11 millones de usuarios afectados por apps que espían sus datos
Un estudio señala que diferentes aplicaciones recopilan el historial de navegación. Aun no se conoce con quién se comparte la información. ¿Cómo protegerse?
Por Julieta Schulkin.
Varias aplicaciones de la compañía Big Star Labs espían la información de más de 11 millones de usuarios. Lo afirma un estudio del bloqueador de publicidad de AdGuard, que revela cómo recopilan el historial de navegación de sus usuarios. Se trata de una nueva campaña de spyware.
Son aplicaciones catalogadas como maliciosas. Pueden monitorear comunicaciones, robar información, y utilizar el dispositivo infectado de la víctima como si fuera propio.
En este caso, AdGuard descubrió varias extensiones, a través de Google Chrome y Mozilla Firefox para Android e iOS, y apps móviles que recopilan, de manera invisible, el historial de navegación de los usuarios. Se desconoce aun con quién se comparte la información.
La lista completa de las apps y extensiones sospechosas:
– Block Site
– AdblockPrime
– Speed Booster
– Battery Saver
– AppLock
– Clean Droid
– Poper Blocker
– CrxMouse
Todas estas apps sirven para optimizar el rendimiento del smartphone o brindar capas de protección a las apps, entre otras funciones. Por ejemplo, AppLock sirve para que las aplicaciones tengan contraseña o patrón de acceso.
Estas herramientas dicen recopilar datos no personales o anónimos. Pero, según AdGuard, existen muchas formas de descubrir fácilmente la identidad real de un usuario al observar su historial de navegación.
Según un estudio de investigadores de las universidades de Princeton y Stanford, el comportamiento en línea de un usuario determinado se puede identificar al vincularlo con historias de navegación web anónimas y con perfiles de redes sociales.
Además, el problema no solo es que una compañía sepa quién y cómo es el usuario que descarga una app. Esos datos se pueden compartir, vender y combinar con datos de otras fuentes. En definitiva, según indica AdGuard, el producto final es el perfil completo de una persona.
Otros casos
A fines de 2017, varias empresas debieron remover una cantidad importante de aplicaciones de sus tiendas. «Todas tenían en común el hecho de tener integrado un software de publicidad malicioso llamado IGEXIN, que incluía un código para el robo de información», explica a Infobae Martín Fuentes, gerente de seguridad de negocios de CenturyLink LATAM.
«Las aplicaciones afectadas eran de los más diversos tipos y fueron descargadas millones de veces. Debido a su riesgo, debieron ser eliminadas de inmediato del store o reemplazadas por versiones no afectadas», señala.
Ese mismo año, se descubrió una nueva variante de spyware que era capaz de robar una enorme cantidad de información de los usuarios, incluyendo mensajes de texto, correos, fotografías, datos de ubicación y demás. «Si bien el impacto fue muy bajo, este spyware de nombre Lipizzan podría haber tenido gran impacto de no haberse detectado oportunamente», asegura.
Continúa: «Otro caso fue el de SonicSpy que, enmascarado como una aplicación de mensajería, realizaba varias actividades maliciosas, incluyendo la grabación de llamadas y audio del micrófono, el uso no autorizado de la cámara del dispositivo y el envío de mensaje de textos a números elegidos por el atacante. Robaba además información asociada a logs de llamadas, contactos y Access Point empleados, lo que fácilmente podría haber sido usado para ubicar al usuario».
Cómo protegerse
En principio, Santiago Pontiroli, analista de seguridad para Kaspersky Lab., dice a Infobae: «Si bien descargar la aplicación de una tienda oficial siempre es lo más recomendable, no siempre garantiza que la misma no posea ningún código malicioso».
Y agrega: «Podemos leer las reseñas escritas por los usuarios, cantidad de descargas, si el desarrollador tiene otras aplicaciones publicadas, etc. Sin embargo, hoy en día todo esto puede ser falsificado y creado de forma automática por los cibercriminales por lo que, en última instancia, la mejor forma de evaluar aquello que instalaremos en nuestro dispositivo es a través de los permisos que requiere».
Según Pontiroli, teniendo en cuenta los permisos y el tipo de aplicación, el usuario podría evaluar entonces si algo no está bien. «Pocas aplicaciones deberían tener acceso a toda nuestra lista de contactos, o a monitorear llamadas y mensajes, por lo que es una forma básica de poder dar cuenta que algo está mal», manifiesta.
¿Qué ajustes debemos hacer?
Entre las medidas que podemos implementar, el experto sugiere:
– Descargar aplicaciones solo de las tiendas oficiales y no habilitar la opción de instalación de aplicaciones de sitios de terceros.
– Elegir aplicaciones publicadas por desarrolladores con buena reputación.
– Verificar las reseñas y cantidad de descargas de los usuarios.
– Poner especial atención a los permisos requeridos por la aplicación.
– Utilizar una solución de seguridad para dispositivos móviles. El malware no solo afecta a equipos de escritorio y debemos proteger todos los frentes.
