la misión de matarlo. El objetivo de quien envía estos correos es recibir una respuesta y robar así la identidad de esa persona.
El mecanismo es el siguiente: un correo electrónico les llega a miles de personas. El supuesto remitente se presenta como un asesino a sueldo contratado para matar al destinatario, y le exige que le pague miles de dólares. O que al menos le responda el mail.
La existencia de la extorsión fue publicada por el FBI en su sitio web (http://www.fbi.gov/page2/jan07/threat_scam011507.htm), para que la población estadounidense no se alarme ni conteste, ya que los correos son falsos y el objetivo es, precisamente, obtener una respuesta, como paso para poder luego robar la identidad de los usuarios y delinquir con ella.
La oficina de investigaciones señaló que una persona que respondió el correo electrónico recibió una respuesta en la que se incluía la dirección de su trabajo, su estado civil y el nombre de su hija.
La campaña para estafar a los usuarios comenzó el mes pasado, y se volvió más compleja cuando comenzaron a circular otros correos, que aparecen como generados por el FBI en Londres pero tan falsos como los anteriores. Los nuevos mails dicen que una persona detenida recientemente por varios asesinatos en Estados Unidos y el Reino Unido llevaba información que identificaba al destinatario del mail como la siguiente víctima.

---------------------------------------

Ahora vayamos paso por paso, de forma simple, volviendo al título de este tema.

El kit para estafas: todos los casos de phishing, se tratan de engañar al usuario para hacerlo entrar en una web supuestamente real, pero que en verdad está armada, falsificada con el propósito de obtener datos de la persona. Puede suceder más que nada con entidades bancarias y cualquier transacción que implique el uso de tarjetas de crédito o trámites bancarios; pero en algunos casos, muy pocos pero que son para tener en cuenta, incluyen engaños para robar datos de acceso a cuentas de e-mail, o supuestos envíos de "tarjetas virtuales" que en realidad conducen a virus.

¿Solución? Sentido común. Ninguna entidad seria maneja cuenstiones importantes por mail. Siempre que se reciba un mail de una entidad bancaria o financiera, de una empresa de tarjetas de crédito, por ejemplo, no responderlo; en su lugar, llamar a la compañía a los números oficiales provistos por la propia entidad.
Los trámites se pueden hacer a través de Internet (de hecho, la empresa donde trabajo se maneja en varios casos con pagos por transferencias de cuenta bancaria a cuenta bancaria a través de la red), pero siempre ingresar tipeando la dirección de la web en el navegador de Internet, y recordar aproximadamente la estructura de la dirección que aparece en el navegador. Esto sirve para los casos de direcciones que se falsifican adulterándolas levemente para que, ante la costumbre de no mirar, se proceda a ellas a través de un mail falso.
Es decir: hacer los trámites de una forma segura; los delincuentes informáticos se aprovechan de la confianza e inconciencia de las personas que se creen sin dudar el mensaje que les llega porque está diseñado exactamente igual que los verdaderos. Siempre va a ser mejor excederse por el lado de la duda que por el lado de la confianza.
Léase al respecto un buen análisis que se puede aplicar en todos los casos: http://www.rompecadenas.com.ar/segur...oaxes/1186.php
Al menos una técnica explicada allí se puede aplicar en todos los casos, que es la de detectar los enlaces peligrosos que se hacen pasar por verdaderos. Esto vale también para el caso de supuestos mensajes de que has recibido alguna "tarjeta virtual de alguien que te ama" en Yahoo o Terra. Los enlaces contenidos en esos mails conducen a un virus, alojado en alguna web gratuita de otra parte del mundo.

Y para cerrar este primer caso, agrego dos cosas que nunca deben ser ignoradas: una, es que pareciera ser que el usuario de Internet cree que la Red es el mundo, que todo pasa por Internet. Responde alegremente a los mensajes de phishing; reenvía alegremente las supuestas cadenas solidarias (de las cuales el 99% son falsas, y las reenvía sin siquiera molestarse en comprobar su veracidad), como si pensara que la gran mayoría de los habitantes de su ciudad, país o planeta utilizan Internet y se van a ahcer eco del pedido, cuando la proporción es absolutamente inversa (y para colmo, cualquier caso real de cadena solidaria obtiene muchísimo más resultado por los medios del mundo real (periódicos, televisión, etc.); reenvía alegremente cadenas acerca de supuestas noticias (falsas) que, obviamente, "no se revelan por los medios masivos de comunicación porque a elos no les conviene, porque les pagan"... etc.

(sigue...)

