Fraudes para robo de Información: PHISHING, VISHING, SMISHING.

En días recientes, estuve escuchando en un evento de seguridad, un panel de expertos del sector bancario y energético, que hablaban acerca de como se habían incrementado los ataques hacia estos sectores durante esta pandemia de COVID-19.

Uno de los panelistas del sector bancario, hizo referencia a que ellos habían recibido un incremento importante en los ataques de Phishing, Vishing y Smishing, haciendo énfasis en que esto complicaba aún más la ya mermada actividad económica de los bancos.

3844074

Cómo estos ataques se basan en el engaño a la persona, en este caso al usuario del sistema bancario, la educación sería la manera más económico-efectiva de evitar caer en el fraude. Es por este motivo que consideramos importante aportar aspectos relevantes acerca de cada tipo de Fraude:

PHISHING: 

  • Se basa en recibir una comunicación escrita de una fuente que aparenta ser confiable.
  • La comunicación escrita se recibe por email en la mayoría de los casos; pero puede recibirse por redes sociales como Whatsapp o Facebook.
  • Es un engaño a la confianza de la persona que recibe el ataque.
  • El atacante se hace pasar por alguna entidad u organización conocida por nosotros.
  • En la comunicación escrita siempre se le va a solicitar conectar con un sitio web fraudulento para que aporte algún tipo de información (sus datos bancarios).
  • Este sitio web fraudulento va a tener todos los elementos visuales que lo harían parecer como legítimo.
  • La persona podría detectar el phishing al identificar que el nombre de dominio y los certificados no son los que utiliza oficialmente la institución bancaria.

VISHING

  • Se basa en recibir una llamada telefónica en la cual se hacen pasar por un funcionario del Centro de Atención de un Banco.
  • Requiere que antes haya ocurrido un phishing en la que han obtenido datos de la persona para que la llamada pueda ser creíble.
  • El objeto es vulnerar los sistemas de protección de una sola vez que colocan los bancos, para proteger las operaciones con un factor adicional a la clave del ebanking.
  • Los bancos han adoptado el uso de claves de único uso por SMS o han adoptado el uso de Tokens de Seguridad que cambian cada 30 segundos (OTP).
  • La llamada telefónica recurre al engaño basado en la alarma.  Advierten a la persona que han detectado un acceso fraudulento a su cuenta y que requieren de su clave de único uso o de su token OTP para confirmar su identidad.

SMISHING

  • Su éxito radica en el uso que hacen las entidades bancarias de la omnicanalidad, en la cual han adoptado múltiples formas de contacto con sus clientes.
  • Se basa en el uso de SMS o WHATSAPP para comunicarse con la persona para alertar una violación en el uso de su Tarjeta de Crédito.
  • La persona recibe un mensaje donde se le invita a llamar al Centro de Atención de su banco para validar la operación con la Tarjeta de Crédito. En el mensaje se coloca el número telefónico falso del supuesto Centro de Atención Telefónico.
  • El atacante al recibir la llamada, solicitará los datos bancarios de la persona para poder validar su identidad y su supuesto consumo con la Tarjeta.

¿Qué puede hacer para evitar ser víctima de estos fraudes?

  • NO preste atención a ninguna comunicación recibida por el Banco que no haya sido solicitada por usted.
  •  En el caso que no haya hecho ninguna transferencia bancaria o haya hecho uso de sus tarjetas, haga caso omiso a cualquier supuesta comunicación del banco.
  • NO entregue ningún Dato de Identificación Personal o Bancario a través de ningún medio: email, llamada telefónica, website, etc.  Estos datos ya los conoce el banco.
  • NO presione sobre ningún enlace acortado recibido por email o redes sociales en nombre de su banco o equivalente.
  • NO atienda a ningún enlace web recibido por correo, aunque haya sido recibido desde una fuente confiable.  Primero consulte al remitente del mensaje si le ha enviado algún acceso a un sitio web.

