Botnets (I): ¿Qué es una botnet y para qué se utilizan?

Los botnets son, un conjunto de bots que se encargan de realizan tareas automáticamente. Y ¿qué es un bot? Pues, es un software maligno capaz de controlar un equipo infectado.

Al infectar el equipo una persona ajena y cuya existencia desconoces, puede introducirse en tu ordenador y conseguir que tu equipo haga cosas de manera autómata, como por ejemplo, mandar spam, recabar información…

El mayor problema es que estos ataques son masivos, por lo que la persona que crea una botnet no está infectando sólo un ordenador sino una red de ordenadores de cientos o incluso miles,  y todos con la misma funcionalidad.

Por eso me gustaría aportar algo sobre el tema qué tal vez pueda resultar interesante.

– ¿Para qué se utilizan este tipo de ataques?

Pues para robar la identidad de las personas, aumentar el tráfico de una página para fines comerciales, de esta manera se pueden tirar páginas, debido al colapso que pueden llegar a generar al intentar acceder todos a la misma vez, de esta manera podrías cargarte la web de tu competencia, o simplemente de alguien que te cae mal. También es muy común que se utilicen estas redes para ganar dinero, ya que si controlas cientos de ordenadores puede tener un tráfico muy alto en la web que hayas creado lo que te puede ocasionar beneficios en publicidad, espiar, para conocer los gustos de las personas…  Todas las cosas que se nos pueden ocurrir hacer con una botnet son ilegales,porque aunque en el supuesto caso de que sólo queras infectar equipos y no les des ninguna orden atentan contra la intimidad y privacidad de las personas y desde 2010 se aprobó una ley:

“ Artículo 264. 1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos  ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años.

 2. El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años.”

Este artículo vine a querer decir, que si interrumpes el funcionamiento de una web estás incurriendo en un delito penal, pero recabando más información, he llegado a encontrar, que si tu ordenador forma parte de una botnet y comete actos delictivos el juez te puede inculpar, alegando que debías haber puesto más medios para evitar ser infectado, os dejo el enlace de donde lo he sacado:

http://www.pajareo.com/8537-los-ataques-ddos-son-delito-con-el-nuevo-codigo-penal/#.UN3w3OSzLTo

Visto lo visto, si infectas porque eres un delincuente y si tu máquina actúa sola pues tú eres el delicuente porque para eso eres el propietario, desde mi punto de vista lo que sucede es que como no son capaces de poner leyes que regulen la red, me refiero a leyes coherentes, pues dan palos de ciego y la mejor manera es sancionar a todos.

– ¿Qué Sistema Operativo es más seguro?

Actualmente ningún sistema operativo está exento de éstos ataques, tanto Windows, como UNIX/Linux, y desde 2012 también MAC con Flashback botnet, pero estos virus no sólo afectan a los PC sino que también los dispositivos móviles. Todos los sistemas pueden acabar siendo atacados y convirtiendo nuestros dispositivos en bots.

Hasta hace no mucho tiempo todo aquel que era poseedor de un dispositivo Apple se sentía a salvo de virus, pero debido al aumento de ventas en ordenadores los hackers se han puesto manos a la obra hasta descubrir una grieta en el Mac OS X. Todos sabemos la monumental cuota de mercado del todopoderoso Microsoft, y en mi humilde opinión era lo que salvaba a los Mac de sufrir ataque, porque como ya he comentado antes, crear una netbot sólo tiene sentido si puedes infectar muchos ordenadores rápidamente, por lo que los hackers preferían invertir su tiempo en Windows para así conseguir sus objetivos. Pero el aumento de las ventas y seguramente intentar desmitificar a la marca han conseguido que los usuarios de Apple también deban tener cuidado.

Al igual que los Mac, los ordenadores UNIX/Linux gozan de una excelente reputación. Es cierto que éstos SO son bastante más seguros que Windows, pero no obstante ningún programa es perfecto y más cuando miles de personas están intentando encontrar ese fallo por el que introducirse.

