viernes, 28 de diciembre de 2012

Phising fin de año

¿Sospechoso? ¡Total!

Comenzando porque no tengo cuenta alguna en esa Entidad bancaria, y siguiendo por la eterna redacción. Aunque en este caso está cuidado, hay varias erratas (1), amén de la insistencia en la palabra “sistema” y discordancias en género y número.



Pero, claro, aunque seamos conscientes de que no tenemos cuenta en Bankinter podría picarnos la curiosidad de hacer clic en el enlace (2) –que he desactivado, obviamente- para ver cómo de falso es el formulario de petición de datos, solo que… ¡no hay tal formulario! En su lugar lo que hay “al otro lado” del enlace es un fichero .exe, que supongo se autoejecuta cuando a él llegas haciendo clic donde no debes. ¿Y qué es lo que hace ese fichero? No lo sé, para qué os voy a engañar, pero de lo que estoy seguro es que lo que hace no debe ser nada, nada bueno ya que no estaría camuflado.
Y de nuevo, el consejo habitual sobre el mejor antivirus proactivo: el sentido común. Que es freeware, no hace falta descargarlo de sitio alguno ni cuesta dinero.

Notas:
-        vínculo (erróneo por precaución):
https://dl.dr0pb0x.com/s/2f3i026d4phrpsm/BKI.exe?dl=1
-        ¿Qué hace? Es un troyano bancario; más info desde satinfo.es
-   Como curiosidad: ejecutable alojado en un servicio de almacenamiento en línea y marcado como fichero compartido al que puede acceder cualquiera que teclee la dirección correcta en el navegador.

Felices Fiestas.
Pedro.

lunes, 19 de noviembre de 2012

Your websites have been attacked


"Dear  Pedro,

This is an urgent notice regarding the websites you host in your .

Your websites have been attacked by a third party: Malicious code has been inserted into your files, which aims to infect the computer of every visitor to your website (a technique called "drive-by download")."

De esta forma comenzaba el primer correo que abría el pasado sábado por la mañana, así, antes de desayunar. Y no me lo creí. Me puse a revisar los encabezados del mensaje y ya me sonaba mal: los destinatarios eran "todos" los administradores de la página web; es decir, los más habituales que suelen tener: webmaster@..., admin@..., administrator@... ¡Sonaba fake total!

lunes, 24 de septiembre de 2012

Inteco alerta del virus Backdr.HG para Windows

Inteco alerta del virus Backdr.HG para Windows


Otro más. Para la colección. Este viene "pegao" a un correo electrónico cuyo supuesto remitente es Microsoft y el asunto unos cambios importantes en las condiciones del servicio, cosa que por otro lado es cierta (aquí)...


En fin, el adjunto identificado es Microsoft-Services-Agreement.pdf.exe. ¿Os dáis cuenta del "punto pdf punto exe". Vamos a ir por partes.
A "groso modo" cuando recibimos un adjunto a un mensaje de correo electrónico vemos algo del tipo "nombre-punto-tipodearchivo", por ejemplo "Microsoft-Services-Agreement.pdf". Así sabemos qué es lo que nos mandan: un documento en formato pdf. Creemos.Porque el programa de correo, el gestor de correo, lee el nombre del adjunto de izquierda a derecha, como nosotros.

viernes, 7 de septiembre de 2012

Fraude online: del PC al smartphone

No hace muchos días "apareció" un mensaje en el PC de un amigo con el que la Policía, tras "bloquearle" el ordenador le mostraba un mensaje "acusatorio" de haber encontrado rastros de actividades ilegales: terrorismo, pornografía infantil... que podía "arreglar" pagando una cantidad de entre 50 y 100€, vía online. El susto fue morrocotudo, pero ante el bloqueo del equipo este amigo optó por hacer un "F1" y pedirme ayuda. Se solucionó y ahí quedó todo. O no.

No queda ahí: los "malos" saben que estamos más que muy enganchados a la red, conectados las 24 horas del día con nuestros smartphones, tablets y demás; y dada la facilidad para localizarnos los tenemos intentando engañarnos a través de esos dispositivos. Así, tenemos otras amenazas a las que ya se ha dado nombre propio: SMiShing y Vishing.

jueves, 30 de agosto de 2012

¿Han etiquetado una foto tuya en facebook?

Si te ha llegado un correo electrónico que te "informa" en este sentido es posible que estés siendo víctima de un ataque de malware con el fin de que "los malos" tomen el control de tu ordenador. Así que lo que debes hacer es extremar el cuidado con el que abres el correo, a pesar de lo "emocionante" que es el que nos etiqueten en facebook (¡somos alguien!).

martes, 5 de junio de 2012

¿Leyendas urbanas? Flame, Stuxnet, Duqu… ¡y los que faltan!

