Desenmascara.me

How to verify whether a website is legitimate or not?: desenmascara.me

miércoles, 28 de septiembre de 2011

Como robar datos de usuarios para realizar campañas virales

El otro día me encontré un e-mail de este tipo en mi buzón (enviado por uno de mis contactos):


Al día siguiente, el incauto fué consciente de lo que había ocurrido y envío el siguiente correo a todos sus contactos (entre los que me encontraba yo) y ¡¡con CC visibles mostrando más de 100 cuentas de correo!!, bueno, al menos tuvo el detalle de avisarnos :-)


¿Un virus?, vamos a ver de que se trata. El enlace tan llamativo para ver las fotos apunta a la siguiente dirección:

y envía por parámetro GET la dirección de correo de quién accede desde el enlace malicioso. Pero dicha dirección está configurada para redirigirnos temporalmente a otro sitio (estas campañas suelen durar poco) en concreto nos lleva a:


que nos presenta en el navegador el siguiente formulario


en el cual introducimos nuestra cuenta de correo y contraseña que usamos para la mayoría de servicios que tenemos (hay hasta quién se enorgullece de ello), y esta irá a parar tranquilamente a una suculenta BBDD con direcciones de correo y contraseñas.


mientras tanto, siguiendo con nuestro periplo vamos a parar a una web de este estilo:


sí lo probábamos varias veces, al final nos redirigía a Google, ya que nos habían fichado ya, qué es de lo que se trataba.
pero podíamos volver a ver el mensaje anterior tan solo modificando el parámetro aff_id

En conclusión, se trataba de una de estas estafas promociones de tarificaciones especiales por cada mensaje en el móvil, y por el mismo precio además conseguían credenciales de cuentas de correo con su password correspondiente para seguir distribuyendo la supuesta promoción e inflar el negocio, que la crisis nos ha afectado a todos.

NOTA: Un antivirus no hubiera servido de nada en este caso, ya que se trata de Ingeniería Social, el mejor antivirus conocido ante esta técnica es la formación y concienciación.

lunes, 5 de septiembre de 2011

Seguridad informática != Seguridad de la información

"Information security is no longer a technology-focused problem. It has become the basis for business survival as much as any other issue."


La seguridad informática es sólo una parte del gran cuadro de Seguridad de la Información. Y de esto último es de lo que se ocupan los SGSI, pero no hablemos de estándares, sino del concepto en sí de Seguridad de la Información y en como se diferencia de seguridad informática.

Sobre decir que la seguridad informática es muuuy importante, en particular para los departamentos de sistemas y tecnología, pero la Seguridad de la información va más allá del concepto técnico para enfocarse en los procesos del negocio y en el flujo de datos tanto electrónicos como papel. Este marco nos ayudará a entender donde invertir el presupuesto (siempre limitado) para proteger los sistemas y dispositivos con información más sensible y más esenciales para la organización. INCISO: Consultar el libro "Security Metrics: Replacing fear, uncertainty and doubt" para la creación de cuadros de mando de Seguridad.

El software inseguro es uno de los principales motivos de la inseguridad de la información, el manejo de los procesos y los sistemas de información por parte de personal no concienciado lo suficientemente es otro de ellos. ¿Por qué una empresa se va a gastar cientos de miles de euros en proteger un servidor cuando se pueden volcar datos sensibles en un Smartphone, con pocas o ninguna medida de seguridad, que ni siquiera pertenece a la empresa?

Es absolutamente necesario que las empresas dispongan de medidas de seguridad informática en sus servidores y dispositivos (de forma propia o externalizada). Pero un buen número de herramientas de seguridad configuradas y controles técnicos establecidos no son suficiente para manejar los riesgos de las empresas de la captura, procesamiento y uso de datos sensibles.

Si todos los miembros de la empresa supieran que datos se procesan y porque, como se usan, y que  se debería prescindir de ellos tan pronto como el costo de almacenarlos y protegerlos exceda el valor del negocio de retenerlos, eso, sería vital para reducir el daño que un incidente pudiera ocasionar. Ha habido ejemplos recientes de incidentes que conservaban datos sensibles más allá del punto en que eran ya de poco valor. Estos datos representan una gran responsabilidad (evitable) cuando un incidente ocurre. Los de IT pueden controlar el acceso a una base de datos, pero quizá no pueda imponer estrictos controles de retención o forzar el hashing u otros controles similares sin un mandato regulatorio o legal. La seguridad informática compone una pequeña parte de la Seguridad de la Información, la primera es la parte técnica y la segunda un proyecto global o proceso continuo, o mejor aún; una actitud.  

Basado en el original