domingo, 18 de noviembre de 2007

Storm, Botnet al servicio del crimen

Storm, la botnet de lanzamiento de troyanos, ha vuelto a burlar las defensas de los usuarios infectando sus ordenadores con virus y otras amenazas cibernéticas.
Los protegidos de Russian Business Network (RBN), del que se ha hablado tanto en relación al software malicioso y que misteriosamente desapareció la semana pasada después de desplazar sus operaciones desde Sant Petersburgo, Rusia, a Shanghai están involucrados en el ataque, dijo Paul Ferguson, técnico de red de Trend Micro Inc.
El WS GeoCities están infectados con código JavaScript malicioso que redirige el navegador de los usuarios a segundas URLs alojadas en Turquía, dijo Ferguson. Las URLs de Turquía, mientras tanto, tratan de persuadir al usuario para descargar un nuevo codec que supuestamente se necesita para ver las imágenes del los sitios de GeoCities. De acuerdo con el análisis de Trend Micro, el falso codec -- que pretende ser para los 360 grados del formato IPIX -- es en realidad una amenaza cibernética para el robo de información.
Los Fake-códecs se han convertido en la más reciente elección de los phishers, con notable éxito en los confiados usuarios.
Los ataques de la semana pasada, que se originó en las páginas hackeadas de MySpace -- incluida la de la cantante de "R & B Alicia Keys" -- utilizó codecs de sonido.
Storm ha dirigido a "hyping-codecs", dice Ferguson, y los administradores de la botnet son ágiles y flexibles en su enfoque a través de ingeniería social. "Ellos interrelacionan los codecs con otros tipos de ingeniería social", dijo.
Storm se ha convertido en mucho más que un nombre para una familia de virus y otras amenazas cibernéticas, se ha convertido en un canal secreto de distribución para estos delincuentes, dijo Ferguson.
“Es una red de comunicaciones, una manera para que comuniquen la información que desean sembrar,” "Y es una forma de que ellos, para llegar a lo que han recogido" a las nuevas comprometida computadoras, añadió. "Es una red secreta".
Ferguson también dijo que había evidencias que los clientes conocidos de RBN eran responsables de este nuevo mal uso del botnet Storm. “Algunos de los mismos operadores de RBN están implicados,” . “Son miembros del mismo equipo.”

Técnicas de Phishing

Si nos seguimos centrando en primera instancia al correo electrónico, pero siempre sin olvidar que el inicio del “phishing” puede ser a través de otros servicios:



• Sitio Web
Ejemplo el servidor italiano aruba.it, en junio de este año sufrió un ataque a gran escala usando la herramienta Web Sploit MPACK información desde las páginas de Panda:



Este Kit que se ejecuta en un servidor web que tenga instalado PHP y que dependiendo del navegador utilizado por el usuario, intenta explotar diferentes vulnerabilidades en el equipo de dicho usuario. Hispasec informaba de 11179 Web Sites legítimas comprometidas, es decir que las personas que visitaban dichas páginas y su sistema era vulnerable, eran redireccionadas mediante un IFRAME oculto a otras máquinas donde eran afectadas por la descarga de un troyano con programas capaces de robar información confidencial como la de acceso a la banca electrónica.
El programa malicioso detecta automáticamente el navegador entre los que incluye:
• Internet Explorer
• Opera
• Konqueror
• Lynx
• Netscape
• Mozilla
• Firefox
Y entre los Sistemas Operativos:
• Linux
• Windows
• Windows NT
• Mac
• FreeBSD
La última versión de mPack, 0.90, incluye los siguientes exploits:
• MS06-014
• MS06-006
• MS06-044
• MS06-071
• MS06-057
• WinZip ActiveX overflow
• QuickTime overflow
• MS07-017

Entre los “Top Ten” de las páginas infectadas de la versión 0.90 se encontraba la de la presentadora Marta Torné, lo que provocó gran número de infectados en España.
El código malicioso descargado nos llevaba a servidores alojados en máquinas pertenecientes al Sistema Autónomo de Russian Business Network (RBN), empresa que iremos encontrándonos a lo largo de este artículo.
Este es un método cada vez más popular del ataque de phishing, una Web con contenido malicioso. Esté puede estar incluido dentro de una página Web administrada por el Phisher, o de una página de una tercera parte con un cierto contenido encajado, como en el ejemplo mencionado.
Las técnicas empleadas son tales como:
1) La inclusión de código HTML (tales como el que está presentado en el ejemplo del email de Westpac). dentro de Web site populares, tableros del mensaje.
2) El uso de terceros, o falsificaciones, banners de publicidad para llevar a clientes al Web Site del Phisher (ver técnica siguiente “banners”)
3) El uso de bugs (items escondidos dentro de la página tal como un gráfico de “tamaño-cero”) rastrean a un potencial cliente para un ataque de phishing.
4) Insertar código malicioso dentro de la página Web que explota una vulnerabilidad conocida de los clientes e instala el software del Phishers (p.e. keyloggers, grabadores screen, pertas traseras y otros troyanos).
5) El abuso de relaciones de confianza dentro de la configuración del cliente Web para utilizar los scripts de sitios autorizados o áreas de almacenamiento de datos.
6) El uso de ventanas de publicidad automática (pop-ups) o frameless para disfrazar el origen verdadero del mensaje del Phishers.



• Banners
Otra de las técnicas utilizadas es la inserción de banners publicitarios del servicio de la entidad bancaria que en el hipervínculo nos lleva a la Web-Spoofing.
Los banners de publicidad es un método muy sencillo que los Phishers utilizan para redireccionar a un cliente de una entidad a un Web-Spoofing para capturar la información confidencial. Usando copias de banners publicitarios y colocando en sitios Web populares y algunas técnicas sencillas de la ofuscación de URL para oscurecer el destino final.


• IRC e IM
El aumento de las comunicaciones en tiempo real empleando Internet, ya sea el antiquisimo IRC como el novel y popular IM (Mensajería instantánea) son sistemas que el phisher explota para comunicarse con las victimas y a través de las funcionalidades que incluyen el software de comunicación establecer los vectores del ataque.
Muchos clientes IRC y de IM permiten incorporar contenido dinámico (p.e. gráficos, URL, multimedia, etc.) para enviar a los participantes de un canal, es una tarea trivial emplear muchas de las técnicas de phishing utilizadas en ataques basados en Web.
El uso común de Bots (programas automáticos que escuchan y toman parte en debates en grupo) en muchos de los canales populares, implica que es muy fácil para un Phisher mandar anónimamente información semirelevante de enlaces e información falsa a las potenciales victimas.