El otro día estaba haciendo un comentario a un compañero que tenía la webcam del portátil tapada con una tirita, y saltó un tercero, supuestamente muy enterado, diciendo “que todo eso no eran más que leyendas urbanas, que con un router bien configurado no había problema…” Obviamente, y no siendo yo sino un simple informático decidí callarme, prudentemente, pero esperando -mal por mi parte- que un buen día le llegara un correo con un vínculo a un vídeo de él mismo frente a su portátil.
 Pocos días después me entero de una nueva amenaza de seguridad: Flame. Un nuevo malware de despliegue masivo, muy sofisticado, con una capacidad muy avanzada para robar información y propagarse, además de poder configurar un elevado número de exploits por los atacantes. Esto significa que el malware tiene la capacidad de ser configurado para capturar las pulsaciones del teclado, la pantalla, activar el micrófono, acceder a dispositivos de almacenamiento, a la red interna, conexiones inalámbricas tanto WiFi como Bluetooth…
 Pero, exactamente, ¿qué mal está haciendo? Ahora mismo está robando/ha robado información de agencias gubernamentales de países del Oriente Medio así como interrumpir las exportaciones de petróleo de Irán… que se sepa.
 Ya, ya, estarás pensando, pero yo no uso programa alguno para controlar oleoductos ni centrales nucleares.

lunes, 14 de mayo de 2012

Malware que se instala en portátiles a través de las conexiones Wi-Fi de los hoteles

Desde el IC3 (Internet Crime Complaint Center) avisan de una nueva amenaza de malware que usa para propagarse las conexiones inalámbricas que ofrecen los hoteles.
Durante el proceso de conexión a la red del hotel una ventana emergente notifica al usuario que debe hacer una actualización rutinaria de un “producto de software ampliamente usado” (traducción más o menos literal del original). Haciendo clic para actualizar instalaremos el software malicioso en nuestro portátil.

Las medidas de precaución, las de siempre: sentido común. Pero por si no es suficiente deberemos actualizar nuestro software antes de salir de viaje, y en caso de tener notificaciones de actualización lejos de clicar en los vínculos de las ventanas emergentes (pop-ups) iremos a la página web del fabricante del software a comprobarlo y, en caso necesario, descargar la actualización desde la misma página oficial.
¡Hala! Cuidadín a los que viajáis de verdad al extranjero, no como yo que ni tan siquiera lo hago en modo virtual.
Fuente.

viernes, 11 de mayo de 2012

Montar HD externo o pendrive USB en linux

Si nos encontramos con una distribución que no nos monta el dispositivo usb automáticamente (que ocurre siempre que alguien nos pregunta acerca de la suya…) podemos hacerlo manualmente de la siguiente manera:
1º) Conectamos el dispositivo al ordenador
2º) Abrimos una sesión de terminal, y tecleamos:
$ cd /
$ sudo mkdir /media/
$ cd /media
$ ls (para comprobar que hemos creado el fichero)
$ sudo fdisk -l (con este comando sabremos si el dispositivo se encuentra conectado). En mi caso sale algo así:
xxxxx@xxxx:/media$ sudo fdisk -l

Disco /dev/sda: 82.0 GB, 81964302336 bytes
255 cabezas, 63 sectores/pista, 9964 cilindros
Unidades = cilindros de 16065 * 512 = 8225280 bytes
Tamaño de sector (lógico / físico): 512 bytes / 512 bytes
Tamaño E/S (mínimo/óptimo): 512 bytes / 512 bytes
Identificador de disco: 0x000588a4
Dispositivo Inicio    Comienzo      Fin      Bloques  Id  Sistema
/dev/sda1   *           1          32      248832   83  Linux
La partición 1 no termina en un límite de cilindro.
/dev/sda2              32        9965    79792129    5  Extendida
/dev/sda5              32        9965    79792128   8e  Linux LVM
Disco /dev/sdb: 120.0 GB, 120034123776 bytes
255 cabezas, 63 sectores/pista, 14593 cilindros
Unidades = cilindros de 16065 * 512 = 8225280 bytes
Tamaño de sector (lógico / físico): 512 bytes / 512 bytes
Tamaño E/S (mínimo/óptimo): 512 bytes / 512 bytes
Identificador de disco: 0x7373f186
Dispositivo Inicio    Comienzo      Fin      Bloques  Id  Sistema
/dev/sdb1               1       14593   117218241    7  HPFS/NTFS
Podemos comprobar cómo ha reconocido el disco duro externo (/dev/sdb) que tiene 120GB y el dispositivo en sí con su estructura de archivos NTFS. Algo así como que reconoce la unidad física y la unidad lógica.

viernes, 16 de marzo de 2012

¿Actualizar el software? Sí o sí.

