Bienvenido a Indetectables.net

Se descubre en Rusia un fraude masivo que implicaba a los surtidores de gasolina

Las fuerzas de la ley de Rusia han detectado un fraude masivo que consistía en una alteración de lo que se pagaba en las gasolineras. El asunto ha implicado a decenas de empleados que instalaron programas maliciosos en los surtidores para que introdujeran en los vehículos menos combustible del que luego pagaba los clientes.

En la estafa masiva, los empleados desviaron el coste entre un 3 y un 7 por ciento. El Servicio Federal de Seguridad (SFS) de Rusia encontró los programas maliciosos a partir de una serie de clientes que se quejaron de haber perdido combustible sin que hubiese una razón técnica detrás (insinuando un robo). En los casos más extremos se detectó un peso un 7% inferior al teóricamente repostado.

El SFS ha reconocido que los programas maliciosos introducidos en los surtidores eran difíciles de detectar, aunque a partir de los clientes que denunciaron la posible estafa empezaron a tirar del hilo hasta llegar a su creador: el hacker Denis Zayev. Las autoridades también han comentado que los surtidores fraudulentos estaban muy extendidos en la zona sur del país.

Denis Zayev habría estado vendiendo su software a los empleados de las gasolineras e introduciéndolo en los surtidores, creando así una estructura para estafar a los clientes. El hacker estuvo compartiendo los beneficios con los empleados, lo que ayudó a extender el fraude y les permitió, posiblemente, ganar decenas de millones de rublos. Además del SFS, las empresas detrás de las gasolineras tampoco fueron capaces de detectar los programas maliciosos.

La estafa funcionaba de la siguiente manera. Cada mañana, los empleados de una gasolinera dejaban vacío uno de los depósitos, poniendo por ejemplo la excusa de que estaba en mantenimiento. Luego, cuando un cliente pedía que se le llenara el depósito (total o parcialmente) de su vehículo, el software malicioso hacía disminuir la cantidad de combustible suminstrado entre un 3 y un 7 por ciento, pero el surtidor mostraba en pantalla la pagada por el cliente. La gasolina robada iba a parar al tanque que estaba vacío supuestamente por mantenimiento para después ser vendida por los estafadores, mientras que el malware se encargaba de que no quedase rastro del fraude.

Como se puede comprobar, no hay computadora que pueda librarse de acabar hackeada de una forma u otra, por lo que cualquiera de nosotros puede ser susceptible de ser víctima de algún tipo de engaño o ataque cibernético.

Fuente: Security Affairs

por Eduardo Medina Mon, 22 Jan 2018 17:38:29 +0000

OnePlus confirma que la filtración de las tarjetas de crédito ha afectado a 40.000 clientes

La semana pasada informamos que la tienda electrónica de OnePlus había sido hackeada para robar las tarjetas de créditos de muchos clientes, además de otros datos. Después del revuelo generado, el conocido fabricante chino de smartphones se vio forzado a reconocer el problema de seguridad, aunque no aclaró su origen.

Tras darse a conocer el incidente, OnePlus decidió cerrar el pago mediante tarjeta de crédito, aunque mantuvo otras vías como PayPal porque, según la compañía, no estaban afectadas. Más adelante, el viernes pasado, anunció que el problema de seguridad había afectado a 40.000 clientes según una investigación llevada a cabo por una tercera empresa.

OnePlus mantiene la tesis expuesta por Fidus, firma de seguridad que dijo que algún actor malicioso colocó un script en el proceso de pago mediante tarjeta de crédito para robar los datos de los clientes y luego hacer operaciones fraudulentas, hechos que destaparon este asunto. El script había sido introducido en uno de los servidores de procesamiento de pago del fabricante a mediados de noviembre, por lo que pudo tener un gran impacto al aprovechar el lanzamiento del OnePlus 5T.

Sin embargo, a pesar de reconocer que un script fue introducido en uno de sus servidores para robar los datos de los clientes, OnePlus todavía sigue investigando de dónde procede, si de un ataque remoto o si fue realizado por alguien que tuvo acceso físico. En la publicación en el foro oficial, la compañía ha dicho que el script malicioso operó intermitentemente y que el servidor afectado ha sido puesto en cuarentena. También ha comentado que los clientes que han pagado con una tarjeta de crédito guardada, tarjeta de crédito por PayPal o mediante una cuenta de PayPal no están afectados.