• VoIP phishing (vishing - voice phishing)
El vishing es similar al email fraudulento en que el phisher se hace pasar por la entidad bancaria, aquí a través de la voz simula una aparencia y conjugando técnicas de ingeniería social redirige a la victima a sus propositos, como que se conecte a la WebSpoofing, se baje el software malicioso o simplemente a través de telefonía le facilite los datos confidenciales. Tambien el ataque puede venir a través de otro servicio (IM, email, …) y desviar al usuario a un control telefónico.



• Resultados de busquedas
El emplear técnicas de promocionar la respuesta en buscadores es una de las técnicas utilizadas para que el usuario al buscar un servicio o página Web encuentre el resultado del phisher y así encaminarle a su interés para sonsacarle la información.



• Tablones de anuncios, foros de noticias, redes sociales
La inserción de mensajes con carga de Ingeniería social, recomendando acciones que conllevaran a situaciones de exposición al peligro en vez del propósito de la victima con la realización de la actividad que pensará que con esa acción realizaría la actividad propuesta por el phisher.


• Descarga de software a través de servicios de Internet
Los fakes, o software falseado, es otra de las técnicas utilizadas para insertar código malicioso en las máquinas de las victimas. El uso masivo de clientes de intercambio de ficheros hace que sea muy fácil la distribución de estos malwares.


• Phishing por equipos troyanizados
Mientras el medio de destino del ataque de phishing se puede variar, el origen del mismo cada vez más es utilizado PC’s comprometidos Cuando un Troyano ha sido instalado permite al phisher (junto con remitentes de spam, programas warez, Bots de DDoS, etc.) utilizar la computadora personal como un propagador de los mensajes. Consecuentemente, el rastreo al iniciador del ataque de Phishing es muy difícil.
Los equipos troyanizados va en aumento a pesar de las empresas antivirus. Las redes criminales han desarrollado técnicas de éxito para engañar a los usuarios e instalen el troyano. Ahora operan grande redes troyanizadas (pasar de más de mil equipo no es una rareza) capaces de lanzar emails de phishing o servir de alojamiento de Web-Spoofings.
Esto no quiere decir que un Phishers no utilice troyanos contra un cliente para observar específicamente su información confidencial.
De hecho, para recoger la información confidencial de varios miles de clientes simultáneamente, el Phishers debe ser selectivo acerca de que información desean almacenar o tendría una sobrecarga de información.

Metodología del engaño

Hasta ahora hemos visto la historia del phishing y como evoluciono desde los primeros engaños hasta el empleo de sofisticación técnica. Veamos como esclarecemos algunas técnicas que nos ayudaran a identificar ante caso nos podemos encontrar, para ello iremos clarificando algunos conceptos que hemos estado empleando:

El Método inicial es el conseguir los datos confidenciales que permitirán el acceso a las cuentas bancarias a través de Internet, para ello se puede recurrir a uno de los servicios más utilizados en la red que es el correo electrónico, pero sin olvidar otros servicios emergentes que están siendo objeto también del phishing que son, entre otros, la Mensajería Instantánea, los foros de noticias, las redes sociales, los buscadores, el P2P, las páginas Web,…

Dentro de la subcategoría por correo electrónico debemos subdividir en dos modalidades mediante correo electrónico selectivo o mediante SPAM, en ambos casos el mail debe incorporar la estrategia de captura y a través de un HOAX, engaño o bulo, lo que llamaremos Ingeniería Social, conseguir que la carga actué:

Esta carga adicional que incorpora el email puede ser código de captura en el mismo correo, redireccionamiento a otra ubicación para inocular código malicioso o capturar los datos por una falsa Web (Web Spoofing). El código malicioso puede realizar modificaciones de los mecanismos de traducción de los nombres de dominios y resolver el recurso en Internet a su interés malicioso, es lo que se ha venido a llamar “Pharming”, o bien modificar el comportamiento de la máquina infectada agregando servicios y procesos que daran una operatividad a la misma de acuerdo a la función maliciosa a desarrollar, ejemplo de esto es el caso de noviembre de 2003 con la modificación de un troyano que habilitaba a la máquina infectada a actuar como máquina zombie, además de hace correr un keylogger cuando la misma se conectaba a direcciones de Internet que contenía una de las palabras claves de monitorización y que se correspondía con entidades financieras.

En síntesis estos correos electrónicos se basan principalmente en dos técnicas underground, el SPAM y la Ingeniería Social.