6 de cada 10 intentos de phishing en redes sociales surge de páginas falsas de Facebook
El dato surge del análisis de más de 3,7 millones de casos registrados en el primer trimestre del año. Brasil y Argentina están entre los países más afectados.
El 60% de los intentos de phishing en redes sociales durante el primer trimestre del año surgió de falsas páginas de Facebook, según Kaspersky Lab. El dato surge del análisis de más de 3,7 millones de intentos de engaños que fueron detectados por la empresa de seguridad.
Qué es el phishing
Se habla de phishing cuando un ciberdelincuente genera un copia fraudulenta de un sitio, una página en una red social o un correo electrónico y se contacta con el usuario para solicitarle que comparta sus datos personales como contraseña, número de tarjeta, etc.
Se le dice a la víctima que debe ofrecer esa información para actualizar la base de datos de la supuesta entidad, cumplir con una nueva normativa o bien para acceder a un supuesto beneficio. De ese modo, se orquesta el engaño.
Facebook, la red social más utilizada para los engaños
«A principios de año, Facebook era la marca más popular de las redes sociales para el abuso de los estafadores, y los ciberdelincuentes falsificaban frecuentemente la página de Facebook para tratar de robar datos personales empleando ataques de phishing», se destaca en el informe.
Facebook encabezó la lista de sitios empleados para hacer phishing en redes sociales, seguido por VK, una red social rusa muy similar a la creada por Zuckerberg, y LinkedIN. «La razón más probable de esto es que son 2,130 millones de usuarios mensuales activos en Facebook, incluidos aquellos que inician sesión en aplicaciones desconocidas utilizando las credenciales de la red social, lo que les otorga acceso a sus cuentas. Esto hace que los usuarios incautos de Facebook sean un objetivo rentable para los ataques de phishing realizados por los cibercriminales», dice el comunicado.
En el último tiempo surgieron muchos intentos de phishing vinculados con el nuevo reglamento para la protección de datos personales (GDPR, por sus siglas en inglés) que entrará en vigencia en Europa a partir del 25 de mayo.
Los usuarios suelen recibir una invitación para instalar un programa o ingresar a un sitio donde se le explicará cómo funcionará la nueva normativa. En otros casos se les pide acceder a un link para dar su consentimiento y así asegurarse que podrán seguir utilizando el servicio tras la aplicación del GDPR.
Los países más afectados
Brasil fue el país con mayor cantidad de usuarios atacados por remitentes de phishing, con 19,07%. En segundo lugar y con un 13,3% de incidencia queda Argentina. Le siguen Venezuela (12,9%), Albania (12,56%) y Bolivia (12,32%), según el reporte.
Los principales objetivos son los portales de servicios financieros como bancos, tiendas de eCommerce y sistemas de procesamientos de pagos online. De hecho, el phishing financiero representa el 43,9% de los casos. También se registran casos de fraudes por medio del ofrecimiento de criptomonedas.
«Cerca de USD 35.000 fueron robados a través de un sitio de phishing que parecía ofrecer la oportunidad de invertir en Telegram ICO. Aproximadamente, USD 84.000 fueron robados luego de un solo mensaje de correo electrónico de phishing relacionado con la presentación de ‘The Bee Token’ ICO», se subraya en el informe.
Qué precauciones tener en cuenta
No hacer clic en ningún link que llegue por correo y redireccione a un supuesto sitio que pide confirmar información personal. Es mejor escribir la dirección del sitio oficial de la entidad en cuestión, en el navegador.
Evitar descargar cualquier documento adjunto, sobre todo si es un ejecutable. Antes de hacer esto, se sugiere comunicarse directamente con la entidad que le está mandando la información y verificaron con ellos si el mensaje es real o no.
Usar wi fi segura, con contraseña. Es mejor evitar conectarse a las redes wi fi públicas porque pueden ser vulneradas con facilidad.
Nunca ingrese información confidencial en sitios que no cuenten con un cifrado seguro (debe figurar HTTPS en la dirección URL que se ve en el navegador).
Evitar compartir datos confidenciales por mensaje, WhatsApp o mail. Muchas veces los usuarios también se auto envían esta información por algún medio electrónico como recordatorio pero no es una muy buena idea.
Utilizar factor de doble autenticación para ingresar al correo electrónico y redes sociales. Esto puede servir como protección en caso de que el ciberdelincuente haya accedido a la contraseña porque el sistema le pedirá una segunda forma de verificación para ingresar al correo.
Existe una modalidad de fraude -cada día más frecuente- denominada phishing, que consiste en “pescar” información de personas desprevenidas para luego emplearla a fin de robar su identidad y también su dinero.
El phishing es una estafa diseñada con la finalidad de robar su identidad. El delito consiste en obtener información personal tal como números de tarjetas de crédito, contraseñas, información de cuentas u otros datos por medio de engaños y se basa en la psicología humana.