Con el fin de minimizar la importancia de lo sucedido, OnePlus ha explicado que los 40.000 clientes afectados solo “representan un pequeño subconjunto” de todos los que tiene. Además, ha ofrecido a los perjudicados un servicio para monitorizar el crédito de forma gratuita durante un año y está colaborando con las autoridades locales en la investigación que estas últimas están llevando a cabo.

El pago con tarjeta de crédito en la tienda electrónica de OnePlus seguirá sin estar disponible hasta que concluya la investigación, por lo que los clientes tendrán que seguir tramitando sus compras a través PayPal. La compañía ha dicho que reforzará la seguridad del trámite del pago mediante tarjeta de crédito y que no piensa, al menos de momento, cambiar su estrategia de ventas.

Fuente: The Verge

por Eduardo Medina Mon, 22 Jan 2018 07:30:48 +0000

Unos hackers han podido robar los datos sanitarios de más de la mitad de la población de Noruega

Parece que un grupo de hackers o un hacker individual ha robado los datos sanitarios de más de la mitad de la población de Noruega, según informan diversos medios locales. El ataque habría sido realizado el pasado 8 de enero, cuando la Autoridad de Salud Regional Health South-East (en el sudeste del país) anunció una brecha de seguridad en su sitio web.

HelseCERT, que es el Equipo de Respuesta ante Emergencias Informáticas del sector sanitario noruego, ha identificado tráfico sospechoso procedente de la red de Health South-East. Una investigación llevada a cabo por el personal IT de Sykehuspartner HF, empresa perteneciente a Health South-East, ha mostrado evidencias de una importante brecha de datos.

En una declaración conjunta realizada por Health South-East y Sykehuspartner HF se ha explicado que “esta es una situación grave y se han tomado medidas para limitar el daño causado por este incidente”. Health South-East no duda que ha sido “un jugador profesional y avanzado” el que está detrás del ataque, mientras que las fuerzas de la ley y el Equipo de Respuesta ante Emergencias Informáticas nacional han sido notificados para que procedan a actuar. El Ministro de Sanidad ha comentado que entre las medidas tomadas está la eliminación de la amenaza.

Health South-East gestiona la sanidad en nueve de los dieciocho condados de los que se compone Noruega, incluyendo la capital y ciudad más poblada del país, Oslo. Esto aumenta de forma significativa la cantidad de personas afectadas, que podría ascender a los 2,9 millones de los 5,2 millones de habitantes que tiene Noruega.

La situación está generando bastante alarma en el país. Por un lado hay algunos investigadores en seguridad de la propia Noruega que critican a Health South-East por la pobre seguridad implementada en sus sistemas, mientras que la autoridad sanitaria está pidiendo calma para evitar que la tensión vaya a más. Sin embargo, muchos sospechan que se está escondiendo muchos datos en torno a este asunto.

Fuente: BleepingComputer

por Eduardo Medina Fri, 19 Jan 2018 15:10:23 +0000

Descubren 56 aplicaciones en la Play Store que intentan robar la contraseña de Facebook

Investigadores en seguridad de Trend Micro y Avast han descubierto que al menos 56 aplicaciones disponibles desde la Play Store han intentado robar contraseñas de Facebook y desplegar de forma agresiva ventanas emergentes con publicidad mediante un malware llamado GhostTeam.

Las aplicaciones maliciosas para Android se han hecho pasar por todo tipo de utilidades con el fin de atraer a usuarios, como linternas, escáneres de código QR, brújulas, transferencia de ficheros, limpiadores, entretenimiento e incluso descargadores de vídeos. Como ya ha pasado en otras ocasiones, las aplicaciones no contenían en sí ningún malware, lo que les permitió pasar los filtros de la Play Store.

Una vez instalada una de las aplicaciones maliciosas, lo primero que hace es comprobar que no está funcionando sobre un emulador o un entorno virtualizado, para luego descargar la carga útil con el malware. Después pedirá permisos de administración al usuario para que el malware se vuelva persistente en el dispositivo físico.

Además de intentar de robar la contraseña de Facebook, GhostTeam también se encarga de recolectar el ID único del dispositivo, la localización, el idioma y los parámetros de la pantalla. La localización la obtiene desde la dirección IP cuando el usuario contacta con servicios online que suministran información sobre geolocalización.