El Spam se basa en trabajar con gran cantidad de victimas potenciales, también se le conoce como Junk mail, o correo basura, y esta apareciendo en otras modalidades de comunicación como la mensajería instantánea (SPIM), Servicios de mensajes cortos (SMS Spam), Telefonía IP (SPIT).
Como características básicas encontramos:
- Dirección del remitente no conocida y habitualmente falseada
- Mensaje no suele tener dirección reply
- Presenta un asunto llamativo
- Mayor parte del Spam era en inglés aunque ahora aparece en otros idiomas
Emplean para su difusión técnicas anti-antispams:
- Envío de correo - verificación de la recepción
- Servidores de correo vulnerables o mal configurados, en concreto los que están configurados como Open Relay, que no necesitan usuario y contraseña para ser utilizados y que permiten a cualquier usuario enviar mensajes sin comprobar su remitente (que normalmente estará falsificado). Existen Open Relay Database
- Open proxies
- Ordenadores comprometidos por malware: determinados malware realizan acciones encaminadas a permitir el envío de spam a través de los ordenadores que afectan, como la instalación de servidores proxy. Incluso es posible alquilar el uso de botnets, verdaderas redes de ordenadores afectados por bots (híbridos de gusanos, troyanos y backdoors).
- Suplantación (spoofing), camuflaje (munging)
- Ataques del tipo DDoS (distributed denial-of-service) contra servicios DNSBL y otras fuentes anti-spam
- Emplear configuraciones deficientes de servicios DNS
- Emplear dominios caducados
- NDR falso (notificación de entrega fallida -Non-Delivery Report)
- Mensajes con sólo un archivo con extensión ‘.jpg’ o ‘.gif’
- Envío alfabético (mensajes enviados a grupos en orden alfabético)
- Envío horizontal (muchos mensajes enviados a muchos grupos)
- Envío vertical (muchos mensajes enviados a un grupo)
- Crosspost (un mismo mensaje se envía una vez a varios grupos)
- Multi-Post (un mismo mensaje se envía varias veces a varios grupos)
- Hash Buster (contenido válido mezclado con contenido errático)
- Payload (la parte del spam que realmente se difunde)
- Enviar mensajes y cerrar cuentas
- División de la línea de Asunto del mensaje mediante falsos saltos de línea
- Uso de caracteres nulos (codificación de tipo Quoted-Printable)
- Encapsular una etiqueta "map" con una de tipo HREF, de tal forma que en lugar de una URL maliciosa aparezca otra legítima
- Permutar letras en las palabras usadas. El mensaje sigue siendo legible para el receptor, pero los filtros no reconocen las palabras usadas
- Uso de caracteres ASCII para “dibujar” el contenido del mensaje
- Invertir el texto, utilizando la anulación derecha-a-izquierda (right-to-left override) de Unicode, expresada como entidades HTML (‮ y ‬)
- Uso de etiquetas HTML incorrectas
- Codificación de URLs
- Empleo de entidades HTML para ocultar determinadas letras
- Uso de tinta invisibles
- Incluir el mensaje de spam como archivo adjunto en otro mensaje válido
- Uso de CSS (Cascading Style Sheets) en los mensajes de spam para ocultar determinadas palabras o partes del mensaje.
Como se distribuye:
- Empleo de robots (programas automáticos), que recorren Internet en busca de direcciones en páginas web, grupos de noticias, weblogs, etc
- Trampa de spam (opción preseleccionada por defecto en un formulario online)
- Sitios web que solicitan información para brindar un determinado servicio
- Hacer clic en ‘Aceptar’ sin leer la letra pequeña y sin desmarcar lo no deseado
- Servicios gratuitos de descarga (warez)
- Suscripciones por Internet (opt-in)
- Grupos de noticias, foros de discusión, listas de correo ((el spammer después de darse de alta anota el resto de usuarios del grupo)
- Técnicas de DHA (Directory Harvest Attack): el spammer genera direcciones de correo electrónico pertenecientes a un dominio específico
- Compra de bases de datos de usuarios a particulares o empresas
- Encuestadoras (de opinión)
- Chat, juegos en línea
- Cadenas y difusión de cadenas
- Entrada ilegal en servidores
- Por ensayo y error, ataque por diccionario
- Virus, spyware, cookies, phishing
- Otros
La Ingeniería Social se basa en el error humano y se trata de conseguir a través de los sentimientos o de la confusión, de esa forma rompemos la cadena de la seguridad por este eslabón, que muchos consideran como el más débil. Se apoya en que la gente tiende a ayudar, en primera instancia es confiada, no le gusta decir que no, le gusta que les elogien y se dejan llevar por los sentimientos como la ambición, la curiosidad, el miedo, la codicia, la vergüenza, la solidaridad, la compasión, la lujuria, ,,,
El empleo de SPAM con un bulo (HOAX) de forma que el receptor abra, lea, obedezca o simplemente realice lo que ha planificado el remitente es lo que se conoce como SCAM.

sábado, 10 de noviembre de 2007

Evolución del SCAM para el Phishing 3

En noviembre de 2003 aparecen los primeros casos de ataque a la banca On-Line, donde se envía un fichero con contenido malicioso, lo que es conocido como “troyano” para hacer phishing de la información bancaria. El troyano fue distribuido selectivamente a Pimes con actividad en Internet.
Ese ataque de email selectivo introducía el troyano embebido en código HTML y aprovechando la vulnerabilidad del manejador MHTML, de este modo fue posible incluir un script en el archivo, y ejecutarlo en la zona local. El troyano era una variante del Spy-Tofger, ZINX y VBS/Psyme, con los siguiente métodos de infección:


  1. Accediendo a una página Web donde está el código malicioso.

  2. A través de un email con el código malicioso en HTML o con el enlace a la Web

  3. Mediante la instalación y ejecución de un programa Visual Basic Script (.vbs) por cualquier otro método distinto a Web o email

Por la Web http://66.227.73.44 empleaba 2 vectores de infección:

  1. Graba 1.gif a C:\Program File\Windows Media Player\vmplayer.exe” y redirige a la url “mms://” que lanza el “Media Player”, mejor dicho el programa recien grabado.

  2. Carga “downkiller.php” (bug de .hta de IE, guarda y ejecuta un .vbs que descarga 1.gif a q.exe y lo ejecuta, borrando el fichero si ya existe
Al ejecutar el programa descargado se realizaban las siguientes acciones:

  1. Se copian 4 ficheros: system.exe, svchostc.exe, svchosts.exe y msto32.dll.

  2. Se añade una referencia en el registro para que se ejecute al arranque el system.exe

  3. Crea el identificador del usuario local con el formato:
    ddddmmmmyyyyhhhhMMMMssss, donde los 4 bytes “dddd” son el día, “mmmm” el mes, “yyyy” el año, “hhhh” la hora, MMMM los minutos y “ssss” los segundos, los valores se cumplmentan con ceros por delante. Por ejemplo: 00230011200312520027

  4. Recupera la identificación del registro:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Mserv “IDWin”

  5. system.exe al ejecutarse:
    a. Ejecuta los ficheros svchosts y svchostc
    b. Utiliza la librería msto32.dll para captura de teclas
    c. Crea y utiliza el fichero “c:\winnt\sysini.ini” como almacén de las capturas
    d. Acepta conexiones al puerto 10002 y permite la ejecución de varios comandos:
    i. RUNF: Ejecuta comando
    ii. PROC: Lista procesos
    iii. LIST: Lista ficheros
    iv. FIND: Busca fichero
    v. DELE: Borra fichero
    vi. DOWF: Carga fichero o directorio a un sitio FTP remoto: IP: 66.227.73.44, Usuario: jkrikho, Contraseña: kBwSB6xQ
    vii. UPLF: Descarga fichero de un sitio FTP o WEB remoto
    viii. UPDT: Descarga de actualización de troyano
    e. Envía la siguiente petición HTTP, a modo registro:


  6. Banesto, ebankinter, Sabadell, Santander Central, kutxanet, BBVA net Office, Login Page, Bank of China, online@hsbc, HSBC in HongKong, AIG Credit Card, Citybank HongKong, Bank y qweqwe121312 En el momento que el usuario infectado se encuentra en Internet y pulsa una tecla, comprueba si el título de la ventana actual (el tag de una página Web genera el título) (en primer plano) contiene alguna de las subcadenas de caracteres que tiene almacenadas:

  7. Si encuentra alguna de las subcadenas anteriores:
    a. Se guarda a disco el contenido del portapapeles, el título de la ventana y la tecla que se ha pulsado y a partir de aquí se guardan las pulsaciones hasta que se cambia el título de la ventana.
    b. Cada 30 seg y cuando esta conectado a Internet realiza:
    i. Reejecuta los ficheros svchostc y svchosts si fuese necesario
    ii. Comprueba la longitud del fichero sysini.ini y si es mayor de 200 bytes hace lo siguiente:
    1. Abre conexión TCP contra la dirección 194.67.23.10 (smtp.mail.ru)
    2. Compone mensaje con las directivas del protocolo SMTP:

  8. Keylogger “msto32.dll” es la librería encargada de realizar la captura del teclado, utilizada por el fichero system.exe, está librería se utiliza también en el troyano Spy-Togfer.

