Tarjeta de NIX – Correo falso

Parece que después de que ya casi nadie se cree que ha recibido una tarjeta de Gusanito, llega otro correo de otro sitio que ofrece servicios de tarjetas electrónicas, en este caso ONIX. Una copia del correo que llega a continuación.

Si copias y pegas la dirección que viene ahí te lleva a una tarjeta de “No cumpleaños” algo bizarra. Sin embargo, el problema viene cuando haces clic directamente en el correo. Cualquier liga te lleva a descargar un archivo ejecutable con código que no da mucha confianza.

Tips para saber si la tarjeta es real o un posible virus

1.  Cuando una amistad te envía una tarjeta, generalmente el título menciona el nombre de tu amistad. Por ejemplo: “Regina te envió una tarjeta” y dentro del texto del correo a veces menciona el apellido. Cuando es anónima, mejor desconfiar.

2.  Haz clic derecho con el mouse sobre la liga o hipervínculo que viene en el correo y que te llevaría a abrir tu tarjeta. Luego selecciona copiar y pégalo en un bloc de notas. Si la liga no tiene nada que ver con el sitio que se supone que te envió la tarjeta (Gusanito, Hallmark, ONIX, etc.) seguramente te quieren enviar un caballo de troya.

3. Si tu cliente de correo te advierte de posible SPAM, tampoco hay que arriesgarse.

Con tanta red socail ahora, las tarjetas electrónicas han pasado a otro término, es raro que se envíen tarjetas así los usuarios de 10 a 30 años que representan el 50% de la navegación de Internet.

Ya está confirmado, el archivo trae el virus Troyano: Trojan-Banker.Win32.Banker.qkv Este tipo de bicho te redirige a páginas bancarias falsas, es decir, cuando introduces la dirección de “x” banco, en vez de ir al sitio Web del banco, te dirige a un sitio Web fraudulento donde buscarán hacerse de tu usuario, contraseña y cuenta bancaria.

Todo archivo con extensiones: vbs, com, exe e inclusive mp3, asx, asf, wma, wmv, scr son potencialmente peligrosos si llegan de desconocidos.

De aquí puedes bajar herramientas para quitarlos
http://www.kaspersky.com/removaltools

Y de aquí la versión de prueba completamente de la aplicación que yo tengo (Kaspersky Internet Security 2009) completamente funcional. Selecciona licencia de prueba cuando lo instales y te dará 30 días de licencia.
ftp://ftp.kaspersky.com/products/spanish_latam/homeuser/kav2009/kav8.0.0.506latam.exe

Actualizada la liga al 8 de agosto de 2009 =)

Saludos

Muere Chespirito de un Paro Respiratorio – Correo Falso

Para no variar, aprovechando que el señor Gómez Bolaños tiene asuntos con el señor Villagrán, mandan un correo cuyas ligas apuntan a una página colgada en un servidor en Alemania que descarga un ejecutable. Dicho ejecutable contiene código malicioso.

El correo parece ser enviado del periódico “La Crónica” pero lo único que es de ahí es la imagen. Clama que el artículo es del pasado 7 de febrero y liga hacia un supuesto video y al plug in de Flash.

Ambas ligas apuntan a un archivo ejecutable que inocula el bicho en la computadora de la persona que se le ocurra ver el susodicho artículo.

Algo curioso es que contiene una sección denominada “Lo más leído de hoy” donde la tercera noticia es “Jesucristo vs. Superman”

En fin… el morbo gana en estos casos, sobretodo cuando la gente está ociosa y es tiempo de vacaciones. Aguas!!!

Robo a saldo de celulares – Otra leyenda urbana

Éste sábado me llegó un correo de mi sobrino que vive en Cuernavaca con el título “Robo a celular”. Me llegan mensajes así de contactos, amistades y familiares preocupados y buscando enviar el mensaje para prevenir al mayor número posible de personas. La mayoría son leyendas urbanas, algunos derivados de historias reales que conforme se envían van perdiendo los detalles originales que son sustituidos por versiones alarmistas que los hacen más “interesantes”

Lo anterior me hizo pensar que este espacio también puede usarse para comprobar si alguna leyenda urbana es o no real. Mi parte se enfoca en lo que personalmente puedo yo comprobar, ya sea por mis estudios, experiencia o fuentes de investigación. Así que va el primero que iré contestando entre párrafos.