En caso de utilizar la aplicación oficial de Facebook, GhostTeam se encarga de colocar una ventana mediante el componente WebView para que el usuario vuelva a verificar su cuenta en la red social, siendo esto un ataque clásico de phishing. Trend Micro avisa que las credenciales robadas pueden ser usadas para esparcir malware más dañino o incluso crear una especie de ejército de zombis para difundir noticias falsas o generar malware de minado de criptomonedas.

Como las personas cada vez se exponen más en las redes sociales, las credenciales de Facebook robadas pueden también exponer otros tipos de datos como los financieros o una identificación personal más precisa, pudiendo ser convertidos en un artículo tentador en el mercado negro.

Avast y Trend Micro creen que GhostTeam es un malware creado por un desarrollador vietnamita, debido a la gran cantidad de código escrito en ese idioma encontrado. Al parecer ha impactado sobre todo en India, Indonesia, Brasil, Vietnam y Filipinas.

Google borró todas las aplicaciones maliciosas nada más ser informada por los investigadores de Trend Micro y Avast, sin embargo, los usuarios que aún las tengan instaladas todavía cargarán con el problema a menos que tengan Google Play Protect habilitado.

Fuente: The Hacker News

por Eduardo Medina Fri, 19 Jan 2018 12:09:31 +0000

Detectadas 4 extensiones maliciosas de Chrome dedicadas a inyectar JavaScript malicioso

Google intenta por todos los medios evitar que se cuele malware o software con propósitos ilegítimos en sus tiendas, sin embargo, abarcar todo su ecosistema de forma minuciosa es una tarea difícil, por lo que a veces hackers y cibercriminales consiguen colar software malintencionado tanto en la Play Store como en la Chrome Store.

ICEBRG detectó hace unos días cuatro extensiones maliciosas en la Chrome Store que han infectado a alrededor de medio millón de computadoras, entre las cuales hay estaciones de trabajo pertenecientes a organizaciones tan importantes Google, el Equipo de Respuesta Rápida a Emergencias Informáticas de Estados Unidos (US-CERT) y el Centro Nacional de Ciberseguridad de Países Bajos (NCSC-NL). Las extensiones maliciosas son las siguientes:

  • Change HTTP Request Header
  • Lite Bookmarks
  • Nyoogle – Custom Logo for Google
  • Stickies – Chrome’s Post-it Notes

Tras ser publicado el informe de ICEBRG, Google reaccionó rápidamente para eliminar las extensiones de la Chrome Store. Aquí es importante recordar que el gigante del buscador eliminó hace tiempo la posibilidad de instalar extensiones procedentes de terceros en su navegador web, por lo que las posibilidades de que más usuarios acaben infectados por esos malware se reducen drásticamente.

Las extensiones fueron utilizadas para llevar a cabo fraudes y manipulaciones en el SEO, a lo cual se suma la posibilidad de obtener acceso a redes corporativas e información de los usuarios. Para su descubrimiento, los investigadores de ICEBRG llevaron a cabo una investigación relacionada con un brusco incremento en el tráfico de red saliente entre un proveedor de hosting europeo y la estación de trabajo de un cliente.

Las extensiones combinaban dos características diferentes que permitían a los atacantes ejecutar un JavaScript malicioso siempre que un servidor de actualización recibiera una solicitud para recuperar un código JSON que era recibido de una fuente externa. El script malicioso crea un túnel de WebSocket utilizando change-request.info y luego la extensión pasa el tráfico por un proxy mediante Google Chrome.

En lo que se refiere a la navegación web, la víctima verá publicidad que la tentará hacer clic para picar en el fraude de los cibercriminales. Las extensiones también tenían capacidades para infectar los sitios web internos alojados en las redes privadas de la víctimas, eludiendo las protecciones implementadas.

Una de las dos características encontradas por los investigadores permitían la detención del JavaScript inyectado en caso de iniciarse el depurador de Chrome, siendo esto una técnica antidetección implementada por los cibercriminales. De momento no está claro si solo hay un grupo o varios detrás las extensiones maliciosas.

Diagrama de las extensiones maliciosas halladas en la Chrome Store

Fuente: HackRead

por Eduardo Medina Thu, 18 Jan 2018 14:00:23 +0000

3 vulnerabilidades de Microsoft Office están siendo explotadas para expandir el malware Zyklon

Investigadores en seguridad de FireEye han descubierto una campaña activa dedicada a explotar tres vulnerabilidades de Microsoft Office para infectar ordenadores con un malware llamado Zyklon.