  9. Proxy “svchosts.exe” es lanzado por system.exe y pone a la escucha en el puerto 4488/tcp, servicio proxy peticiones HTTP y HTTPS.

  10. Proxy “svchostc.exe” es lanzado por system.exe y pone a la escucha en el puerto 3388/tcp, servicio SOCKS, similar a PROXY pero orientados a servicios no http.
    Como se ve en el código la Organización delictiva a través del email spaintroi@mail.ru tenía los datos confidenciales de las victimas, solo les quedaba realizar los apartados “b” (transferencia del capital a otra cuenta) y “c” (sacar el dinero del país victima al país de la organización).

lunes, 29 de octubre de 2007

Evolucion del Scam para el Phishing 2

  • Durante ese año se elevan consideradamente el número de scams a ebay y Paypal





Cuya cabecera técnica refleja el spoof:

Return-Path:
Delivered-To: webmaster@millersmiles.co.uk
Received: (qmail 21262 invoked from network); 6 Jun 2003 21:21:49 -0000
Received: from unknown (HELO mail.almtal.net) (217.16.118.12)
by server16.donhost.co.uk with SMTP; 6 Jun 2003 21:21:49 -0000
Received: from localhost (mail.almtal.net [127.0.0.1])
by mail.almtal.net (8.11.6/8.8.7) with SMTP id h56LRD008495
for ; Fri, 6 Jun 2003 23:27:16 +0200
Message-Id: <200306062127.h56lrd008495@mail.almtal.net>
From:
To:
Subject: ebaY Contest
Date: Fri, 6 Jun 2003 23:27:13 +0200
X-Mailer: sendEmail-1.40
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
HELO mail.almtal.net) (217.16.118.12) es una conexión no desde el servidor de correo de ebay el cual es: “mx5.smf.ebay.com and IP address 66.135.209.200”, sino que viene de una máquina en Viena.

También la línea: Received: from localhost (mail.almtal.net [127.0.0.1]), indica que se usa un mail Server interno en la propia máquina.



Al teclear en el link nos llevaba a la página con el formulario siguiente:




Si cumplimentabamos el mismo y lo enviabamos la información era capturada por el phisher.

• Tampoco Yahoo! Se libro ese octubre de 2003 de recibir Scams:



Donde el link también llevaba a una WebSpoofing con formulario de captación de datos:



• Y también en el 2003 aparecen los primeros phishings de datos de entidades bancarias que operaban por Internet:

Estimado cliente de BBVA,
Le comunicamos que próximamente, usted no se podrá subscribir en
Banca Online. BBVAnet es el servicio de banca a distancia que le
ofrece BBVA, disponer de este servicio le permitirá consultar su
saldo, productos y realizar las transacciones bancarias mas habituales desde su ordenador, en cualquier momento, con toda la seguridad que BBVAnet le ofrece, a través de Internet.
Si usted desea tener la oportunidad de poder registrarse en BBVAnet,
por favor acceda al sitio que se muestra a continuación.
http://w3.grupobbvanet.com/

Si usted decide registrarse en nuestra banca online BBVAnet, se le
contactara telefónicamente después de 24/48 horas confirmándole su
subscripción y le llegara una carta por correo con la información
correspondiente para que pueda acceder a su banca online en BBVAnet.
© BBVAnet 2000-2003 All rights reserved
© Banco Bilbao Vizcaya Argentaria S.A. 2000-2003 All rights reserved
Donde se observa el parecido del dominio de la WevSpoofing con el real:
grupobbvanet.com (falso) VS bbvanet.com (real)

OTRO:



En el ejemplo se emplea una de las técnicas de ofuscación de las URL’s: “Friendly login de URL’s”, en general el formato es “URL: //username:password@hostname/path”. El Phishers puede sustituir los campos del nombre de usuario y la contraseña con detalles asociados a la entidad del objetivo. En el ejemplo pone como nombre de usuario: barclays.co.uk, y de contraseña: ac=j06Ek7Hf0lVZlhhbPDDf y el hostname de destino sería: z04pro4.mail333.com. Esta URL de entrada amistosa puede engañar exitosamente a muchos clientes en el pensamiento que ellos visitan realmente la página legítima de barclays. A causa de su éxito, en muchas versiones actuales de navegadores ha dejado de funcionar este método de codificación.
Después de clikar en el link el usuario era redirigido a la verdadera página de la entidad bancaria pero le presentaban sobre la verdadera página Web una ventana con un formulario cuyos datos de introducirse y pulsar el botón que ejecutaba el envío de la información inba aparar a poder de la Organización delictiva.



CONTINUARA ...



viernes, 19 de octubre de 2007

Evolución del Scam para el Phishing

La Historia del Phishing es tan antigua como Internet, la picaresca para conseguir obtener privilegios gratuitos en páginas de pago, en servicios y en cualquier espacio protegido por datos confidenciales ha llevado a los phishers a desarrollar técnicas de Ingenieria Social apoyadas a veces por técnicas de harding para engañar al usuario y conseguir, de esta manera,los datos confidenciales.

* Las primeras referencias publicadas se remontan a las cuentas de AOL al principio de los años 90.

* 1996 Un phisher se hacía pasar como un empleado de AOL y enviaba un mensaje instantáneo a una víctima potencial. Para poder engañar a la víctima de modo que diera información confidencial, el mensaje podía contener textos como "verificando cuenta" o "confirmando información de factura". Una vez el usuario enviaba su contraseña, el atacante podía tener acceso a la cuenta de la víctima y utilizarla para varios propósitos criminales, incluyendo el spam. Tanto el phishing como el warezing en AOL requerían generalmente el uso de programas escritos por crackers, como el AOLHell.

* En 1997 AOL tomo medidas contra el phishing de forma que añadieron en su sistema de mensajería instantánea, una línea que indicaba que "no one working at AOL will ask for your password or billing information" ("nadie que trabaje en AOL le pedirá a usted su contraseña o información de facturación").

* En mayo de 2001 aparecieron Scams para conseguir las contraseñas de hotmail:

You're one of 100 hotmail winners!

"Usted es uno de 100 ganadores de hotmail", es lo que el mensaje avisa, y "solo" nos pide, que para hacernos acreedor a un regalo, llenemos el formulario adjunto en el texto HTML, con nuestro nombre de usuario de Hotmail, contraseña, un comentario, e incluso ¡una foto nuestra!.

El mensaje lo firma supuestamente el "Hotmail Staff", pero en realidad, proviene de la dirección "max@relay.1c.kiev.ua", y el código HTML recibido, posee un link a la dirección http://193.125.79.67/, la que corresponde según los registros a Tara Shevchenko Kiev University, 01033 Kiev, Ukraine.