Caso Real:
Robo de Identidad
Gracias a que me denegaron un crédito hipotecario, me enteré de que registro una deuda en el Veraz con una empresa de telefonía celular. Como no me dieron mayores datos, tuve que comprar por Internet un informe crediticio completo en el Veraz y pude constatar que registro una deuda con la empresa Claro por la compra de un teléfono y un abono que jamás solicité. Fui a la compañía y me informaron que alguien, con mis datos, quizás un DNI falso y una dirección inexistente, compró en 2009 un equipo a mi nombre, que por supuesto nunca pagó. Me hicieron firmar una «carta de desconocimiento de servicio» para que luego el departamento de fraude evalúe si se trató o no de una estafa.
Mientras tanto pregunto: ¿es tan fácil comprar un bien con documentación falsa? ¿No hay ningún tipo de control? ¿Quién se hará cargo del perjuicio que esto me ocasiona? Me siento indefensa.
La venganza perfecta para los «cuentos del tío» vía mail
Una herramienta gratis para responder a los intentos de estafa que llegan por correo electrónico.
«Necesito ayuda para cobrar una deuda» y «ganó mil millones de libras en la lotería» son solo algunos de los intentos de estafa vía mail, conocidos como scam (literalmente, estafa en inglés). Gracias a los filtros de spam, llegan cada vez menos, pero persisten y eso ocurre por una sola razón: hay personas que todavía caen en la trampa.
El funcionamiento de Re:scam es sencillo: si usted sospecha de la veracidad de un correo, ya sea porque es una especie de «cuento del tío» o porque pide información personal, todo lo que debe hacer es reenviarlo a [email protected]. La labor del usuario llega allí a su fin, pero recién se inicia la del sistema, que se encarga de analizar la procedencia del email. Si considera que es un scam, automáticamente comienza la revancha.
Humano vs máquina
«Re:scam ocupa el tiempo y los recursos de los scammers al entablar un diálogo con un rbot muy avanzado gracias a inteligencia artificial», explicaron desde Netsafe.
Como Re:scam puede adoptar múltiples personalidades, su funcionamiento garantiza que tiene el potencial para entablar varias revanchas al mismo tiempo.
El usuario nunca sabrá qué tanto tiempo perdieron los criminales conversando con Re:scam, pero sí tendrá la certeza de que el intento de estafa les salió caro.
Nuevo troyano amenaza clientes de instituciones financieras alrededor del mundo
IcedID es el nombre del nuevo troyano que está atacando a clientes de bancos, generando hasta ahora pérdidas millonarias en Reino Unido, Canadá y Estados Unidos, a través de la obtención de la información confidencial de las personas que acceden a plataformas web fraudulentas.
Dicho troyano fue descubierto por investigadores de seguridad virtual, los cuales señalan que la amenaza va dirigida a clientes de bancos, proveedores de tarjetas de pago, proveedores de servicios móviles, nóminas y sitios de comercio electrónico.
El malware (software malicioso) engaña a los usuarios mediante técnicas de manipulación de navegadores de internet. Esta estrategia consiste en el uso de páginas web maliciosas para confundir a los usuarios y hacerlos suministrar su información personal, como credenciales de inicio de sesión y autorizaciones de pago.
Asimismo, IcedID se desarrolla en sistemas infectados por el troyano Emotet, el cual “secuestra” computadoras de manera persistente, con el fin de crear una infraestructura de fraude y crímenes cibernéticos.
Alcance y daño global
Reino Unido, Canadá y Estados Unidos son las regiones que han reportado casos de infección y amenaza del IcedID, donde se incluyen clientes de bancos y varias instituciones financieras. Sin embargo, no se tiene un número exacto de víctimas afectadas ni las pérdidas financieras a causa de esto.
Se estima que el IcedID se viene desarrollando desde septiembre a la par de otros troyanos ya conocidos con anterioridad como Dridex y Zeus, los cuales tienen altas capacidades de infección al igual que IcedID.
Por su parte, la Agencia Nacional del Crimen de Reino Unido estima que Dridex ha causado pérdidas de £20 millones en dicha nación, lo cual genera cierta preocupación pues, si IcedID ostenta las mismas capacidades que este malware, se prevé una perdida financiera similar.
En definitiva, se espera que las capacidades del IcedID aumenten en las siguientes semanas, pudiendo afectar a entidades en toda Latinoamérica, lo que incrementaría los riesgos y potenciales pérdidas monetarias.
Antecedentes de amenazas cibernéticas
El 12 de febrero de este año, Symantec, una firma de seguridad informática, emitió un reporte donde indicaba que 104 empresas de 31 países, la mayoría del área financiera, habían recibido ataques de malware diseñados por el grupo de hackers Lazarus, provenientes de Corea del Norte. En ese sentido, instituciones financieras de cinco países latinoamericanos se vieron afectados por estos ciberataques.
De acuerdo al reporte de Symantec, entidades financiaras de México (7), Chile (5), Brasil (5), Colombia (3) y Venezuela (3) se vieron afectadas, llegando a la cifra de 23 bancos atacados.