Hereje · 17/01/07, 04:47:42

Y la otra cosa, la puedo mencionar porque llevo una década como usuario de la red, como usuario conciente, conociéndola hasta los niveles en que hay que conocerla. Y se trata de lo siguiente: el nivel de "confianza", léase inconciencia, que el usuario común de Internet tiene hoy en día con la Red, es el que se podía tener, como mucho, hasta una etapa que se acabó hace cinco años aproximadamente, entre el 2001 y el 2002, no más allá de eso. Se creen que la Red es algo que en verdad no es. Por eso hay que ejercitar el sentido común y crear conciencia, y mejor pecar de un exceso de precaución que de un exceso de confianza.

Virus y troyanos a pedido e ingeniería social: en este caso, podríamos aplicar perfectamente algo que debería haber sido incluido en el caso anterior, el del phishing y los trámites bancarios falsos: por medio del simple uso del sentido común salta a la luz que, si bien en primera instancia el blanco podría ser cualquier persona que use Internet, en realidad los blancos son aquellos individuos o entidades que posean datos de valor, que provean ganancias directas o que sirvan a otro propósito. Es decir: cuando se obtienen los datos de cuentas bancarias y tarjetas de crédito, se utilizan aquellas en las cuales los movimientos o extracciones de dinero, aun siendo "grandes", no laman la atención; es el caso de individuos o empresas con mucha actividad bancaria (en término de $$$). Es muy poco probable que el ciudadano común sea blanco de estos delitos, aunque a veces ha sucedido; con esto quiero decir que siempre es bueno estar prevenido y alerta, en lugar de caer en la estúpida paranoia en la que cae cada usiarios de Internet ante ciertos peligros de la Red que en verdad nunca les van a afectar (es común creerse más de lo que en verdad se es).

E-mail de un asesino o de una agencia gubernamental o de seguridad: este es un caso de "tirar el anzuelo a ver a quién enganchas". Es una variación de los ya conocidos engaños por teléfono donde te llaman y te dicen que han secuestrado a un pariente tuyo y les tienes que pagar un dinero.
Yo no soy escéptico, más bien soy realista y el sentido común me surge solo, sin que yo lo convoque: ¿un asesino te va a contactar por mail para extorsionarte/amenazarte? Hmm, estas cosas e hacen por teléfono. Aun así, en los casos en que se reciban estas supuestas llamadas de secuestros o delitos por teléfono, el sentido común (o la simple prevención) sugiere unos rñapidos intentos de contacto con la supuesta víctima o algún allegado, por celular o teléfono común; o un simple análisis de lo que dice el interlocutor telefónico sirve para darse cuenta que las mismas exactas palabras se pueden aplicar casi a cada persona, por ser genéricas y nada específicas. Pero las personas se paralizan de miedo cuando les dicen "sabemos todo lo que hacés y cuántas personas hay ahí"... a ver... ¿a cuántos millones de casas de familia se puede aplicar esta misma frase? A casi todas. Y hasta a pequeñas empresas u oficinas. Pero el receptor del llamado cae en pánico y no repara en el ridículo "rescate" que a veces le piden, que son tarjetas para hablar por teléfono, las cuales uasn los presos que están en las cárceles... desde donde precisamente se suelen hacer estos llamados.

La misma estructura se aplica en todos los casos, inclusive en estos casos de los norteamericanos recibiendo mails de un supuesto asesino o extorsionador. Ante la duda de la víctima, proveen ciertos datos para convencerlo... datos que muchas veces pueden ser obtenidos por cualquier persona sin necesidad de utilizar métodos ilegales; o en todo caso, se pueden obtener mediante la compra u obtención por otros métodos de bases de datos. El objetivo es siempre el mismo: tocar un punto débil de la víctima, para obligarlo a responder y así etraerle más información.

Como digo siempre, no es necesario ser un experto o estar informado acerca de todo para saber esto... los más informados caen igual en los engaños. ¿Por qué? Porque se apoyan en un dato externo y no utilizan el sentido común. Ese mismo sentido común es el que te hace darte cuenta de las irregularidades, de las cuestiones dudosas o sospechosas, que por la misma razón te hace preguntar primero en lugar de entrar ciegamente. Como ya mencioné en otra nota que reproduje de otro lado, la Internet no es diferente de la calle o de la realidad, con todos sus peligros a cada momento.

Insisto en que se debe crear más conciencia y prevención en los usuarios, para lo cual no es tan necesario el conocimiento sino el sentido común; porque la Red no es el territorio "lindo" que muchos creen.

Pablo · 18/01/07, 01:29:26

Hereje, muy buena explicación ojalá todos la lean completa

Un abrazo

Pablo