* En julio de 2001 AOL informaba sobre un SCAM donde el usuario recibía un mensaje de su proveedor de servicios, donde se le indica que existe un error en el registro de sus datos, y que para poderle facturarle correctamente, y evitar ser dado de baja, debe actualizarlos a la brevedad. En el mensaje se muestra un link aparentemente legal a una página de facturación del propio America On Line. Si usted pulsa en el link, en su navegador se abre esta página, exactamente igual a las páginas oficiales de AOL. Allí, se le dan más detalles del presunto problema con sus datos; se le pide cortésmente disculpas por las molestias causadas; se promete que la información que el cliente estará ingresando será encriptada y solo usada por AOL; y luego se le advierte en una forma muy destacada que la dirección actual de su computadora ha sido registrada y guardada en un archivo de registro (log) para protegerlo a usted de cualquier tipo de fraude.

* También en julio de 2001 apareieron los siguientes mensajes: "Ante el asalto de un grupo de 'hackers' que robó la base de datos de MSN España sentimos comunicarle que debe mandarnos un 'e-mail' con su nombre, apellidos, dirección de 'e-mail' y contraseña antes del 15 de julio. Quien no realice dicho trámite será suprimido de nuestra base de datos."


* En junio de 2002 fueron los usuarios de ICQ quienes estuvieron en peligro al recibir un e-mail que muestra la dirección activation@icq.com y el asunto "IMPORTANT: Your Account Activation Status". El cuerpo del mensaje estaba muy bien preparado y no era diferente del sitio de ICQ. En la parte central había un formulario para el número de usuario (UIN) y su contraseña. Un script codifica una dirección Web y envía la información a la cuenta l3reA2002@hotmail.com, pudiendo ser usados para el robo de información, además de permitir al atacante apropiarse del número identificador y asumir falsas identidades.

* En octubre de 2002 Yahoo informó a la prensa que algunos de sus clientes recibieron un correo electrónico distribuido en forma masiva, en donde se les pedía dar sus números de tarjetas de crédito a supuestos integrantes de la compañía.

* En marzo de 2003 eBay informaba que los usuarios de su portal recibieron mensajes que simulaban ser alertas oficiales de PayPal. Estos mensajes, con todo desparpajo, solicitaban a los destinatarios que remitieran sus datos bancarios y números de tarjetas de crédito. Los correos electrónicos incluían el logo de las compañías, así como enlaces a sus páginas de Internet, y con un diseño muy similar al de los sitios originales. El texto del mensaje anunciaba a los destinatarios que sus cuentas de PayPal habían sido "seleccionadas al azar para ciertos trabajos de mantenimiento" (sic), y por ello, las mismas habían sido puestas en un modo al que llamaban "de acceso limitado". El mensaje, que parecía provenir de la dirección "info@paypal.com", pedía al usuario que introdujera el número de su cuenta bancaria y tarjeta de crédito en un formulario "en línea", incluido en el "e-mail".

CONTINUARA ...

sábado, 23 de junio de 2007

MPACK contra la Banca Online

Websense® Security Labs™ informaba hace pocos días el ataque a gran escala usando la herramienta Web Sploit MPACK información desde las páginas de Panda:

Este Kit que se ejecuta en un servidor web que tenga instalado PHP y que dependiendo del navegador utilizado por el usuario, intenta explotar diferentes vulnerabilidades en el equipo de dicho usuario. Hispasec destaca que hay mas de 10000 Web Site comprometidos, es decir que las personas que visitaban dichas páginas y su sistema es vulnerable sería afectado por la descarga de un troyano con programas capaces de robar información confidencial como la de acceso a la banca electrónica.

Detecta automáticamente el navegador entre los que incluye:

* Internet Explorer
* Opera
* Konqueror
* Lynx
* Netscape
* Mozilla
* Firefox

Y entre los Sistemas Operativos:

* Linux
* Windows
* Windows NT
* Mac
* FreeBSD

La última versión de mPack, 0.90, incluye los siguientes exploits:

* MS06-014
* MS06-006
* MS06-044
* MS06-071
* MS06-057
* WinZip ActiveX overflow
* QuickTime overflow
* MS07-017

Entre los top ten de las páginas infectadas de la versión 0.90 se encontraba la de la presentadora Marta Torné, lo que ha provocado gran número de infectados en España.

El código malicioso descargado nos lleva de nuevo a servidores alojados en máquinas pertenecientes al Sistema Autónomo de Russian Business Network (RBN), responsable también de la distribución del Troyano Anserin/Sinowal/Torpig.

SIT-1 The truth is not single real, also can be digital!

lunes, 18 de junio de 2007

Intervención Juan Carlos Ruiloba en el IV Foro de las evidencias electrónicas


CIBERINTELIGENCIA CRIMINAL

“Intercambiando ideas no solo las sumamos, como decía Bernard Swaw, sino que añadimos algo más, que es el establecer nuevos elementos catalizadores de la multiplicación del desarrollo intelectual.”

Contenido:
1.- Introducción
2.- Ciberinteligencia
3.- Tendencias Tecnológicas
4.- Dificultades de Investigación
5.- Cibercrimen
6.- Ciberinteligencia como solución al Cibercrimen

1.- Introducción
La información ha sido, es y seguirá siendo el combustible del desarrollo de la humanidad y las nuevas tecnologías han influido en catalizar dicho desarrollo. La globalidad de las comunicaciones han roto las fronteras y las barreras idiomáticas, permitiendo un flujo de Información inconmesurable y con gran rapidez de difusión.
Por el contrario la Sociedad no ha podido ni ha sabido adecuarse a esta nueva situación con suficiente garantía de Seguridad, con lo que nos encontramos en un Mundo altamente dinámico y tecnológico donde los ciudadanos conjugan esa disponibilidad con la incertidumbre, preocupación, desconfianza, insuficiencia o inadecuación de las normas legales que se traduce en un potencial peligro de la Seguridad y la Garantía de los Derechos Humanos.
Como se puede paliar esta situación, ahora que se habla del Cambio climático y que todavía hay tiempo de subsanar o paliar el problema, debemos también ser conscientes de que el cambio tecnológico también puede implicar peligros para la Sociedad y debemos reunirnos para conocer dichas amenazas, darlas a conocer y crear soluciones en el marco de todos los aspectos posibles.

2.- Ciberinteligencia

La Cibertinteligencia nos permite el conocer y evaluar las amenazas tecnológicas así como su evolución pudiendo sacar análisis y proyecciones mediante la extrapolación de las situaciones futuras, para adelantarnos a las problemáticas futuras y servir de prevención.