“ROBO A SALDO DE CELULARESPor favor circular entre los conocidos y compañeros de trabajo. ALERTA UTILIZACIÓN TELÉFONOS CELULARES

De interés para todos los usuarios de móviles. El último fraude en telefonía Móvil ya está en la calle. Se trata de un fraude que puede perjudicar seriamente nuestro bolsillo. El hecho ya se ha confirmado por las propias compañías de telefonía móvil.

No indican qué compañías, qué país ni qué tecnologías podrían ser susceptibles a esta situación. Muy pocas empresas tienen la ética suficiente para aceptar que sus productos o servicios tienen una vulnerabilidad que pone en riesgo a sus clientes. Apenas supe de Porsche que aceptó un error de diseño y está pidiendo que los dueños de Cayennes de ciertas fechas de fabricación acudan a las agencias para que les sustituyan una pieza para evitar accidentes… lo dicho, pocas veces pasa y si pasa, un 10 para esa empresa.

Los consejos que se dan a continuación evitaran que seamos las víctimas propiciatorias de esta actividad fraudulenta:
1º- Si recibes una llamada en tu celular y en la pantalla aparece: INVIABLE!! con DOS signos de exclamación (‘!!’): NO DESCUELGUES EL TELÉFONO, NI INTENTES RENUNCIAR A LA LLAMADA. Déjalo sonar hasta que pare, y después borra directamente la llamada perdida. Con este método se accede al código de tu tarjeta SIM (el alma de tu teléfono), pudiendo cancelarla y crear una nueva.

Qué pasa si tengo configurado otro idioma al español? Aparece “non viable”? Jajaja Generalmente cuando no aparece el número de teléfono de origen es porque no se encuentra registrado dentro del sistema del operador (usuario internacional, usuario de una línea privada)Primero: Dependiendo de tu operador es el mensaje y éste no es “Inviable” en el caso de mi Nextel me aparece el mensaje “Incoming call” Generalmente es de alguna amistad fuera del país o de un número privado.Segundo: Si uso tecnología TDMA o CDMA sin tarjeta SIM qué pasa? También me llegarán llamadas de esas. No se aclara… luego entonces: mentira.Tercero: Las tarjetas SIM tienen múltiples claves internas inaccesibles incluso a los sistemas que las usan y otras que interactúan con sus usuarios. La denominada clave de la que me supongo que habla el correo es el ICCID (Integrated Circuit Chip ID) sin embargo éste sólo se usa para registros de control y no tiene ningún uso práctico en la realización de llamadas.Hay otra clave que se llama IMSI (International Mobile Suscriber Identification) pero además de ésta se cuenta con otras llaves más (Ki, Kc, Ke) etc. dependiendo de la tecnología y del operador móvil. Algunas llaves sólo son conocidas por la SIM y lo que se usa es el resultado de operaciones de algortimos que es comparado con las operaciones realizadas con las mismas llaves y algoritmos en los sistemas de autenticación del operador móvil.Finalmente, no hay comando alguno para que la SIM reaccione a una llamada y haga la tontería de enviar alguna de sus claves; menos áun, de cancelar tu SIM como la que sustenta ese correo. El diseño y estructura tanto de la SIM como del sistema de comunicación GSM se encuentran entre los dispositivos más seguros del mundo. La GSM association, SIM Alliance y otros tienen años desarrollando tecnologías seguras y confiables como para que en lo que dura o mensaje o llamada todo se vaya al caño. Nuevamente, eso es mentira.El proceso de llamada en un sistema GSM es más complicado de lo que cualquiera puede imaginar. En breve pondré información al respecto de algunas presentaciones que use al impartir cursos de seguridad en medios móviles.2º.- Si recibes un mensaje en tu móvil diciéndote que tienes una transacción y que tienes que llamar al 1749 BORRARLO DIRECTAMENTE. Si llamas, tu tarjeta SIM se duplicará y desde ese momento podrían llamar desde tu número.