Las nuevas tecnologías son ahora mismo un diamante en bruto, ya que la manera en  la que puedes introducir virus es mucho más rápida. La mayoría de nosotros disponemos de un dispositivo móvil dotado de un sistema operativo y conexión a internet. Además los utilizamos sobre todo para descargarnos app y navegar por lo que son carne de cañón para los hackers.

Os dejo un vídeo que lo explica:

Web relacionadas:

http://es.wikipedia.org/wiki/Botnet

http://searchsecurity.techtarget.com/definition/botnet

http://es.norton.com/botnet/promo

http://cert.inteco.es/Formacion/Amenazas/botnets/

http://www.informaniaticos.com/2011/07/una-nueva-botnet-tdl-4-casi.html

 

Anuncios

Phishing (III): cifras y más

Volvemos a la carga con la última de las entradas referidas al phishing y en esta ocasión vamos a hablar de la envergadura del problema y de algunas cifras que lo representan.

En el último post de phishing hablamos del Anti Phishing Working Group, y es este conglomerado el que cada cuatro meses saca unas cifras en base a los datos que las empresas que colaboran en la detección de phishing denuncian.

El informe del último cuatrimestre (de septiembre de 2012), lo podéis encontrar aquí (en perfecto ingles): http://docs.apwg.org/reports/apwg_trends_report_q2_2012.pdf

De todas formas aquí vamos a destacar algunos de esos datos, para las mas perezosillos, como por ejemplo:

La afectacion de este tipo de estafa por sectores. Como cabría esperar, el sector financiero y el sector de servicios de pago son los grandes perjudicados.

Sin título

click para ver mas grande

En cuanto a la clasificacion por paises que hospedan sitios destinados al phishing, Estados Unidos tiene el dudoso honor de der el lider indiscutible, aunque también es verdad que esta métrica no es equitativa ya que una gran cantidad de los sitios web de todo el mundo esta alojada en país de las barras y estrellas. Aun así la cosa estaría así:

Sin título2

click para ver mas grande

Por otra parte, el asunto de correo electrónico más repetido en el mailing masivo del phishing es el típico “Tu cuenta ha sido accedida por un tercero”. Todo un clásico. Aquí está el top 5:

Sin título

Click para ver mas grande

Y para finalizar esta entrada de datos y curiosidades, y un poco a modo de resumen, os voy a mostrar algunas de las infografías con las que me he topado por la red y que he considerado las mas interesantes. Atentos que contienen también cifras que cuantifican lo lucrativo que puede llegar a ser el phishing para el estafador, y las perdidas que puede ocasionar. Los datos estan actualizados hasta 2011, en las dos primeras infografías y hasta septiembre de 2012 en la otra. Mirad, mirad:

 

Y eso es todo sobre el phishing por mi parte. Recordad que tenéis a vuestra disposición los comentarios, para cualquier cosa que queráis decir. Espero que ahora tengáis una idea más clara sobre el tema y esta serie de posts os hayan servido como punto de referencia. SI echais de menos algun tipo de información no dudéis en decirlo y nos pondremos con ello.

Nos leemos en próximas entradas.

Entradas Relacionadas:

Phishing (I): Definición y ejemplos

Phishing (II): Reconocer y evitar el phishing

Fuentes:

http://docs.apwg.org/reports/apwg_trends_report_q2_2012.pdf

http://milcapeguero.com/2011/07/27/infografia-phishing-en-medios-sociales-y-10-tips-para-evitar-un-ataque/

http://infografia.info/el-phishing-y-tu-dinero-online/

http://blogs.eset-la.com/laboratorio/2012/09/04/infografia-como-funciona-el-phishing/

Phishing (II): Reconocer y evitar el phishing

Volvemos a la carga con una entrega mas sobre phishing. Espero que la entrada anterior fuera suficientemente clara, pero por si os lo perdistéis, podéis refrescarlo aquí. Por supuesto los comentarios también son bienvenidos.