Esta estrategia para contraatacar los nuevos cibercrimenes tiene un factor que es la dificultad de hallar la continuidad necesaria en un entorno permanentemente cambiante; los análisis tácticos vinculados a las particularidades espaciales y geográficas, requiere una abstracción virtual del mundo digital; y por último, el análisis operativo y dentro de éste, la capacidad para determinar la autoría, se complica de modo evidente en este medio.

El fin prioritario de la Ciberinteligencia es conseguir entender el funcionamiento actual y futuro de la Red, lo que lleva a que continuamente la Inteligencia debe crecer con la misma velocidad que los desarrollos de las nuevas tecnologías, debe transformarse con ella para mantener la capacidad de identificar las amenazas y las contra-amenazas, vulnerabilidades y respuestas frente a éstas, así como los factores desencadenantes de las distintas actuaciones maliciosas, esto solo se puede obtener con la suma de esfuerzos de aquellas personas que se adhieran a esta labor preventiva y bajo el marco de esta colaboración se pueden romper todas aquellas barreras que ahora se levantan y se vislumbran prácticamente infranqueables.

La Ciberinteligencia debe crecer con una premisa que no se debe olvidar:

“No hay que creer que hoy en día podemos abstraer las nuevas tecnologías de la Información de cualquier hecho que acontezca, ya que directa o indirectamente encontraremos vestigios de aquélla”.

3.- Tendencias Tecnológicas

Estas nuevas corrientes delictivas que hacen valer el déficit de seguridad de Internet están apoyadas en el difícil seguimiento de las pistas por la multitud de servicios, el dinamismo incremental tecnológico y la globalización virtual de la Red.

Las tendencias presentes y futuras que se detectan son:
• El cambio constante de la tecnología y los medios de comunicación
• El alcance popular de la tecnología.
• La aparición de nuevas formas de relaciones comerciales y sociales.
• La globalización y pérdida de relevancia de las fronteras nacionales.
• La lenta implementación de las políticas de control y cooperación

A nivel criminal también existen las siguientes tendencias:

• La globalización como elemento multiplicador de acción delictiva y beneficio de las acciones criminales
• El incremento de la utilización de las nuevas tecnologías para usos ilícitos gracias a la facilidad de la acción a distancia y la no presencia física del autor de los hechos, que le proporciona una sensación de anonimato e impunidad
• La posibilidad de asociación y cooperación en el negocio delictivo utilizando estos medios tecnológicos.

4.- Dificultades de Investigación

Hace dos años en un foro parecido hable de las dificultades de investigación que ofrecían algunos servicios de Internet que eran utilizados o que en esa época emergían, tales como los Foros, P2P, IRC, entre otros, sin olvidar el correo electrónico y los programas de Mensajería Instantánea, sin olvidar estos hay que empezar a vislumbrar los nuevos servicios y los retos que nos deparan como los mundos virtuales como Second Live, Wonderland inclusión de aplicaciones para el trabajo colaborativo o Hipihi en China, Redes Sociales como la coreana CyWorld, Web 2.0 , VoIP, Blogs o Weblogs, Wiki’s, Social Software, o la VR en la Web 3.0.

Todas estas tecnologías hacen y acercan la tecnología a las relaciones humanas y son fuentes de interacción con los ciudadanos y un foco de acción maliciosa.

¿Pero que peligros se avecinan de esta evolución de las redes?, desde la posibilidad de ser usados por Grupos Organizados como vías de comunicación, a ser vías de envío de material malicioso a través de las mismas, programas de mensajería entre grupos ilícitos con espacios virtuales en la red de material ilegal como el pedófilo, o bien puntos de reunión de Grupos para ciberdelinquir o de almacenamiento de medios materiales para la cibercrimen, intercambio, venta o alquiler de Máquinas Zombies para realización de actos criminales a esta sociedad digital.

Rastros de las comunicaciones, direcciones IP.
Así se hace necesario el conocimiento de los protocolos de comunicación de estos nuevos servicios y los rastros de estas comunicaciones establecidas para poder seguir a los actores que intervienen o bien poder solicitar las correspondientes obligaciones y responsabilidades a las personas que administren esos servicios para que guarden la información necesaria para garantizar esta información en el caso de poder ser facilitada a las autoridades para dar respuesta a un bien jurídico violentado.

Territorialidad
La investigación en Internet tiene otra dificultad añadida que afecta a todas las Policías del Mundo, el espacio de Internet carece de fronteras, y el contenido ilícito, en milésimas de segundos, se difunde por todo el Mundo.

Las Investigaciones constantemente desembocan en Comisiones Rogatorias o acuerdos bilaterales o multilaterales entre países que demoran cuantiosamente el tiempo del esclarecimiento de los hechos perjudicando gravemente el resultado satisfactorio de la investigación, y siempre que la legislación en el país al que solicitemos la información permita facilitarla.

La solución policial se consigue gracias a la cooperación interpolicial acordada en las mesas de trabajo, reuniones, foros y congresos donde se plantean los problemas comunes y se marcan acuerdos de cooperación básicos tendentes a agilizar, asegurar, detectar, analizar y planificar los elementos probatorios para cuando por medio de la Autoridad Judicial del país en cuestión se ordene se pueda llegar a buen fin dicha operación

Espacios públicos de Internet, máquinas caches, proxies, maquinas comprometidas, redes inalámbricas

Del mismo modo que la solicitud de datos a países en que su legislación impida o favorezca la no facilitación de la información requerida de un hecho tipificado ilícito en nuestro país hay más dificultades añadidas como:
• La falta de regulación de los espacios públicos de Internet, locutorios, salas de informática públicas, cibercafés, bibliotecas, centros educativos, máquinas populares de acceso a Internet y otras donde de forma anónima las personas pueden conectarse y realizar actividades ilícitas
• Lo mismo con las redes inalámbricas libres al alcance de equipos con conexiones inalámbricas capaces de conectarse a esas redes para la conexión a Internet con el anonimato de la no pertenencia del grupo autorizado
• Máquinas Zombies controladas remotamente y que permiten ser utilizadas como medio intermedio para dificultar el seguimiento de las comunicaciones

Los Cuerpos policiales llegados al punto de identificar una de esas máquinas anónimas como la del inicio de la actividad delictiva se debe emplear otras técnicas tradicionales para saber quién estaba en ese lugar en el instante señalado.

• De modo similar es que sabiendo que una máquina esta comprometida por ser accesible a través de una conexión ya sea a través de Internet u otro tipo de red o conexión y nos convirtamos en una Work Station virtual de dicha máquina para navegar a través de su dirección IP, con el agravante de que circulan habitualmente por Internet direcciones de máquinas proxies públicas.