Más Seguridad: ¿Cómo habilitar la doble verificación de WhatsApp?
Con esta nueva función de la doble verificación podrás incrementar la seguridad de tu aplicación y de los datos que allí almacenas.
.
En noviembre del año pasado WhatsApp anunció la verificación en dos pasos en la versión beta, pero ahora es cuando finalmente ha llegado a todos los usuarios.
Activarla es muy sencillo, y nos da una capa extra de seguridad contra la probable “curiosidad” de quienes pretendan leer nuestras conversaciones.
Lo que hace esta función de doble verificación es agregar una segunda contraseña de entrada. Hasta hoy, WhatsApp se vinculaba a un número de teléfono solicitándonos un código que la misma aplicación envía por SMS o a través de una llamada.
Si alguien nos “clona” la tarjeta SIM o se apodera de nuestro ‘smartphone’ desbloqueado puede instalar WhatsApp en otro dispositivo y habilitarla recibiendo un nuevo SMS. Con la doble verificación, se añadirá un código de 6 dígitos que cada usuario tiene que elegir.
Así entonces, cada vez que instalemos la aplicación necesitaremos introducir ese código, que además será solicitado de vez en cuando para mayor seguridad. Puede resultar molesto tener que introducirlo cada cierto tiempo, pero sin duda tendremos más protegida nuestra información.
¿Cómo activar la verificación en dos pasos?
Para habilitar esta función solo hay que seguir las siguientes indicaciones:
Abre WhatsApp e ingresa en Configuración
Entra al menú Cuenta y selecciona Verificación en dos pasos
Selecciona Activar
La aplicación te irá indicando. Debes determinar un número de 6 cifras y suministrar una dirección de correo electrónico para su recuperación en caso de que se te olvide. Aunque esto último no es obligatorio, sí es muy aconsejable porque te puedes quedar varado si es una nueva instalación y no has recibido el código por SMS.
Esta opción comenzará a llegar de forma gradual a todos los usuarios. Si todavía no aparece en tu móvil espera un momento e intenta actualizar WhatsApp cuando veas que la nueva versión esté disponible en la tienda de aplicaciones.
En 2015 el cibercrimen ganó 288 mil millones de dólares
Esa actividad ilegal contra personas y empresas ha crecido 37 %.
Por Carolina Gómez Mena.
MÉXICO — El año pasado, el cibercrimen organizado obtuvo 288 mil millones de dólares en ganancias, de los cuales 15 por ciento corresponde a lavado de dinero, informaron los académicos de la Universidad Nacional Autónoma de México (UNAM) Fabián Romo Zamudio y Alejandra Morán Espinosa, quienes destacaron que actualmente nuestro país ocupa el sexto lugar en cuanto a ataques a la Internet en tiempo real.
En conferencia de prensa, Fabián Romo Zamudio, director de Sistemas y Servicios de la Dirección General de Cómputo y Tecnologías de Información y Comunicación, detalló que existen más de 20 mil millones de dispositivos digitales conectados a Internet, por lo que el universo para la actuación del cibercrimen es muy amplio. En el año anterior esta actividad creció más de 37 por ciento.
Apuntaron que los ciberilícitos ya abarcan la tercera parte de los delitos de orden económico que se cometen en el mundo; son el segundo lugar después del robo de propiedades, bienes o activos.
.
.
En América Latina el ciberdelito representa 28 por ciento de los ilícitos financieros, en Africa 57 y en Norteamérica 37 por ciento. El robo de identidad es la práctica delictiva de mayor incidencia en México, también en el mundo. En el país por lo menos ‘‘80 por ciento de la población económicamente activa en Internet ha sido atacada en su identidad alguna vez’’.
Los delitos en la red van en aumento, precisó Alejandra Morán Espinosa, de la Facultad de Estudios Superiores (FES) Acatlán. Resaltó que aunque es importante establecer una legislación que ayude a inhibir estas prácticas, el asunto debe ser abordado de manera multifactorial.
La académica indicó que la FES está a punto de publicar un estudio técnico al respecto e insistió que ratificar acuerdos como el Ciberconvenio de Budapest, de 2001, ayudaría a frenar estos delitos y sumarse a estrategias internacionales de combate a este flagelo.
A escala global, 36 por ciento de las empresas reporta que se han visto afectadas por este delito, y muchos de estos ataques son cometidos por personal de la organización hackeada. El perfil promedio de estas personas es: sexo masculino, de 30 a 40 años de edad, graduados y con tres a cinco años de antigüedad dentro de las compañías.
De los 15 países con mayores problemas en materia de la aplicación de la ley contra el ciberdelito, México se ubica en el octavo lugar, mientras que Estados Unidos no está mucho mejor, pues se ubica en la doceava posición.
