Circula video de avionazo (El Universal) – Correo falso

Aprovechando el «accidente» que tuvo el LearJet el 4 de Noviembre en la Ciudad de México, hoy llega un correo nuevamente falso, buscando explotar el morbo o la curiosidad del receptor. El remitente supuestamente es el diario mexicano El Universal. Pero realmente llega de otra fuente que nada tiene que ver con él.

El texto mal redactado y sin ortografía – primer indicio que te hará pensar: «ésto no viene de El Universal» – reza así:

Circula por la web video captando el momento del avionazo en el que Fallece el Secretario de Gobernación de México
El dia lunes 10 de noviembre, un espectador presenta grabación donde se muestran imagenes precisas del descenso y colapso de la aeronave en la que viajaba el secretario de gobernacion Juan Camilo Mouriño, acompañado del ex titular de la SIEDO José Luis Santiago Vasconcelos y otros funcionarios; tal catastrofe ocurre a escasos metros de Periférico y Paseo de Reforma.
Se estima que gracias a esta grabación el trabajo de Peritos y Forenses internacionales se facilite y lleguen a una conclusión en los proximos días.
Ver video.

El link ver video lleva a un servidor que para nada es de El Universal y para no variar aparece una página que a todas luces es falsa pero que podría engañar a más de un despistado o persona que podría estar empezando a hacer uso del Internet y las computadoras.

_Una página completamente negra con solamente el control del video y que aparece con la leyenda «loading».

Otra evidencia que nada tiene que ver con el periódico El Universal.

Si nos fijamos en la dirección, estamos entrando a un sitio donde, si dejamos que suceda, nos descargará un archivo ejecutable (terminación .exe) que al presentarse directamente en la dirección – no mostrada por obvias razones – nuestro navegador intentará reproducir en nuestros equipos.

Después de un segundo aparecerá el ya típico diálogo emulando la que nos aparecería si necesitáramos actualizar nuestra versión de flash.

Me supongo que han de ser los mismos tipos ya que es igual al que aparece siempre que te quieren engañar con eso de la versión del Flash.

Si no cuentas con un buen antivirus o suite de seguridad, el diálogo no te dejará hacer nada sino hasta que presiones el botón «Ok»

sds

Necesitarías apretar la combinación mágica (a veces no funciona cuando algún malware nos infectó y desactiva o el programa o la combinación) Alt + Ctrl + Del para invocar al Administrador de tareas.

Haces clic en la pestaña «Procesos» y seleccionas el proceso que te suene como al nombre de tu navegador.

Luego presionas el botón «Terminar proceso» para poder salir de él.

En el caso de Kaspersky IS 2009 aparece de inmediato el bloqueo del ejecutable y el mensaje de que el sitio está infectado con Heur.Trojan.Generic.

Para algunos puede parecernos evidente que es un fraude donde seguramente buscarán infectar nuestro equipo con algún malware, pero para otras personas, no.

Espero les sea de ayuda.

Saludos

Adwords sitios de phishing – Correo falso

Otro correo falso que tal vez podría confundir a más de dos es el de Google Adwords. Esto es lo que me ha estado llegando:

Remitente: Google-AdWords-noreply [adwords-noreply@google.com]

Asunto: Please Re-activate your account
———————————————————————————-
Dear Google AdWords Customer,
We were unable to process your payment.
Your ads will be suspended soon unless we can process your payment.
To prevent your ads from being suspended, please update your payment information.Please sign in
to your account at http://adwords.google.com/select/login,
and update your payment information.
——————————————————————————-
This message was sent from a notification-only email address that does
not accept incoming email. Please do not reply to this message.
——————————————————————————-
Thank you for chosing Google Adwords

Otro más

——————————————————————–
Dear Google AdWords Customer,

We were unable to process your payment.
Your ads will be suspended soon unless we can process your payment.
To prevent your ads from being suspended, please update your payment information.

Please sign in
to your account at http://adwords.google.com/select/login,
and update your payment information.
—————————————————————————-
This message was sent from a notification-only email address that does
not accept incoming email. Please do not reply to this message.
—————————————————————————-
We look forward to providing you with the most effective advertising available.
Si se abre el correo como HTML, el link no lleva a esa dirección sino a otra. Es por eso que si uno copia y pega la dirección el phishing no se aplica.

En este caso sólo aplica cuando se tiene una cuenta con Adwords, el cual es mi caso, y por ende te hace dudar si realmente es para ello.

Si haces clic directamente en la liga te va a llevar a un lugar de phishing idéntico al login de Google.

Algo que me permite verificar la autenticidad del sitio es la relación de los vínculos. Están aquellos que apuntan obviamente a Google, pero otros apuntan a un servidor en quién sabe dónde.

¿Para qué querrían mis datos de Google Adwords?