Aquí, una vez identificada la máquina comprometida o máquina proxy se debe hacer un Análisis Informático Forense en dicha máquina y en las relacionadas directamente para descubrir las trazas de la conexión y detectar la procedencia de la conexión a la misma.

5.- Cibercrimen

Ciberterrorismo y Cibernarcotráfico

El empleo de las comunicaciones a través de Internet con enmascaramiento, cifrados, esteganografía es una de las dificultades añadidas en la persecución de estos delitos. La solución esta en emplear aquellos medios humanos y técnicos capaces de interceptar, desencriptar y analizar los mensajes que circulan. Además de la potencialidad de que los grupos de Terror atenten contra la Sociedad utilizando la Red.


Fraudes a través de Internet

Además delos fraudes tradicionales adaptados a las nuevas tecnologías como en el caso de las ventas y subastas, la tipología que despunta en este mundo digital es el fraude a la Banca OnLine, modalidad que conjuga un cúmulo de recursos empleando verdaderas técnicas de harding del Underground de Internet, empezando desde la Ingenieria Social, y pasando por la creación o manipulación de troyanos capaces de incorporar keyloggers, screengrabbers, programas de control remoto con apertura de puertos y sockets de comunicación, spyware, técnicas antiforenses con anulación de programas de seguridad, entre otros, siendo Zero-days o empleando técnicas que hacen a la victima desactivar su seguridad como jugar con la necesidad de acceder a un espacio Web o a un recurso donde el antivirus impide su acceso, creación de WebSpoofings para captar información o crear una falsa licitud de actividad de una empresa u organización, Scams utilizando botnets o servidores de correos open relay, máquinas troyanizadas para realizar las transferencias bancarias, utilización de colaboradores engañados para la realización del blanqueo a través de empresas de transferencias internacionales de dinero, contratación de Sistemas Autónomos y creación de dominios con falsedad de los datos.
Y ¿cómo llega la victima a esa trampa digital que es la falsa página?, pues de diversas maneras, bien empleando técnicas de phishing a través de correos electrónicos convenciendo a la victima de que se trata de alguien relacionado con la página real que intenta suplantar para que a través del hiperenlace enviado con el correo llegue a dicho destino y confíe su bien preciado y tesoro a conseguir, bien empleando otras técnicas junto con la Ingeniería social, y ya sea a través de programas de mensajería instantánea, foros, grupos de noticias, listas de distribución, anuncios virtuales, subastas o compra ventas, programas de intercambio, o técnicas fuera de la Red remitiéndote a la misma ejemplo por teléfono:
También la victima puede llegar a la página simulada por acción de un cambio de la configuración de su equipo informático, cambiándole la página de inicio, los ficheros de asociación locales de urls a direcciones IP, virus o troyanos, emplear técnicas de spam para inundar el ciberespacio de correo llevando embebido código malicioso capaz de alojarse en tu máquina y como nave espacial exploradora, llevar incorporado una serie de programas capaces del mejor de los “hackers”, verdaderamente existen proezas que consiguen resultados asombrosos. Por citar uno de ellos reales realizado el año pasado que conjugaba una serie de estrategias para conseguir su propósito.
Una Organización de un País del Este crea y administra varias páginas de pornografía infantil en máquinas controladas por la Organización, en las mismas coloca software malicioso y difunde a través de foro las url’s para que los individuos que accedan a dichas páginas se encuentran que se llevan de regalo un bonito troyano, recién creado que una gran mayoría de antivirus no tienen todavía en sus bases de datos virales, o bien, aquellos que su antivirus detecta y bloquea el acceso lo desactiva la propia victima por la avidez de la visualización de las páginas pornográficas, infectándose, Una vez que el troyano descarga su material deshabilitaba los programas de seguridad.
Mientras tanto la organización envía a nuestro país individuos para aperturar varias cuentas bancarias con documentación falsa.
El troyano en la máquina de la victima incorpora un programa que escucha la barra de direcciones de los exploradores más habituales y utilizando una lista con nombres de objetivos espera que aparezca una de esas palabras para lanzar un sniffer o presentar falsas ventanas simulando la entidad para captar la información. Pero además abre puertos de control remota para habilitar la máquina comprometida como proxy y como cliente ftp,se conectaba a una máquina, para actualizaciones de los códigos maliciosos.
Los delincuentes una vez obtenidos los datos de acceso a la banca virtual, se conectaban a la máquina de otra victima a través del puerto que la habilitaba como proxy y desde esta máquina se conectaban a la banca electrónica donde transferían capital a una de las cuentas que había creado el enviado en el viaje relámpago a España. Así que desde la impunidad de la cobertura que da el realizar las acciones donde la jurisdicción española no llega, hacían la disposición del patrimonio sustraído también por Red.

Pornografía Infantil

La sensación de impunidad y anonimato que proporciona Internet hace que los indeseables de esta faceta delictiva utilicen como medio de distribución de sus infames proezas a cambio de obtención de imágenes y videos de otros individuos de las mismas tendencias. Pero más preocupante es la posibilidad que la Red otorga a la constitución de una comunidad paidófila, donde a los miembros de la comunidad “le identifica, le refuerza y le asiste en su conducta desviada”, proporcionándole no solo el material multimedia para aliviar sus necesidades, o la información necesaria para satisfacerla plenamente, sino una razón de ser, incluso albergando la posibilidad de que la pederastría sea en el futuro una legítima opción sexual más.
La colaboración interpolicial en la lucha de esta actividad delincuencial produce sus frutos en la detección de la procedencia de los intercambios pese a la globalización debido a las interconexiones entre diferentes países y las distintas competencias jurisdiccionales de estos, ya que en el fondo esta lucha no es sino un tratamiento sintomático de otro fenómeno mucho más grave, la agresión sexual y abuso a menores de edad.

Seguridad Lógica. Extorsiones Criptovirales

Los accesos inconsentidos a las máquinas conectadas a la Red obedecen a distintos objetivos, no solo los relacionados a la obtención de información confidencial, ya sea personal o empresarial, ni a efectuar daños informáticos por distintos motivos, generalmente por venganza o competencia, sino que los grupos delincuenciales están empleando estos ataques para coaccionar a las victimas a través de dificultar el acceso a sus recursos, caso de las extorsiones criptovirales, donde a través de una encriptación de la información contenida exigen un rescate para la “vacuna”.