En esta entrada vamos a trata sobre cómo reconocer y evitar el phishing. En realidad, todo depende en ultima instancia del sentido común, pero para los mas despistados os damos algunas recomendaciones.

¿Cómo reconozco un intento de phishing?

Vamos a dejar claro que el phishing no es ningún tipo de virus o “bicho” que ataque nuestro ordenador por lo que ningun antivirus o sistema de seguridad nos protegerá de este tipo de ataques. Los phisers se aprovechan de la ingenuidad de los usuarios y les engañan para que las propias victimas les cedan sus datos, por eso la mayor defensa es ser precavidos. Estos son algunos consejos que podemos utilizar:

1.) NUNCA, su banco le pedirá que introduzca sus datos en una web (Y menos en España que la comunicacion entre el banco y sus clientes se realiza mediante correo ordinario)

2.)En muchas ocasiones, el correo que se recibe suele estar en inglés. En España, lo lógico sería que si tu banco quiere pedirte datos sensibles te los pida en tu idioma, ¿no?

3.)Cuando uses banca on-line procura acceder a la web de tu banco sin seguir ningún tipo de enlace (y menos de un enlace en un sitio que no es de confianza). Resulta mas seguro que uno mismo escriba la dirección en la barra de direcciones.

gmail-phishing-2012

Ejemplo de phishing en gmail

4.)Fíjate en la URL de la pagina y comprueba si el protocolo que utiliza es seguro (https) o no (http). Los bancos siempre utilizan servidores seguros, así que si echas en falta la ‘s’, puedes empezar a sospechar. Sin embargo, deja que la última palabra la tenga tu intuición ya que algunos “maestros del phishing” son capaces de mostrar URL’s distintas a las verdaderas para que sus victimas vean la dirección con la que están familiarizados. Así, aunque la web falsa ste en un servidor perdido con un nombre totalmente distinto los clientes seguirán viendo, por ejemplo, un ‘tranquilizador’ https://www.bankia.es/acceso

5.) Los correos que se reciben, suelen ser impersonales al estilo “Estimado cliente, ” o “Querido usuario de X”; sin embargo lo habitual entre las empresas es que si se comunican contigo utilicen tu nombre/nick: “Sr. Fulánez”, o “Querido mAcHoMeN”.

6.)Otras comprobaciones que puede hacer es pasar el ratón por encima del enlace que se le insta a pulsar y comprobar la dirección en la parte de abajo de la ventana del navegador para saber si es de confianza, o mucho mas fiable, buscar el dibujillo de un candado cerrado (no roto) en el que si haces click podrás ver el certificado de autenticidad de la entidad que esta tras la pagina web. Si no hay candado por ninguna parte, mal asunto.

7.)Si aun después de todo esto, la pagina te parece ‘buena’, pero sigues sin fiarte, nada mejor que hacer una llamada a tu banco y comentarles la situación. Como he dicho, lo principal es el sentido común.

Evitar y Combatir el Phishing

Podemos ver la batalla contra este tipo de estafa desde distintos enfoques:

enfoque humano

Muchas empresas creen que al final si uno es mas listo que los phishers, no podrán engañarle, así dedican tiempo y dinero a entrenar a algunos de sus empleados para detectar intentos de Phishing. En USA, se llegó incluso a plantear un experimento en el que a varios cientos de cadetes militares se les “echaba el anzuelo” del correo electrónico como medio de phishing, y cerca del 80% cayeron en la trampa.

enfoque técnico

phishingPese a que no podemos combatir este tipo de estafa con antivirus o similares, por su propia naturaleza basada en la ingeniería social, cada vez aparecen mas soluciones software que nos pueden ayudar a evitarlo  La mas sencilla es la típica pregunta secreta, que debe responder el usuario con algo que sólo él sepa. Últimamente  algunas webs han evolucionado un poco mas este mecanismo y en lugar de hacerte una pregunta les muestran imágenes secretas elegidas por los usuarios, por lo que si al acceder al sitio no visualizas esas imágenes es que la página no es la que crees que es. Otras soluciones de este tipo son algunos plugins que se incorporan a los propios navegadores, que te muestran la autentica dirección del sitio al que estas accediendo; los imprescindibles filtros antiSpam, que criban los correos de origen sospechoso; y ya para los más drásticos hay empresas que ofrecen sus servicios para realizar una monitorizacion continua con el fin de encontrar y cerrar paginas dedicadas al phishing. Con esta intención, se creo en EEUU una asociación de industrias llamada “Antiphishing Working Group”.