Referirse al tercer punto de la respuesta del tópico anterior, Además, tu tarjeta se duplicará jajaja y en ese momento podrían llamar de tu número. Joder! Que estos tíos son buenos. Duplican tarjetas SIM en el aire, será que usan OTASS (la gente del medio sabrá a qué me refiero) y luego tienen una tarjeta maestra, además que reacciona a la respuesta de un mensaje unidireccional (entonces no responde) y que deja lista una SIM genérica en segundos para poder, inhabilitar y dar de baja en el sistema del operador la SIM genuina, darse de alta así misma en el sistema e instantáneamente hacer llamadas. Jajaja Mentira.

Naturalmente a tu cargo. ESTO LO HACEN DESDE LA CÁRCEL , TODOS LOS EXTORSIONADORES, PARA TENER CRÉDITO EN SUS TELÉFONOS CELULARES.

Y lo hacen desde la cárcel jajaja ya en la cárcel tienen tecnología de punta para hacer eso. Sería más práctico usar esa tecnología para generar competidores de telefonía móvil, sería más rentable que usar todo eso para TENER CRÉDITO EN SUS TELÉFONOS CELULARES. Jajajaja: mentira.

Este tipo de estafa se está produciendo a gran escala, por lo que te ruego que esta información la hagas extensiva a cualquier persona que conozcas y que sea usuario de un teléfono celular.

A gran escala… hay miles de reos ingenieros expertos especializados en comunicaciones móviles y que, como MacGiver pueden generar tecnología a partir de los elementos que encuentran en el área de la prisión donde se encuentran… ya me dio miedo jajaja

COPIA ESTE CORREO PARA TODOS TUS AMIGOS Y RECUERDA SI LO ENVIAMOS A NUESTROS AMIGOS, NOS BENEFICIAREMOS TODOS”

Claro, cópialo, genera incertidumbre, no te cuestiones y cree de una vez que la luna es de queso y que los políticos tienen la vocación de servir a su país y que son honestos. Así generas también miedo irracional a leyendas urbanas y fomentas la ignorancia entre la gente. Eso sí, tendrás un tema de conversación alarmista con tus amistades para la sobremesa…

Si alguna vez tienes dudas respecto a algún correo que te llegue y el Internet no ayuda a despejar si es o no verdad. Ya tienes aquí un espacio que con gusto atenderé. Un agradecimiento a Mr. XPhactor por la info.

Saludos

Shortlink para esta entrada: http://wp.me/pc17m-e

Hackeo de vulnerabilidad de Modems 2Wire simulando el sitio de Banamex

Antecedentes:
El viernes pasado quise acceder a mi cuenta de Banamex para realizar una transferencia. Confiado en tener todo al día: Antivirus, firewall, anti hack y por mi arrogancia, introduje número de cliente, clave personalizada y la clave dinámica que el “Net Key” me proporciona.

Sorpresa!!! Se despliega un mensaje de que el servidor se encuentra en mantenimiento y que lo intente en 24hrs. Como ya había visto este mensaje en un equipo hackeado de un cliente de inmediato entro en terror buscando el origen de la redirección. Banamex y ningún otro banco te informarán que están en mantenimiento una vez introducidos tus datos, sino antes de hacerlo. Acababa de ser víctima de un truco conocido como Pharming.

Pharming: Es la modificación de los registros (DNS) logrando redireccionar las peticiones de algún sitio (En este caso fue Banamex) hacia otro sitio preparado por un hacker o espía.

¿Quiénes son suceptibles al ataque?
Cualquier usuario de Prodigy Infinitum con los siguientes modelos de Routers:
2Wire 2071 Gateway 5.29.51
2Wire 2071 Gateway 3.17.5
2Wire 2071 Gateway 3.7.1
2Wire 1800HW 5.29.51
2Wire 1800HW 3.17.5
2Wire 1800HW 3.7.1
2Wire 1701HG 5.29.51
2Wire 1701HG 3.17.5
2Wire 1701HG 3.7.1
2Wire 2701HG-T  (actualizado al 30 de Julio de 2008)

¿Desde cuándo se conoce la vulnerabilidad?
15 de agosto de 2007 siendo hkm@hakim.ws y Eduardo Espina G. los acreditados con el descubrimiento.