6.- Ciberinteligencia como solución al Cibercrimen

A medida de esta exposición hemos visto algunas problemáticas y su viabilidad de resolución, pero la actuación policial no se limita a intentar resolver esos problemas de una forma puntual cuando el hecho es uno y el problema se suscita, la Policía aquí emplea todas las posibles vías de investigación de forma que lo que se pretende es el tener un conocimiento lo más amplio posible del hecho, reconstruyendo el mismo, conociendo los protocolos empleados, la línea temporal, las máquinas y personas involucradas directa o indirectamente, las necesidades técnicas necesarias para llevar a cabo el suceso, ver si el hecho es puntual o múltiple, y si ha habido otros hechos relacionados ante-contemporáneos-post al mismo, los vestigios que ha producido el mismo en su ejecución, las situaciones que han producido en el entorno humano, social y empresarial, y otras variables que a través de un buen análisis permitirá a los investigadores obtener vías de investigación, pero los problemas de la Seguridad de Internet no solo se intentan paliar de una forma post hechos, sino también los que se producen y los que potencialmente se detectan como viables se transmiten, se intercambian posibles soluciones y se discuten en foros, congresos, conferencias, cursos, encuentros, reuniones, mesas de trabajo, entre los diferentes Cuerpos de Seguridad, Instituciones y Organismos, Empresas relacionadas, Técnicos y especialistas en las materias involucradas, e incluso a las potenciales victimas ya que hasta el ciudadano tiene información valiosa, cuando es victima de un ataque, para aportar al Cuerpo Investigador que permita dar conocer a la Sociedad las formas delictivas detectadas de realización, y establecer políticas de seguridad, tanto en implementación de sistemas, mantenimiento, actualización y control sobre accesos a aplicaciones o sistemas de usuarios autorizados, contraseñas seguras y custodia, gestión de la red por responsable cualificado, son medidas esenciales para evitar un altísimo porcentaje de incidencias en la red.
A nivel técnico el conocer el medio a un nivel superior a los atacantes permite el obtener información más allá de lo imaginado por el autor y que si su sapiencia se lo permite habrá intentado camuflar, modificar o incluso borrar, pero como siempre lo absoluto es improbable por no decir imposible de conseguir, siempre quedan vestigios no controlados por el delincuente ya sean por procesos automatizados propios de las comunicaciones, sistemas, políticas de seguridad, funcionamiento de optimización de los equipos o incluso en caso de fallas de funcionamiento que vierten información en lugares insospechados.
Toda esta información debe ser canalizada, almacenada, ordenada, filtrada, expurgada y analizada mediante técnicas de Inteligencia, CIBERINTELIGENCIA, que nos permitirán una lucha efectiva contra el CiberCrimen.

Madrid a 15 de junio de 2007
(Material docente de libre distribución, citando al autor)

SIT-1 The truth is not single real, also can be digital!

IV Foro de las evidencias electrónicas

15 de junio de 2007 Hotel Ritz, de Madrid

Desde el año 2004 se viene celebrando el foro de las evidencias tecnológicas, un encuentro de intercambio de Información entre técnicos, juristas y responsables de la Seguridad del Estado de las Nuevas Tecnologías y sus circunstancias, con el fin de elaborar un marco legislativo que proteja en última instancia los derechos de ciudadanos y empresas. El acto de este año, organizado por Albalia Interactiva y el despacho de abogados Garrigues, fue el cuarto que se celebra y fue repartido en varias sesiones, siendo estas:

Primera Sesión: Prueba Electrónica, donde participaron:

* Mª Ángeles Manzano, Socia de Garrigues
* Enrique López, Vocal del Consejo General del Poder Judicial
* Manuel Marchena, Magistrado de la Sala Segunda del Tribunal Supremo

Sesión moderada por Cesar Belda, Notario del Consejo General del Notariado. Director General de Feste

Segunda Sesión: Ciberdelincuencia, donde participaron:

* Juan Salom, Grupo de Delitos Telemáticos. Unidad Central Operativa. Guardia Civil
* Jorge Martín. Brigada de Investigación Tecnológica. Cuerpo Nacional de Policía
* Juan Carlos Ruiloba. Sección de Investigación Tecnológica de Barcelona. Cuerpo Nacional de Policía

Sesión moderada por D. Jorge Alcalde. Periodista. Director Revista Quo

Tercera Sesión: Desmaterialización de la Propiedad Intelectual: el ejemplar electrónico, donde participaron:

* Pablo Hernández. Director Servicios Jurídicos. SGAE
* Bárbara Navarro. Directora Antipiratería. NBC Universal
* Salvador Esteban, Director de Asesoría Jurídica de la Federación Antipiratería

Sesión moderada por D. José María Anguiano. Socio de Garrigues

Cuarta Sesión: Aspectos Técnicos de la Prueba Electrónica, donde participaron:

* Vicente Calzado, Director División de Tecnología de Informática El Corte Inglés
* Luis Jara. Director de Seguridad e-Security & Professional Services de T-Systems
* Carlos Jiménez, Presidente de Secuware
* Matías Bevilacqua, Director Tecnológico de Cybex
* Juan Ramón Fontán, Advisory Services Manager de Symantec

Sesión moderada por D. Julián Inza. Presidente de Albalia Interactiva

Esta sesión se cerró con la intervención de Sebastián Muriel, Director General de Red.es centrada en las Actuaciones de Red.es en el Ámbito de la Seguridad Informática.

El Resumen y las Conclusiones finales fueron llevadas a cabo por Antonio Garrigues Walker, cerrando el Foro D. Francisco Ros, Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información del Ministerio de Industria, Turismo y Comercio que destacó los avances que se han producido recientemente en el desarrollo de la Sociedad de la Información en España y el futuro que se avecina.

La sesión de Ciberdelincuencia versó en la visión delictiva actual y la proyección de las tendencias futuras, reflejándose la problemática de la Investigación y las posibles soluciones, encuadradas estas en la colaboración de todos en hacer un Internet más seguro en los nuevos servicios que se lancen y el intercambio de información entre los actores.

lunes, 4 de junio de 2007

No solo es SCAM el Phishing

No solo por Scam llega la amenaza del compromiso de tu privacidad. La forma de rediccionarte a una WebSpoofing puede ser de cualquier forma, desde un mensaje de telefonía móvil a un enlace desde un buscador, pasando por foros, IM, P2P, o cualquier otro servicio. Luego la técnica de phishing empleada puede ser directa o indirecta, es decir introduces las claves en tu Servicio real bajo el control de un sniffer que esta capturando la información confidencial o bien los introduces en una simulación, más o menos similar a la de tu entidad, pensando que la comunicación es de C2B.
En este Blog pretenderé explicar algunos de los sistemas que se vienen empleando en esta modalidad delictiva, sobre todo aquellos menos conocidos o más complejos para asi poder utilizar nuestros servicios con mayor seguridad.
Agradeceré también todas las colaboraciones recibidas que ayuden a los usuarios a solucionar este problema, mediante técnicas detectadas, Web falsas creadas, SCAM's recibidos, ofertas de trabajo falsas para convertirse en colaboradores, etc.

SIT-1 The truth is not single real, also can be digital!
Web Statistics