enfoque legal

La justicia también utiliza sus medios para que los estafadores no se salgan con la suya. Son muchos los casos de phishers que se han hecho con auténticas fortunas con esta fraudulenta práctica, y por eso se ha visto la necesidad de crear leyes al respecto. La ley federal anti-phishing de los Estados Unidos establece multas de hasta 250.000$ y penas de cárcel de hasta 5 años.

Espero que con esta entrada tengáis mucho más claro cómo identificar un intento de phishing. Para que os examinéis a vosotros mismos, os dejo el enlace a un test sobre phishing en el que debéis decir si una captura de ejemplo que os ponen es phishing o no. El link es este: http://www.sonicwall.com/furl/phishing/

Y eso es todo, nos leemos en la próxima entrada de phishing con jugosas cifras, números y estadísticas.

Hasta la próxima!

Entradas Relacionadas:

Phishing (I): Definición y ejemplos

Phishing (III): cifras y más

Fuentes:

http://es.wikipedia.org/wiki/Phishing

http://www.recoverylabs.com/informes/Recovery_Labs_phishing.pdf

Phising (I): Definición y ejemplos

Esta es la primera entrada de la serie de entradas en las que trataremos el phishing. Para empezar vamos a plantear la definición del término y algunos ejemplos para que se entienda bien, y luego iremos profundizando un poco mas en entradas sucesivas.

La palabra fishing viene del término inglés ‘phishing’, (en informática y sobre todo en hacking son comunes los juegos de palabras al sustituir el sonido ‘ph’ por ‘f’). Con esta pesquera palabreja se hace referencia a lo que comúnmente llamamos “morder el anzuelo”. Y es que el phising es un engaño, una estafa y por ende un delito ante la ley.

¿En qué consiste el phishing?

El proceso desde el principio hasta el final se puede dividir en dos fases:

FASE 1: En esta fase los phisers (que es el nombre que reciben los estafadores) sustraen datos valiosos de sus victimas tales como datos de acceso a cuentas bancarias y, por supuesto, esta sustracción se lleva a cabo sin que la víctima se entere de nada. Para hacerse con estos datos se pueden usar varias técnicas  aunque la más conocida es la del pharming (que nombraremos mas adelante).

FASE 2: En esta fase los phisers ya tienen el dinero de su victima pero necesitan encontrar una persona que que les ponga a disposición su cuenta bancaria, con el fin de guardar la cantidad sustraída en ella. De esta manera los estafadores no “figuran” en ningún sitio. A la persona que les facilita la cuenta, se le llama generalmente mulero, y aunque normalmente suelen ser también victimas engañadas, la actividad del mulero constituye en si misma un delito, por lo que también son llevados ante la ley.

Modalidades de phishing

739

click para ver las imágenes mas grandes

Como dijimos antes hay un montón de modalidades de phishing según la identidad que suplanten y los datos que sustraigan, así como de los medios empleados. Por ejemplo existe phishing basado en SMS, en redes sociales de videojuegos como Play Station Network, o basado en simples anuncios clasificados en un periódico  Sin embargo el método mas famoso y mas empleado es el del pharming (simulación de entidad bancaria).