Los 288 mil millones de dólares en ganancias para los delincuentes significan una cifra superior al robo de teléfonos celulares (30 mil millones de dólares), al de autos (56 mil millones), de tarjetas de crédito (114 mil) e incluso que el tráfico de cocaína, que representa para los narcotraficantes ganancias por ‘‘85 mil millones de dolares’’.
Las áreas financiera, gubernamental, ventas al menudeo y transportes son las más afectadas. El problema de la seguridad de los datos comienza por los individuos, por lo cual es primordial instrumentar procedimientos básicos como no confiar en nadie, cambiar las contraseñas en cuentas de correo electrónico y sistemas bancarios, no compartir datos, pues todo lo que se publica en Internet es potencialmente público, verificar la validez de sitios y servicios que se visitan en la red, hacer conexiones seguras y no creerlo todo.
En 90 por ciento de los casos de robo de identidad este delito se relaciona con gente que recibe un correo electrónico en donde se le pide actualizar sus datos y contraseña. En la deep web o red oscura, el fenómeno es 30 veces mayor y mencionaron la modalidad de ‘‘secuestro de disco duro’’ para luego pedir rescate.
Revelan que en 2012 hackearon casi 800.000 cuentas del sitio porno Brazzers
Fueron sustraídas de su foro de debate; el hecho se hizo público recién hoy.
Casi 800.000 cuentas del popular sitio web pornográfico Brazzers fueron hackeadas y luego expuestas online durante un incidente revelado hoy, pero que tuvo lugar en 2012 vinculado a «una vulnerabilidad en el software de un tercero», según argumentó el responsable de comunicación de la compañía.
«Esto está vinculado con un incidente que tuvo lugar en 2012 con nuestro foro ‘Brazzersforum’, que estaba manejado por un tercero. El incidente ocurrió por una vulnerabilidad en el software de ese tercero (‘vBulletin’ software) y no en Brazzers», sostuvo Matt Stevens, responsable de comunicación de Brazzers.
«Esto significa que las cuentas de los usuarios fueron compartidas entre Brazzers y ‘Brazzersforum’. Eso resultó en que una pequeña porción de las cuentas de nuestros usuarios fueron expuestas, pero ya tomamos las medidas correspondientes para protegerlos», agregó Stevens.
En el foro, que tiene una URL separada del sitio principal, los usuarios podían debatir sobre las diferentes escenas pornográficas o sus actores/actrices, o pedir un nuevo escenario para las producciones.
«Hay que tener en cuenta que los datos contienen cuentas duplicadas y algunas no activas. Entonces inhabilitamos todas las cuentas no activas de esa lista, en caso que esos nombres y contraseñas sean re-utilizadas en el futuro», aclaró Stevens.
Troy Hunt, especialista en ciberseguridad y creador del sitio Have I Been Pwned? –que sirve para chequear si una cuenta fue hackeada– ayudó a verificar el conjunto de datos al contactar a los suscriptores a su sitio, quienes confirmaron la información.
«Es una situación desafortunada que mi información fuera incluida en la filtración, pero es el riesgo que uno corre al crear una cuenta en cualquier lugar de la web», escribió en un mail a Motherboard un usuario de Brazzers, que prefirió reservar su identidad.
Los datos robados fueron expuestos en un foro de la dark web, aseguró la publicación especializada y confirmó Stevens, aunque no precisaron en cuál, durante cuánto tiempo se expusieron ni si se utilizaron durante ese período.
El equipo de investigación de ESET analiza una nueva tendencia muy utilizada por los ciberdelincuentes y que utiliza a diferentes marcas reconocidas a nivel mundial para engañar a los usuarios desprevenidos mediante promociones en WhatsApp.
Varias de estas falsas campañas afectaron a marcas de diversas tiendas muy populares como Zara, Starbucks, McDonald’s y finalmente el supermercado argentino COTO.
Utilizando el nombre de reconocidas tiendas o marcas de confianza, que normalmente no están ligadas a fraudes digitales ni manejan información sensible, los ciberdelincuentes despistan a los usuarios explotando la relación de confianza hacia esas marcas, que nunca antes fueron afectadas ni vinculadas a incidentes de seguridad.
Todas las plantillas utilizadas para el ataque son muy similares, personalizándolas para cada marca con sus respectivos colores y logos.
La Ingeniería Social, es decir el arte de persuadir a las personas con algún fin, es uno de los puntos fuertes en este tipo de fraudes. Complementándolas con técnicas de geolocalización, los ciberdelincuentes han logrado una potente propagación convirtiendo a un usuario distraído no solo en víctima, sino también al mismo tiempo en cómplice de la propagación de este tipo de estafa.
Al investigar los servidores involucrados se encontró que están alojados en la República de Moldavia y, en los DNS con los cuales se involucran las estafas, se encontró evidencias de que adicionalmente otras empresas han sido y podrían estar siendo afectadas.
Moldavia es un país ubicado en Europa, situado entre Rumania al oeste y Ucrania al norte, este y sur. Tiene una superficie de 33 843 km² y la mayoría de su territorio se encuentra entre sus dos ríos principales, el Dniéster y el Prut. Fuente: Wikipedia, 2016.