Las entidades bancarias y las organizaciones para las que trabaja, seguro han implementado muchas herramientas de ciberseguridad que comentaremos en otras publicaciones, pero cuentan con su sentido común para que no sustraigan información sensible y privilegiada que ocasionen pérdidas económicas para todos.

 

Imagen cortesía de Vector de Tecnología creado por freepik – www.freepik.es

 

 

 

 

 

 

 

 

 

 

Cómo hacer la revisión de Logs al ocurrir un Incidente de Seguridad.

Fuente:  SANS Institute.  Autores: Anton Chuvakin & Lenny Zeltser.

REVISION DE LOGS

ENFOQUE GENERAL.

  1. Identificar cuáles son las fuentes de log disponibles y las herramientas automatizadas que se pueden utilizar para realizar la revisión.
  2. Realizar una copia de los logs a otra ubicación en la que puedan revisarse sin alterar los registros originales.
  3. Eliminar el ruido relacionado con líneas repetitivas, después de confirmar que el evento registrado era benigno.
  4. Considerar la zona horaria al analizar la fecha y hora de los eventos registrados.
  5. Mantener el enfoque en todos los eventos asociados a:
    1. 1 Cambios
    2. 1 Fallas
    3. 1 Errores
    4. 1 Accesos
    5. 1 Eventos Administrativos
    6. 1 Eventos Inusuales.
  6. Revisar los logs un período de tiempo anterior y posterior al incidente de seguridad.
  7. Correlacionar los distintos eventos registrados en los logs para tener una imagen completa de lo que ocurrió.
  8. Desarrollar Teorías acerca de lo que ocurrió y luego verifique si los logs confirman o descartan la teoría.

DONDE BUSCAR.

  • Repositorios de logs de los Sistemas Operativos existentes en los Servidores y Estaciones de Trabajo.
  • Repositorios de los Servidores de Aplicación como WEB y/o Base de Datos.
  • Logs de las herramientas de Seguridad como Antivirus, Firewall, IPS.
  • Registros de Eventos en las Aplicaciones de los Usuarios.
  • No Olvide revisar cualquier otro evento de seguridad aunque provenga de fuentes que no registran Logs.

 

 

 

 

 

Sabes acerca de: “Obfuscated Javascript”

Recientemente en el artículo: “Friends Don’t Let Friends Download Malware” que apareció en el Blog  #Watchguard #Secplicity, llamó mi atención la frase “obfuscated JavaScript file” que traducido vendría siendo “archivo de JavaScript ofuscado”.

Particularmente considero que en el área de tecnología IT, día a día nos encontramos con infinidad de términos técnicos que desconocemos en cuanto a su significado y que empleamos cotidianamente. Terminamos usándolos, aplicándolos y refiriéndonos a ellos sin saber como describirlos.

Así que vamos a comenzar a definir algunos es estos términos. Ofuscado u Ofuscación, es la práctica de hacer algo difícil de entender.

Obfuscated JavaScript

Generalmente aplicado al código de programación para proteger la propiedad intelectual y evitar que un atacante aplique ingeniería inversa a un programa de software propietario. La ofuscación puede implicar cambio del nombre de una clase, nombres de variables, de etiquetas sin sentido o la adición de código no utilizado o sin sentido a una aplicación binaria. En si la idea es crear un código complicado de leer o entender.

No tiene nada que ver con criptografía de la información, es más bien una especie de estrategia para dificultar la ingeniería inversa; de hecho ya existen programas denominados ofuscadores que pueden actuar sobre el código fuente, código objeto o ambos para realizar estos cambios.

Entonces, pudiéramos decir que a través de este método es mucho más fácil para los programadores, incluir algún tipo de virus o malware que pueda de forma indiscriminada, atacar nuestros equipos de escritorio o dispositivos móviles.

(Créditos Fátima Díaz – Revisión José Luis Gomes)