Los delincuentes eligen un banco al que copiar su pagina web y la recrean con gran detalle. Luego envían mails masivos con las URL’s de los sitios falsos enmascarados como si fueran los reales (generalmente como link al pulsar un botón del correo), solicitando su información con cualquier pretexto (mantenimiento, verificación de datos, migraciones, etc.) para que los posibles clientes de ese banco tengan que seguir el enlace e introducir sus datos, y estos lleguen así a los servidores de los estafadores. El problema es que al hacer click sobre el enlace del correo un usuario puede ver la URL, y darse cuenta del engaño, por lo que los phisers, ahora tienden a adjuntar un fichero html en los correos, que es el que tiene que abrir la victima para rellenar el formulario con su información. Sin embargo, en el caso concreto del pharming, los delincuentes explotan una vulnerabilidad en un servidor DNS (o incluso en la máquina cliente) y son capaces de redirigir el nombre introducido a un equipo distinto al real.

Métodos de captación de muleros

20070327elpepivin_1

Click para ver las imágenes mas grandes

Quizá haya entre quien lea estas lineas quien piensa en cómo es posible que cualquier persona que vea los telediarios caiga en estas cosas, pero la cuestión es que por desinformación  desinterés o por lo que sea estos casos suceden y más a menudo de lo que se pueda pensar. La treta discurre de la siguiente forma:

1.) Los estafadores mandan de nuevo un correo electrónico masivo, proponiendo una oferta de empleo falsa consistente en hacer de intermediario entre una multinacional y sus clientes, o para desempeñar funciones de “emisario” de la supuesta multinacional en España, con el fin de centralizar los pagos a proveedores.

Un ejemplo de correo podría ser este (Observad la ortografía y la gramática):

Asunto: El trabajo hermoso en la crisis!!
 Buenos dias!
 Somos – una empresa de holding muy grande en el territoio de EE.UU., que desea ampliar su red de servicios en Europa.
 Y en estos momentos estamosen busca de personal en España que nos podra ayudar a comunicarse
 con los clientes potenciales y realizar nuestras investigaciones en el mercado.
 Llevamos a cabo la formación inicial, por lo tanto no se requieren conocimientos en especial.
 Si usted se intereso, por favor, háganos saber: 
 Su nombre, número de teléfono (en el formato internacional) y la ciudad de residencia.
 Nuestros gestores se pondrán en contacto con usted para informarle los detalles.
 Con nuestros mejores deseos.
 Escribanos al correo electronico xxxxxx@xxxxxxxxxxxxx.com

2.) cuando una víctima cae, y responde a la oferta le piden su CV y que acepte un contrato con el que además se le pedirán el nº de la seguridad social y los datos de una cuenta bancaria en la que ingresaran su presunto sueldo. Todos estos trámites son realizados por los estafadores con suma rapidez, para que el mulero no tenga tiempo de plantearse la situación y hacerse preguntas.

3.) Finalmente, se le dice a la victima que va a recibir una transferencia en su cuenta y se le insta a que retire la suma ingresada, salvo una comisión para él mismo y que lo reenvíe a través de alguna empresa de envíos de dinero (al estilo de Western Union) a otra persona cuyos datos ya le habrán dado. En ese momento el delito ya esta perpetrado.

Aquí dejo un vídeo de youtube en el que explican el método que se sigue para realizar una estafa de phishing. El vídeo esta en ingles, pero con los subtítulos y un poco de paciencia seguro que os hacéis con ello 🙂

Estas son las bases del phising, pero tenemos mas información preparada en próximas entradas. Estad atentos y nos leemos en el próximo artículo.

Entradas Relacionadas:

Phishing (II): Reconocer y evitar el phishing

Phishing (III): cifras y más

Fuente:http://www.delitosinformaticos.com/03/2012/delitos/fraudes/informacion-sobre-phishing-ofertas-de-trabajo-falsas-y-blanqueo-de-capitales#.UN9eUm8TlcR

Bienvenid@ a la informatk!

Hoy comenzamos este blog con la intención de informar sobre algunos temas relacionados con la seguridad informática e intentar reunir informaciones al respecto, para lograr que los contenidos sean lo mas completos posible, y que así pueda servir a cuanta más gente mejor.

Vamos a procurar plagar de enlaces, vídeos y demás nuestro contenido para tratar también de hacerlo algo más dinámico.

Así que sin más, sed bienvenid@s a la informatk.

Salu2 🙂