En la entrada anterior comentaba como el “virus de la Policia” haciendo uso de una vulnerabilidad reciente de Java ha infectado miles de ordenadores, en este caso con el sistema operativo Windows. Y así seguirá hasta que se publique un parche o una actualización que la subsane… ¡si luego la instalamos nosotros!
Y quien dice Java dice el mismísimo sistema operativo, el antivirus, el Acrobat Reader de Adobe… y en general todas y cada una de las aplicaciones que corren en nuestros equipos.
¿Y por qué? os preguntaréis. Fácil. Cuando un “malo” encuentra un hueco por el que colarse en un sistema rápidamente desarrolla las herramientas adecuadas para explotarlo: malware, en general. Y a partir de ese momento comienzan las infecciones hasta que se encuentra el remedio y se aplica, tapando ese agujero. Pero, claro, no todos los equipos ni todo el software se actualizan automáticamente (¿será por eso de los programas “pirata”?) ni todos los usuarios están pendientes, por lo que su seguridad esta comprometida.

Y si hace unos años los “malos” se conformaban con que se nos cayeran las letras a la parte baja de la pantalla los viernes y trece o que se nos girase ésta 90 grados con tal de que hablase de ellos, ahora han cambiado los métodos y los objetivos. En la actualidad lo que les interesa es que el usuario normal no sospeche que su ordenador ha dejado de estar bajo su exclusivo control para así poderlo emplear como bot o zombie administrado de forma remota y realizar sus ilícitas actividades, o capturar usuarios y contraseñas tanto de cuentas de correo como de accesos bancarios o de redes sociales… No hace falta extenderse más.
Y una vez conocidos siquiera por encima los riesgos, vayamos a asomarnos a las soluciones.

domingo, 11 de marzo de 2012

El “virus de la Policía”

Que está muy de moda estos días ya que está consiguiendo unos niveles de infección muy altos en equipos con sistema operativo de Microsoft y con mucha repercusión mediática, ya que ¿a quién no le asustaría que la Policía le bloquease el ordenador o…?
Ahí está el muy virus. ¿Y cómo se infectan los ordenadores de quienes “no ven páginas porno ni van a páginas de descargas ni…”? Pues empezando porque realmente se suelen visitar, aunque sólo sea por curiosidad, y terminando porque no se actualizan los sistemas (los “programas” del ordenador).
Dejando de lado las profundidades de las técnicas de análisis forense -de las que apenas conozco unos esbozos, las cosas como son- el origen de la infección o la puerta de entrada mejor dicho viene de la mano de Java (ése del icono de la tacita de café al lado del reloj en la barra de tareas), de un Java desactualizado y del que se aprovecha vía una vulnerabilidad muy reciente, de modo que te infectas sin ser consciente de haber descargado, ejecutado o instalado fichero alguno. A esto le añandimos el que los antivirus tienen unos índices de detección sobre la firma del virus muy bajos y el cierto resquemor que nos invade cuando “nos pillan” haciendo algo “que no está bien” -llamémosle ingeniería social a este “arte”- y tenemos lo que está sobre la mesa: equipos infectados y “muertos”. Desastre total.

lunes, 27 de febrero de 2012

malware, phising, troyano, virus

Se podría considerar esta entrada como una continuación a la del ¡año pasado! que también versaba sobre antivirus. Los motivos de tenerlo instalado siguen siendo los mismos en esencia (proteger en la medida de lo posible aquellos ficheros que van a ser trabajados en otros equipos, fundamentalmente con Windows como sistema operativo) pero, afortunadamente mayores en cuanto al número de usuarios que los requieren. Así que continúo con mi “búsqueda” del antivirus para Linux, y tras un año de usar el NOD32 de la empresa ESET me he encontrado con otro que también promete: BitDefender Antivirus Scanner for Unices, descargable desde aquí con los únicos requisitos de que sea para uso privado y de enviar una dirección de correo electrónico en la que recibiremos tanto la clave para activar el programa para un año entero, en lugar de para tan sólo 30 días que dura la versión de prueba, como el vínculo para descargarlo.
¿Cómo lo instalamos? Pues casi, casi con un doble clic a lo Windows. Nos vamos a la carpeta donde lo hemos descargado (en mi caso, /home/user/Descargas), hacemos clic con el botón derecho del ratón sobre el fichero BitDefender-Antivirus-Scanner-7.6-4.linux-gcc4x.i586.deb.run y nos vamos a la opción “Propiedades” → pestaña “Permisos” y marcamos el cuadro de “permitir ejecutar el archivo como un programa”. Y salimos.