Dentro de ellas, se puede mencionar a grandes tiendas presentes en múltiples países que fueron elegidas de forma minuciosa bajo la premisa de ser muy populares y encontrarse en cuantas naciones sea posible.
Estafas en WhatsApp: Algunas de las empresas usadas como señuelo
IKEA
Es una corporación multinacional de origen sueco radicada en Holanda que cuenta con 238 tiendas distribuidas en 44 países. Es una de las principales campañas, debido que constó solamente para la parte inicial de la estafa, el usó de cinco subdominios asociados que involucran al nombre e imagen de la empresa:
giftcards-promo.com
ikea-jo.giftcard-promotions.com
nl-waardebonnen.com
ikea-uk.giftcards-promo.com
giftcard-promotions.com
H&M
Es otra cadena sueca que opera en 44 países desde Europa, Asia, África y América. Por este motivo los ciberdelincuentes se benefician de la gran diversidad de locaciones de sus tiendas de indumentaria, y utilizaron dos dominios para esta marca, como veremos a continuación:
hm-voucher.giftca***-***mo.com
hm-voucher.nl-wa*****en.com
Nuevamente, como vemos en las siguientes imágenes, los patrones de encuestas coinciden, personalizándose con los colores de H&M. Además, se presentan con la fecha actualizada.
KFC (Kentucky Fried Chicken)
Es una tienda de comidas con más de 18 mil restaurantes distribuidos en 144 países y, al igual que ocurrió con McDonald’s, fue víctima de esta astronómica campaña de fraude.
SPAR
Esta mega cadena de supermercados cuenta con más de 20 mil sucursales en 35 países, y así luce el engaño que utiliza su nombre:
No obstante, los ciberdelincuentes buscaron un grado mayor de penetración a nivel mundial, y es por eso que en países donde no se encuentran presentes estas tiendas buscaron la forma de reemplazarla para lograr el mismo alcance masivo.
COTO
Por ejemplo, en Argentina utilizaron la cadena de supermercados COTO, que posee alrededor de 120 sucursales en todo el país.
7-Eleven
Otra tienda utilizada para este fraude que cuenta con 52.000 establecimientos en 16 países, especializada en la venta de consumos básicos y muy presente en América del Norte y Asia.
Otra empresa del mismo rubro afectada fue la cadena de supermercados Walmart, que posee 11 mil tiendas en 28 países. El subdominio utilizado en este caso fue:
giftc*******.com
La técnica empleada
En el caso de usarse encuestas, el siguiente paso es compartir el enlace de inicio a 10 contactos a través de WhatsApp, limitando al usuario a unos pocos minutos, con el fin de no dejarlo reflexionar acerca de la acción que se está realizando.
En otras palabras, en la ansiedad del momento que se le impone, no se le da tiempo de sospechar acerca de un posible fraude.
Si bien este tipo de técnica no es tan frecuente, evidentemente es efectiva y probablemente se comenzará a ver en mayor medida en futuros casos similares.
El fin de la campaña viene acompañado de diversas actividades que engañan al usuario, ya que se encontraron fraudes de distintas naturalezas: casos de suscripción a números SMS Premium e instalación de Aplicaciones Potencialmente No Deseadas.
En otros casos, si se accede desde una PC y direcciones IP de Estados Unidos, el usuario es redirigido a páginas que advierten acerca de un virus que infectó su sistema y con un mensaje del tipo pop up y un audio muy persistente indican comunicarse a un número telefónico con el fin de recibir soporte.
En caso de no hacerlo e intentar cerrar esa página, se perderá todo el contenido de su disco rígido. Claro que esto es completamente falso; al igual que los premios de las encuestas o bonos de regalo, son solo artilugios de la Ingeniería Social con el fin de inducir al usuario a realizar algún tipo de acción.
Conclusiones
Es interesante destacar la gran cantidad de recursos utilizados en estas operaciones, teniendo en cuenta que son apuntadas a múltiples países, varias monedas e inclusive a diversos idiomas.
Con la flexibilidad y automatización de estos ataques, sumado a la naturaleza de las entidades afectadas y teniendo en cuenta que no hay muchos antecedentes de este tipo procedimientos en cuanto a incidentes de seguridad, es natural que exista una cantidad elevada de usuarios que hayan sido víctimas y que inclusive aún no se hayan dado cuenta.
Este tipo de estafa demuestra que la educación es la primera barrera de protección; en ese sentido, nos proponemos hacer reflexionar a los usuarios y alertar sobre estas nuevas tendencias que utilizan antiguas técnicas en canales como WhatsApp.
Tarjetas de crédito: las 5 formas de estafas que más preocupan a todos
Por Vanesa Listek.
La clonación y el phishing son las estafas más frecuentes en el país
La estafa puede comenzar al responder un mail personalizado del banco que solicita al cliente determinados datos de sus cuentas.