Zyklon no es un malware nuevo, ya que está activo desde 2016. Se dedica a generar una botnet mediante HTTP pudiendo comunicarse con un servidor de mando y control al que se conecta mediante la red Tor, anonimizando así el tráfico entre el malware y los atacantes. Como acciones, según lo ordenado por los atacantes, puede registrar las pulsaciones del teclado y robar datos sensibles como contraseñas almacenadas en navegadores web o clientes de email. Mediante la adición de complementos es capaz realizar otras tareas como la ejecución de ataques DDoS y el minado de criptomonedas. En un principio sus objetivos principales fueron los servicios de telecomunicaciones, seguros y financieros. Se han descubierto dos versiones de Zyklon que han sido encontradas en el mercado negro. Una es la compilación normal, que cuesta 75 dólares estadounidenses, mientras que la otra, con Tor habilitado, cuesta 125 dólares.

Según FireEye y como ya comentamos al principio, los atacantes están explotando tres vulnerabilidades halladas en Microsoft Office, utilizando para ello scripts de PowerShell que son ejecutados sobre las computadoras objetivo para descargar la carga útil definitiva desde el servidor de mando y control.

  • Vulnerabilidad de ejecución de código en remoto hallada en .NET Framework (CVE-2017-8759): Se explota cuando .NET Framework ejecuta una entrada no confiable, permitiendo a un atacante tomar el control del sistema afectado mediante el engaño de la víctima para que abra un documento malicioso específicamente diseñado que ha enviado mediante email. Esta vulnerabilidad fue parcheada en septiembre de 2017.
  • Vulnerabilidad de ejecución de código en remoto hallada en Microsoft Office (CVE-2017-11882): Ya la hemos tratado en más de una ocasión, siendo una vulnerabilidad que llevaba presente en la suite ofimática 17 años y permitía a los atacantes ejecutar código en remoto tras la apertura de un documento malicioso.
  • La tercera vulnerabilidad genera polémica, ya que Microsoft no la considera un fallo. Se trata de una técnica que permite a los atacantes apoyarse en Dynamic Data Exchange Protocol, una característica de Microsoft Office, para llevar a cabo una ejecución de código sobre el ordenador objetivo sin que se requiera de habilitar las macros o provocar una corrupción de memoria. El gigante de Redmond han publicado una guía sobre cómo evitarla.

Las personas tras la campaña recientemente descubierta se dedican a enviar documentos maliciosos dentro de ficheros ZIP, los cuales llegan a las víctimas mediante ataques de phishing por email. El documento malicioso que recibe la víctima está preparado para explotar de forma inmediata una de las vulnerabilidades expuestas mediante un script de PowerShell que se ejecuta nada más abrir el documento. Luego se descarga la carga útil final, que suele ser el malware Zyklon.

Un dato interesante sobre los scripts de PowerShell creados para esta campaña es que tienen en su código unas IP escritas sin puntos, o sea, en formato decimal. En la red se pueden encontrar conversores para pasar una IPv4 en formato decimal. Por ejemplo, la IP de Google es 216.58.207.206, que convertida a decimal es http://3627732942. También se puede copiar y pegar la dirección HTTP en decimal en un navegador web moderno para comprobar que dirige al mismo buscador.

La IP de Google convertida a decimal

Debido a que la vía de difusión son los emails a modo de phishing, recomendamos revisar minuciosamente el origen, el texto y el formato de los correos electrónicos recibidos, además de no abrir ningún documento de procedencia desconocida o no confiable.

Fuente: The Hacker News

por Eduardo Medina Thu, 18 Jan 2018 10:39:42 +0000

Los mineros de criptomonedas se consolidan como una de las principales amenazas

Durante el transcurso de 2017 vimos que las incidencias tanto a nivel de seguridad como de privacidad relacionadas con las criptodivisas han ido a más, y es que su creciente popularidad las ha convertido en algo más que un sector nicho, sino que se han consolidado como un sector en el que invertir y en una fuente de financiación.

La incidencia que más se está extendiendo es la utilización de recursos ajenos para minar criptomonedas. Siendo más concretos, sitios web y aplicaciones están implementando software que se dedica a utilizar los recursos (CPU y/o GPU) de los ordenadores de los visitantes/usuarios para minar criptomonedas. Uno de los casos más conocidos de esto es el sitio web de descargas The Pirate Bay, que no esconde el uso de la biblioteca Coinhive.