Descripción de la vulnerabilidad:
Los ruteadores 2Wire listados arriba son susceptibles a la vulnerabilidad cross-site request-forgery (XSRF) Un ataque remoto explota ésta vulnerabilidad para ejecutar acciones arbitrarias en el dispositivo afectado. Estas acciones pueden ser: Cambio de contraseña del router, Adición de rutas fijas DNS, Desactivar autenticación inalámbrica, resetear el modem, etc.

Sitios que son simulados por el hacker al 2 de febrero de 2008
banamex.com
http://www.banamex.com
http://www.banamex.com.mx
boveda.banamex.com
boveda.banamex.com.mx
http://www.boveda.banamex.com
http://www.boveda.banamex.com.mx
bancanetempresarial.banamex.com
bancanetempresarial.banamex.com.mx
http://www.bancanetempresarial.banamex.com
http://www.bancanetempresarial.banamex.com.mx
Sitios susceptibles de ser impersonados:
Bancos en general, PayPal, eBay, sitios que requieran de usar un login

Ejemplo de sitio falso de Banamex

Sitio Falso Banamex

a) La fecha y la información busátil son incorrectas.
b) Los tipos de cambio y sobretodo la cotización del Centenario son evidentemente incorrectos.

¿Cómo identificar y neutralizar el ataque por pharming o de hackeo?
Hackeo en tu PC
1. Archivo de HOSTS
Revisa el archivo HOSTS en la ruta c:\Windows\System32\Drivers\etc\
– Si encuentras los listados de banamex o de cualquier otra dirección que no sea
Localhost 127.0.0.1
fuiste hackeado.

Acción: Borra el contenido del archivo HOSTS y guarda los cambios.
Nota: en Windows Vista requieres ejecutar el Bloc de Notas como Administrador, si no, no te dejará realizar cambios al archivo HOSTS.

2. Proxy en navegadores
Abre una ventana de Internet Explorer o del Navegador que uses
Accede al menu Herramientas o Preferencias
Entra en la sección de Conexión y luego a Red Local o LAN
– Si está activo el uso de un servidor PROXY
fuiste hackeado.

Acción: Desactiva la casilla de proxy y acepta los cambios.

3. Router 2Wire
En una ventana de Internet Explorer o del Navegador que uses teclea la dirección siguiente:
http://home/management
– Si anteriormente habías configurado una contraseña y al colocarla no te permite entrar
– Si nunca configuraste una contraseña y ahora te la está pidiendo
fuiste hackeado.

Acciones:
1. Presiona la liga “No recuerdo la contraseña”
2. Sigue las instrucciones para restablecer la contraseña del sistema.
3. Vuelve a introducir la dirección http://home/management
4. Ingresa la contraseña
5. Del menú de la izquierda busca dentro de Avanzada “Resolución de DNS”
6. Presiona el botón REMOVE o QUITAR sobre cada dirección agregada que aparezca
2Wire DNS Settings

¿Cómo evitar el hack de mi modem 2Wire en el futuro?
1. Contra el hacking de tu PC necesitas instalar un antivirus de verdad 😉 Combinaciones de antivirus y firewall gratis han demostrado detener la mayoría de las amenazas informáticas (80%) pero ese remanente que no protegen son más de 1000 amenazas.

Las herramientas Antivirus que recomiendo en estricto orden
– Kaspersky Internet Security 2009
– Kaspersky Antivirus 2009
– Norton 360

Adicionalmente necesitarías una auditoría manual de procesos y de aplicaciones potencialmente peligrosos.Ya que en este caso, el hackeo es realizado por un Caballo de troya (Trojan) y un gusano (Worm)

2. Contra el pharming de tu router 2Wire NO existe, al 2 de febrero de 2008, una solución; ni por parte de Telmex, ni por parte de 2Wire.

La mejor protección es: conocimiento y perspicacia al usar internet.