Confiado, uno brinda toda la información y, sin darse cuenta, entra en el creciente y peligroso mercado negro de comercialización de datos. Expertos consultados por la nacion afirmaron que las cinco formas más comunes de fraude de tarjetas de crédito y de débito son clonación, robo de identidad, phishing, hacking y smishing.
El fraude puede comenzar con un mail personalizado del banco, que solicita al cliente determinados datos personales.
Uno, confiado, ingresa voluntariamente toda la información personal reclamada. Sin darse cuenta, acaba de entrar en el submundo del mercado negro de comercialización de datos.
Hoy, según expertos consultados por LA NACION, las cinco formas más comunes de fraude de tarjetas de crédito y de débito son: clonación, robo de identidad, phishing, hackingy smishing.
Estos nombres que resultan extraños, para los especialistas no lo son. De acuerdo con César López Matienzo, gerente del área de Desarrollo de Sistemas de un conocido banco local, existe fraude online y físico.
En América latina la estafa física, como la clonación de tarjetas de crédito, sigue siendo muy común a pesar de ser el método más antiguo.
«En todos los casos de fraude siempre hay mecanismos tecnológicos que permiten a los estafadores captar los datos de la tarjeta de crédito, y una vez que lo hacen, el modus operandies el mismo -dijo López Matienzo-. Para comenzar hacen operaciones pequeñas para ver si el dueño de la tarjeta lo adiverte o no.»
En online, predomina el phishing, un engaño informático para tratar de hacer caer a algún desprevenido en una trampa digital.
Santiago Vallés, ingeniero y director del Centro de Seguridad Informática (Censi) del ITBA, comentó que existen dos tipos de phishing, uno masivo y otro dirigido. El phishing masivo puede aparecer diariamente como spam, un e-mail fraudulento enviado a miles de usuarios, de los cuales un porcentaje cae en la trampa. «Los estafadores se están volviendo cada vez más expertos en saltear las barreras antispam que instrumentan los sitios como Gmail o Yahoo, por lo tanto, el phishing masivo está comenzando a aparecer en las bandejas de entrada», comentó Vallés.
El método de phishing dirigido es un engaño a una persona en particular y requiere de ingeniería social para ser efectivo. «La ingeniería social es el método de investigación previa al phishing«, especificó Vallés. Consiste en la averiguación de datos de una o más personas con el propósito de extraerle información personal y en particular los datos de la tarjeta de crédito. La ingeniería social juega un papel fundamental para un exitoso fraude con tarjetas de crédito.
La mente de los estafadores
«La ingeniería social es el arte de hackear personas,» dijo Maximiliano Bendinelli, ingeniero especializado en análisis informático forense para la compañía CySI, un estudio de informática forense. En diálogo con LA NACION, Bendinelli comentó que se puede conseguir un software, llamado exploit kit, con el propósito de hacer phishing. Se puede comprar o alquilar por un valor de 2 o más bitcoins, la moneda digital mejor cotizada en el mercado ilegal de los hackers, ya que no es rastrable. Actualmente cada bitcoin tiene un valor aproximado a los US$ 450.
Vallés explica que la venta de los exploit kits proviene de países como Rusia, donde no hay legislación contra delitos informáticos. «Es una herramienta que se usa para explotar una vulnerabilidad no conocida. El valor del exploit está asociado a la masividad, y cuanto más específico es el kit, más barato será para el estafador; por eso es importante la ingeniería social,» comentó Vallés.
Otra forma de fraude es el hacking. Se realiza a través de un software maligno, también conocido como malware, o virus troyano. Según Raúl Fiori, consultor en seguridad bancaria, los troyanos penetran en la computadora y se auto instalan para copiar datos de cuentas y todo otro dato de interés que pueda ser utilizado para cometer fraudes. El mismo troyano se encargará del envío de ésta información a la dirección del delincuente sin que pueda ser advertido por la víctima.
El smishinges similar al phishing, pero en este caso, los estafadores lo hacen a través de mensajes de texto. Según Vallés, los mensajes utilizados tienen la apariencia de los SMS oficiales de las compañías reales. «El SMS tiene dos opciones: cancelar o aceptar, sin dar mucha más información. La gente acepta y pasa meses sin darse cuenta de que hubo fraude», explicó Vallés. El «anzuelo» lleva al usuario a un sitio falso o a una aplicación sospechosa.
Por último, el ID theft, es el robo de datos personales para hacerse pasar por la víctima del fraude, o cometer delitos con su nombre. La mayoría de estos engaños se logran obteniendo datos personales por teléfono. El valor promedio de la identidad de una persona en el mercado negro es de U$S 21.35, según información de Quartz, un medio norteamericano online.
La pérdida total mundial por fraude en 2014 fue de US$ 16,31 millones, de acuerdo con The Nilson Report, uno de los boletines comerciales más importantes acerca de la industria de sistemas de pago.