Coinhive está construida con JavaScript para minar Monero en los ordenadores de los visitantes de páginas web o usuarios de aplicaciones. The Pirate Bay es al menos transparente, sin embargo, se ha detectado su utilización maliciosa tanto en otros sitios web como en aplicaciones de Android.

Resulta interesante ver la lista que ha publicado CheckPoint con los 10 malware “más buscados” de diciembre 2017. Aquí el primer puesto lo tiene el ya mencionado Coinhive, mientras que otros mineros como Cryptoloot y Rocks ocupan el tercer y décimo puesto respectivamente. La lista completa la siguiente:

  1. Coinhive: Minero de cirptomonedas.
  2. Rig ek: Kit de exploits contra Java, Flash, Silverlight e Internet Explorer.
  3. Cryptoloot: Minero de criptomonedas.
  4. Roughted: Malvertising mediante web utilizado para esparcir estafas, kit de exploits, adware y ransomware.
  5. Fireball: Secuestrador de navegadores web para usarlos como descargadores de malware.
  6. Globeimposter: Ransomware variante de Globe. Distribuido mediante campañas de spam, malvertising y kits de exploits.
  7. Ramnit: Troyano bancario que roba credenciales bancarias, contraseñas de FTP, datos personales y cookies.
  8. Virut: Botnet usado por cibercrminales para lanzar ataques DDoS, spam, robar datos, además actividades fraudulentas y de pago por instalación. Se distribuye mediante USB y web.
  9. Conficker: Gusano que permite operaciones remotas y descarga de malware. El ordenador infectado pasa a formar parte de una botnet controlada por un servidor de mando y control.
  10. Rocks: Minero de criptomonedas.

Lo mineros de criptomonedas se han convertido en una de las mayores amenazas cibernéticas de la actualidad, ya que CheckPoint ha estimado que el 55% de las organizaciones del mundo ha sido víctima en alguna ocasión de un software de este tipo durante el mes de diciembre de 2017.

La compañía de seguridad informática ha comentado que ha detectado la utilización de mineros por parte de algunos de los sitios web más populares, sobre todo relacionados con servicios de streaming y compartición de ficheros y siendo esto algo que generalmente se hace sin consentimiento ni conocimiento del usuario. Por un lado reconoce que su uso puede ser legal y legítimo, pero que también pueden ser modificados para “dominar la potencia y generar más ingresos, utilizando hasta el 65% de la potencia de la CPU de los usuarios finales.”

La razón de por qué ha aumentado el uso de los mineros es por culpa de los bloqueadores de publicidad, sobre todo cuando se refiere banners excesivos y ventanas emergentes. Muchos usuarios, debido a las dificultades que encuentran para navegar en muchos sitios web debido a la publicidad, han decidido recurrir a bloqueadores, lo que ha reducido la cantidad que ingresan los sitios web por esta vía.

por Eduardo Medina Wed, 17 Jan 2018 16:46:02 +0000

Skygofree es un poderoso spyware contra Android que roba datos de múltiples aplicaciones

Investigadores de Kaspersky han descubierto una poderosa herramienta de espionaje contra Android que se dedica a explotar vulnerabilidades para robar datos desde múltiples frentes.

Llamado Skygofree, se trata de un spyware contra Android posiblemente creado para propósitos de vigilancia y activo desde 2014. Su desarrollo parece haber sido responsabilidad de Negg, una empresa tecnológica italiana que supuestamente ha trabajado para el gobierno del país transalpino en varias ocasiones.

Kaspersky no está en condiciones de afirmar con rotundidad quién es el autor de Skygofree, pero tiene fuertes sospechas sobre Negg después de encontrar el nombre de la compañía repetido en múltiples ocasiones en el código fuente del spyware.

Las primeras versiones de Skygofree no parece que hayan sido distribuidas de forma indiscriminada por Internet. Con el paso del tiempo ha ido incorporando características como el grabar sonido mediante el micrófono si el smartphone se encontraba en algunas zonas específicas, utilizar los servicios de accesibilidad de Android para robar mensajes de WhatsApp y es capaz de conectar dispositivos infectados a redes Wi-Fi maliciosas controladas por los atacantes, abriendo así la puerta a ataques de tipo man-in-the-middle.