He leído que ésta vulnerabilidad es explotada a través de un correo falso que puede llegar:

– De una tarjeta electrónica de gusanito.com. (La cual no envía Gusanito.com)
Ejemplo de tarjeta falsa de gusanito.com

Gusanito fake
– De un correo falso del periódico El Universal con una liga a un video
Ejemplo de correo falso de una noticia del Universal.
Universal Fake

Cómo identificar que un sitio es genuino:

Sin embargo, el acceso a ciertas páginas también puede hacerte susceptible a un ataque de pharming, por lo que hay que fijarse en lo siguiente antes de introducir contraseñas y claves. Lo mostraré con el ejemplo de la página de Bancanet.

Bancanet

a) La direción debe comenzar con https y no sólo http. La “s” básicamente indica que es una conexión segura.

b) Habiendo la “s” entonces también existirá un certificado que autentica al sitio que accesas, donde la conexión entre el servidor web y el cliente está cifrada.

Habrá que estar alertas.

Saludos

Fuentes:
http://www.securityfocus.com
http://www.2Wire.com

P.D. El hacking del 2Wire dado que afecta todos los equipos conectados al mismo,
estará afectando equipos Windows, Mac, Linux, Unix, etc.

Inclusive si te conectas por equipos móviles: Blackberries, Palms, Cliés, UMPCs, etc.

Actualización Agosto 2008

A estas alturas el redireccionamiento a otro sitio distinto al de Banamex sólo puede causar molestias gracias a que Banamex ahora requiere que para poder realizar cualquier transferencia, introduzcas nuevamente tu clave dinámica del NetKey. 🙂 así que gracias a todos esos intentos de fraude, lograron que la seguridad fuera relamente efectiva.

Actualización Enero 2010

Por ahí me encontré el blog de Jesus Rizo… que me supongo que es robot o algo así porque se fusiló en tu totalidad esta entrada… en fin. Shit happens! Éste es el bueno 😉 Si hasta Adela Micha se copia el texto de este blog, que otros lo hagan pues ya que, la cuestión es informar y éste por lo menos puso la fuente de donde lo copió jajaja

Uno de policías y ladrones

090403PregoCop

La noche del viernes regresaba a mi casa, eran pasadas las 9 PM. Yendo por Felix Cuevas, me tocó la luz roja del semáforo en la calle de Tejocotes y me detuve detrás de 3 coches, uno de ellos era una patrulla.

Me adelanté por la izquierda ya que no pasaba ningún auto de Tejocotes ni tampoco se veían las luces de que viniera un camión en contraflujo. Me di la vuelta e inmediatamente me siguió la patrulla haciéndome señales para que me detuviera, lo cual hice a apenas unos metros.

Se acercó un menudo y famélico “oficial” de tránsito y solicitó mis documentos. Se los entregué y pregunté cuál había sido la falta para que me detuviera. El individuo “representante” de la autoridad me indicó que había invadido deliberadamente el carril confinado para el transporte público. Como pude le expliqué que actué aún notando su precencia dado que no vi nada indebido al darme vuelta con precaución, cuando había poco tránsito y sin presencia de autobús en contraflujo.

Fue inútil, me mostró el artículo que había infringido y que además implicaba el encierro de mi auto en un depósito, mismo que hasta el lunes después de las 10AM podría sacar. Además, que para cambiar la imagen deteriorada de la policía recibían un incentivo, bono, valoración tajada del botín por cada infracción que generaran. Que con eso se evitaba la corrupción y ellos recibían una remuneración más justa.

Me di cuenta – según yo – que la medida no era tan descabellada, sin embargo iba a dar pie a abusos como el que estaba teniendo en ese momento. Le dije resignado que entendía y que sabía que dado el “incetivo” que le esperaba con mi supuesta infracción no tenía sentido discutir. Le pedí que me hiciera mi infracción y que me devolviera mis documentos. Me ordenó que lo siguiera para dejar mi auto en el depósito y que no intentara darme a la fuga. Ofendido por el comentario, le dije en tono firme y claramente molesto que iba a acatar sus indicaciones pero que primero y dada su altenería iba a realizar una llamada para proporcionar los datos de su patrulla, su nombre, número de placa, etc. porque ya había tenido malas experiencias con algunos de sus colegas policías.