En un informe publicado por el primer observatorio de delitos informáticos de la región, Odila, se pudo determinar que el 70% de los denunciantes son personas físicas, mientras que el resto son Pymes, empresas y organismos gubernamentales. Más de la mitad de las 1290 denuncias que registró esa ONG, pertenecen a la Argentina.
Leyes antifraude
En 2012 existía un proyecto de ley para penalizar la suplantación de la identidad digital. Actualmente el proyecto caducó por falta de consenso en el Congreso. Sin embargo, Marcelo Temperini, abogado especializado en derecho informático y uno de los impulsadores del proyecto, comentó a LA NACION que trabajó en 2013 y 2014 en un nuevo proyecto para sancionar penalmente la práctica de phishing, tipificándola como la captación ilegítima de datos confidenciales.
«Lamentablemente, el phishing no es considerado un delito en la Argentina, sólo pasa a ser un delito cuando se produce una estafa con daños patrimoniales. Pero para entonces, ya es muy tarde y no se puede frenar la divulgación de la información que ha sido robada y se vende en el mercado negro», dijo Tamperini.
Actualmente existe legislación que penaliza el hacking: la Ley 26.388. Tamperini asegura que esta norma fue una especie de «parche» que modificó varios artículos y agregó otros. Es una buena ley desde el punto de vista penal material, mejorable como todas, aunque quizás con penas bajas.
Los expertos consultados coinciden en que el cliente es quien debe prestar atención a todas las advertencias emitidas por los bancos y compañías de tarjetas de crédito. Existe una fuerte «evangelización», como la llama César López Matienzo, para concientizar a los usuarios de tarjetas de crédito para que no caigan en las trampas de fraude que existen hoy.
Raúl Fiori explica que las entidades previenen los fraudes a través de múltiples herramientas informáticas, bases de datos e identificación de IP (dirección que posee la computadora que genera la información maliciosa). Por su parte, las administradoras de tarjetas, poseen software que monitorea online millones de transacciones y controlan la actividad del cliente para la detección temprana del fraude.
El futuro del antifraude es la biometría. «El cliente dejará de utilizar «lo que sabe» (por las claves) por «lo que es» (huella dactilar, cara, voz o iris). Esto impedirá la actividad de los delincuentes informáticos o los que utilizan inteligencia social directa», dijo Fiori.
Consejos para clientes distraídos
La sustracción de datos de sus tarjetas se basa mayormente en técnicas de convencimiento. Evite dar información por teléfono, e-mails, mensajes de texto (SMS), Whatsapp, cuestionarios persona a persona o en accesos a sitios de Internet
Proteja su computadora. Siempre optimice y mantenga al día sus sistemas de seguridad ya que existen métodos de captura de información de su disco rígido, teclado, pantalla y cualquier otro dispositivo que almacene sus datos
Siempre que acceda a un website desconocido, identifique los «candados» que indican que se encuentra en un entorno seguro, antes de ingresar sus datos personales. Además verifique que en el panel de dirección (URL) se vea «https», en lugar de «http»
No responda e-mails enviados desde una compañía de tarjetas de crédito o bancos, en los que se le informe que su cuenta tiene algún inconveniente y le soliciten que envíe sus datos para solucionarlo
Lea la información preventiva que le ofrece su banco o compañía de tarjeta de crédito.
Scam («estafa» en inglés) es un término anglosajón que se emplea familiarmente para referirse a una red de corrupción. Hoy también se usa para definir los intentos de estafa a través de un correo electrónico fraudulento (o páginas web fraudulentas).
Generalmente, se pretende estafar económicamente por medio del engaño presentando una supuesta donación a recibir o un premio de lotería al que se accede previo envío de dinero.
Las cadenas de correos electrónicos engañosas pueden ser scams si hay pérdida monetaria y hoax cuando sólo hay engaño.
Scam no solo se refiere a estafas por correo electrónico, también se le llama scam a sitios web que tienen como intención ofrecer un producto o servicio que en realidad es falso, por tanto una estafa.
Otra forma de Scam común es en Redes sociales en internet y páginas de encuentro, normalmente, personajes con identidades falsas, como marines que vuelven a casa o personas con algún familiar enfermo, solicitan dinero a sus víctimas después de haberse ganado su confianza.
Cómo protegerse
Para no verse afectado por estas amenazas, las personas deben evitar acceder a información cuya fuente no sea confiable. Una buena práctica es la eliminación de todo tipo de correo no solicitado para así evitar el scam.
Además, es importante no utilizar dinero en el pago de servicios o productos de los cuales no se posean referencias ni se pueda realizar el seguimiento de la transacción. El comercio electrónico y vía SMS son potenciales factores de riesgo, por lo que las transacciones por estos medios deben ser apropiadamente validadas antes de llevarse a cabo.
En los ataques llevados a cabo mediante ingeniería social, el eslabón débil al que se apunta es a las personas y su ingenuidad. Mantenerse informado sobre las nuevas metodologías y educarse en seguridad informática es la vía ideal para evitar ser víctimas de ellos.
Fuente: Wikipedia, 2016.