El principal medio de distribución de Skygofree ha sido el phishing mediante la falsificación de los sitios web de los principales operadores móviles. La mayoría de los procesos de infección se habrían producido en 2015, año en el que el malware ha estado más activo según Kaspersky.

Evolución de Skygofree

Skygofree es aparentemente un malware bastante sofisticado. Después de ser instalado en un smartphone Android, esconde su icono y se pone a ejecutar servicios en segundo plano para llevar a cabo acciones contra la víctima sin que esta se entere. Además, incluye características de protección que impiden que se puedan matar los servicios que ejecuta.

La versión más reciente de Skygofree conocida fue publicada en octubre de 2017. Para entonces se había convertido en una sofisticada herramienta de espionaje en múltiples etapas que daba a los atacantes control total y remoto sobre el dispositivo infectado, utilizando para ello una carga de shell inversa y un servidor de mando y control.

Para poder exprimir aun más el dispositivo infectado, utiliza múltiples exploits de escalada de privilegios que le otorgan acceso como root (administrador), pudiendo así ejecutar cargas útiles más complejas. De esas cargas útiles, una de ellas era capaz de robar datos de Facebook, WhatsApp, Line y Viber.

El servidor de mando y control ampliaba las posibilidades de espionaje, permitiendo a los atacantes realizar fotografías y grabar vídeos de forma remota, hacerse con los registros de llamadas y SMS, así como monitorizar la geolocalización del usuario, los eventos del calendario y cualquier información que esté almacenada en el dispositivo.

Además de Android, los investigadores de Kaspersky han encontrado una versión de Skygofree contra Windows, cosa que no tendría que sorprendernos si tenemos en cuenta que el sistema de Microsoft sigue siendo el más acosado por el malware.

Volviendo a Android, no instalar aplicaciones procedentes de tiendas de terceros es importante para no acabar infectado por un malware. Por otro lado, la gran cantidad de dispositivos sin soporte que hay funcionamiento allana demasiado el terreno a los cibercriminales.

Fuente: The Hacker News

por Eduardo Medina Wed, 17 Jan 2018 12:08:43 +0000

Descubren una campaña de phishing para obtener los datos de los usuarios de Netflix

Los servicios de contenidos vía streaming, ya sean de música o de vídeo, han ganado mucha popularidad en los últimos años. Una de las empresas con más pegada en el sector es Netflix, que ha sabido atraer a muchos usuarios mediante la creación de contenidos propios destinados a un público objetivo y la adición de otros de calidad procedentes de terceros.

Sin embargo, que un servicio vía Internet se haga popular significa otra cosa, y es el convertirse en un buen reclamo para llevar a cabo ataques de phishing, con los cuales los hackers pretenden sobre todo hacerse con los datos de los usuarios, mejor cuando se trata de los detalles de la tarjeta de crédito, como le ha pasado recientemente a OnePlus.

La semana pasada se detectó una campaña de phishing que ha utilizado el logo original de Netflix, y con la cual los actores maliciosos que están detrás pretenden hacerse con los detalles de acceso, los de las tarjetas de crédito, fotografías y las identificaciones de los usuarios. Para llevar a cabo el ataque, la víctima recibe un email procedente de Netfli𝛘 (véase la diferencia con Netflix) avisándole de que tiene que cambiar los detalles de su cuenta.

01 Phishing de Netflix

Luego la víctima es redirigida a una conseguida falsificación de la web de Netflix, en la cual se la invita a introducir sus credenciales de acceso en primer lugar. El hecho de que el sitio web perteneciente al ataque de phishing use HTTPS hace que el engaño sea todavía más creíble. Sin embargo, esta última parte se puede desenmascarar viendo el origen del certificado, cosa que pocos usuarios hacen.

02 Phishing de Netflix

03 Phishing de Netflix

Tras acceder al sitio web perteneciente al ataque de phishing, se le pedirá a la víctima que vaya introduciendo todos sus datos, incluidos los detalles de la tarjeta de crédito. En caso de estar visitando el sitio web en inglés, se puede encontrar la siguiente frase con un error gramatical:

You need to confirm your informations to be able to fix this problem and access to your account Netflix.