Fingí marcar un número telefónico y con tono de seguridad en mi voz y un pequeño dejo de sarcasmo conversé con mi amigo imaginario. Me aseguré que el “poli” me escuchara al decir la frase “les estoy explicando porqué considero que la infracción no procede pero ya sabes cómo es esta gente. Toma los datos y al rato te vuelvo a marcar.” La acción incomodó al “policarpio” y me tomó del brazo diciéndome “Como caballeros aquí dígame qué podemos hacer.” Realmente molesto, pero haciéndome el tonto le pregunté “¿A qué se refiere? Si usted me está pidiendo dinero, de una vez le digo que sólo traigo 100 pesos y no pienso alimentar la corrupción y menos con el discurso patético que me acaba de echar”

Le dí la espalda y volví a fingir hablar por teléfono – previamente desconecté el timbre para evitar que una posible llamada entrante me descubriera – En tono de burla dije “Oye, date una vuelta por acá por favor y acompáñame. Hay una situación que no te puedes perder” Dicho ésto, llega el mequetrefe policía y me dice sumamente molesto. “¿Sabe qué mano? Súbase de inmediato a su coche y váyase ya. Fíjese para la próxima cuando vaya a dar una vuelta.” Estrechó mi mano y se dirigió a su patrulla.

Me quedé ahí viéndolo con el teléfono en la mano y le dije que nada más me dejara despedir y avisarle a mi gente que ya no viniera. Sin ninguna señal de cortesía ni respeto en su tono de voz me gritó: “Súbase y maneje despacio mientras habla al teléfono, no pasa nada. Pero ya váyase no podemos estar aquí tanto tiempo.”
Me supongo que alguno de sus superiores estaba por pasar por la zona y posiblemente iban a constatar el intento de extorsión y abuso de autoridad y por eso, al ver que no iba a sacarme nada, me urgió para irme además de motivar la infracción de que hablara por teléfono mientras fuera conduciendo… ¿qué tiene esta gente en la cabeza?

Conclusiones:
1. Desconzco si en la noche están abiertos los depósitos de autos, pero lo dudo ya que un día se llevó una grúa mi coche y a las 7PM ya están volando todos y dejan los autos “a la buena de Dios” por lo que este individuo me quiso intimidar con eso.

2. El “incentivo” por una parte está bien para evitar la mordida, pero si de cualquier forma estos infelices cuando aceptas que te hagan la infracción y no les has ofrecido nada, en automático te salen con la estupidez de “como caballeros le voy a decir algo” – es la segunda vez que me lo hacen – entonces no sirve de nada sino para que la extorsión (mordida) sea mucho mayor que antes.

3. Si no se hubiera quebrado en ese momento, estoy seguro que me hubieran detenido camino al depósito (corralón) para mostrarme su “caballerosidad” dado que no existió una infracción como él lo planteaba. Era claramente un intento de extorsión y trató de intimidarme con la multa, el aseguramiento de mi auto y los puntos que iba a perder mi licencia.

4. Dado que ésta es la 3era vez que me tratan de extorsionar y al final me dejan seguir mi camino, cuando sufra un encuentro con una de estas entidades corruptas, sugiero lo siguiente:
– No alegue mucho, es como hablarle a un árbol. No va a lograr más que el “caballero” se ensañe y tenga más elementos para querer infraccionarlo.
– Ya que revisó que sus papeles estén en orden pida que se los devuelvan y que le hagan ahí mismo su infracción. De esa forma se evita perder tiempo cuando la supuesta infracción amerita el depósito del auto en el corralón y así no lo amarran a que los siga o que se quede al tener ellos sus documentos.
– Por nada del mundo les insinúe que si se “arreglan” ahí mismo. Pueden hacerse los ofendidos y al momento de querer negociar le van a pedir más dinero.

Cuando vean que no usted no alimenta la corrupción pueden pasar dos cosas:
1. Que le digan como a mi que se fije y no lo vuelva a hacer dejándole ir o inclusive correrlo.
2. Que le apliquen su infracción. Si es así, por lo menos no alimentó a ese corrupto policía y no genera karma malo 😉

Qué lástima que estas personas sean los que nos debieran de proteger y los que debieran poner el orden… es una gran responsabilidad, un trabajo difícil y loable pero estos individuos tienen otros valores o ninguno.