07 Phishing de Netflix

Con el fin de asegurarse la obtención de los detalles de la tarjeta de crédito, los ladrones exigirán a la víctima que verifique los datos mediante una falsa página web de Visa. Por último, pedirán que se le envíe una fotografía y la identificación, para luego redirigir a la víctima al sitio web legítimo de Netflix.

05 Phishing de Netflix

06 Phishing de Netflix

El año pasado ya comentamos que los ataques mediante phishing iban a más, tanto en sofitisticación como en cantidad, por lo que los usuarios tienen que estar muy atentos tanto a las URL como a los emails que reciben, ya que ciertas falsificaciones están muy conseguidas y resultan difíciles de distinguir del contenido legítimo.

Fuente: Naked Security

por Eduardo Medina Tue, 16 Jan 2018 12:56:21 +0000

OnePlus ha sido presuntamente hackeado para robar los detalles de las tarjetas de crédito

Mal empieza el año para el fabricante chino de smartphones OnePlus, debido a que muchos de sus clientes están denunciando la realización de operaciones fraudulentas con sus tarjetas de crédito.

El asunto empezó a emerger el pasado fin de semana, cuando un cliente dijo que dos de las tarjetas de crédito que utilizó para comprar en OnePlus podrían estar siendo usadas de forma fraudulenta, ya que en los últimos seis meses solo las había utilizado para comprar en la tienda del mencionado fabricante. Esto despertó las sospechas de otros clientes que empezaron a denunciar lo mismo a través del foro de OnePlus, Twitter y Reddit.

Muchos clientes empezaron a explicar que las actividades fraudulentas con sus tarjetas de crédito empezaron después de comprar un smartphone o accesorios en la tienda electrónica de OnePlus, por lo que se reforzaron los indicios de una filtración de datos procedente de ahí. La empresa de ciberseguridad Fidus ha publicado una entrada en su blog corporativo detallando el posible problema con el sistema de pago utilizado por el sitio web de OnePlus, el cual ha podido ser comprometido.

Fidus explica que OnePlus realiza actualmente las transacciones ella misma desde su sitio web, esto significa que los datos de facturación, junto con los detalles de la tarjeta de crédito, pueden ser interceptados por actores maliciosos. “Si bien los detalles del pago se envían a un proveedor tercero al tramitar el formulario, hay una ventana con código malicioso que puede desviar los detalles de la tarjeta de crédito antes de que sean cifrados”. Tras explicar esto, Fidus quiere dejar claro que OnePlus no ha padecido (al menos supuestamente) ninguna brecha de datos, sino que la instalación de Magento que utiliza el fabricante chino como comercio electrónico ha sido hackeado para robar los datos de las tarjetas de crédito.

Cómo han sido interceptado los detalles de las tarjetas de crédito de los clientes de OnePlus según Fidus

Ante el revuelo generado, OnePlus se ha visto forzada a tener que dar la cara, explicando que no almacena ningún dato de tarjeta de crédito y que todos los pagos son llevados a cabo a través de un socio de procesamiento de pagos compatible con PCI-DSS, al menos que el usuario haya seleccionado la opción “guardar esta tarjeta para futuras transacciones”, con la cual entonces sí se almacena la tarjeta de crédito del usuario, pero esta no es introducida tal cual en el servidor, sino que se protege con un mecanismo de tokenización. Además, el sitio web de OnePlus funciona enteramente con HTTPS, por lo que las comunicaciones están cifradas. La compañía ha confirmado que los que hayan comprado a través de otros servicios como PayPal no están afectados por este problema.

De momento el fabricante no aclara de dónde ha podido venir el problema, pero confirma que no se trata de ninguna vulnerabilidad hallada en la tienda electrónica Magento. Sin embargo, es importante decir que OnePlus no utiliza una implementación estándar de la conocida solución de comercio electrónico, sino que en 2014 dicha parte fue reconstruido en su totalidad utilizando código personalizado para así añadir pagos mediante tarjeta de crédito, que nunca fueron implementados en el módulo de pago de Magento según OnePlus.

Hasta ahora el incidente ha afectado a unas 100 tarjetas de crédito según datos que se pueden extraer del foro de OnePlus. El fabricante ha anunciado una investigación en torno a este asunto y ha recomendado a los usuarios afectados ponerse en contacto con los bancos para revertir los pagos fraudulentos.

Fuente: The Hacker News

por Eduardo Medina Tue, 16 Jan 2018 10:58:20 +0000