Tal vez no son muchas las personas con este servicio, sin embargo, si le atinan a uno que otro – como fue en mi caso – lo que obtienen son tus datos para que todas tus ganancias por este servicio se vayan a sus propias arcas. La probabilidad es baja, pero dado que las ganancias no son muchas, algunas personas lo revisamos cada 3 meses y notamos que hay por ahí unos pocos dólares. Pero si robas la identidad de unas 50 personas, cada 3 meses tienes unos 500USD robados en tu cuenta…

Recomendaciones

– Revisar siempre el dominio de los hipervínculos de cualquier correo.
En este caso las primeras partes del correo parecían ser de Google, pero el resto de la dirección sugiere phishing.

– Identificar el remitente del correo. A veces con sólo presionar el botón de «Responder» te aparecerá el remitente. En otros casos hay que revisar el encabezado. Este correo me lo envío una tal flora1944@yahoo.com ¡Cuidado con esta dirección!

Banamex le comunica – Correo falso

Hoy me llegó un correo de parte «Grupo Financiero» con el título «Banamex le Comunica»

Verificando el encabezado del correo veo que llega del dominio «cibexlesusa.com» no de Banamex. El remitente es «nobody» ni muestra ningún identificador válido.

El texto del correo es como el que se muestra a continuación

Nuevamente es lo que redireccionan a una página que, en este caso, se ve chafona, y no sólo eso, al final de la página muestra publicidad.
«Baby Shower Favors | Online Casino | Free Website | Cash Advance | Free Music Downloads » 🙂

El URL es donde el dominio es t35. ¿Qué tiene que ver con Banamex?

Obviamente no muestra el procolo https que indica que se usará un certificado digital para asegurarte que te estás conectando con Banamex y por ende, tampoco está el candado indicando la encripción de la información.

Cuidado con esta basura que llega.

Algunos de los «porqués» de las leyendas urbanas (correo basura – spam -)

¿Se han preguntado cuál es el objetivo de tomarse el tiempo para escribir tonterías alarmistas, poco fundamentadas y que además causan el efecto de pánico y distribución deseado?

Se me ocurren varias razones y por otro lado hice un poquito de investigación. Hay razones geográficas, demográficas, sociales y culturales. Pero la más importante de todas es: ECONÓMICA.

Geográficas, demográficas, sociales y culturales.
Cuando estuve un tiempo en Munich, Alemania pude maravillarme de varios factores laborales que suceden en Europa. Casi nadie pierde el tiempo en sus horas de trabajo. En sus momentos de descanso, si no van a tomarse un café, salen a caminar un momento y a tomar el aire. Unos pocos leen sus correos personales o editan su blog. Pero nadie se pone a leer y a reenviar cadenas de ningún tipo.
Debe haber gente allá que tal vez sí lo haga, pero deben de ser los menos. Quien recibía una mail de “cadena” de alguno de sus colegas mexicanos, no se tomaban la molestia siquiera de abrirlo, cual SPAM se iba directo a la papelera virtual. Esto lo vi varias veces. A la tercera, le pedían al remitente que evitara enviar basura a su bandeja de correo.

Qué sucede en México?

1. Primero, hay gente que cada 10 minutos ve su correo personal. Encuéntrese lo que se encuentre lee todos y cada uno de los correos que le llegan. Ya sean PPTs con bendiciones enviadas por la madre Teresa de Calcuta que, por cierto, envió antes de morir, en español y haciendo alusión a la virgen María, o chistes con publicidad y ligas a sitios web de esoterismo debajo de cada chiste.
2. Aunque el contenido real y legible del correo sean 10 líneas, éste llega con más 1000 líneas entre las cuentas de correo de toooodos lo que lo reciben y los >>> que va agregando cada cliente de correo al hacer un “reenviar” El receptor, en ese momento busca a tooodos sus contactos y sin tomarse la molestia de copiar sólo el contenido, lo reenvía.
3. Peor aún, no se toma molestia de cuestionarse si es verdad lo que está recibiendo. Le da una especie de satisfacción el pensar que tuvo la fortuna de que le llegara información privilegiada y ahora él era el mensajero y portador con la responsabilidad de transmitir la sabiduría a los otros pobres mortales.
4. No sólo no se molestan con la cantidad de basura que les llega de sus “amigos” sino que algunas veces piden que se les envíe más. Oiga compadre, esos pagüerpoint de las minitas están muy buenos. Usté los hace? Mándeme más no?
5. Existen casos de gente ociosa en las oficinas – a mi me consta y lo viví de cerca – que dedican las primeras 2 horas de la mañana en su oficina, a copiar imágenes de sitios porno y pegarlas en un PPT. Pero además, los inútiles parásitos no saben acerca de las “reglas de cortesía” de la Web y dado que toman las imágenes de alta resolución (porqué se ven más chidas, según me dijeron) queda una documento de hasta 5MB que es enviado a más de 100 de sus contactos. Son 500MB que son enviados desde de una sola computadora. Y luego se quejan con los de sistemas porque su correo está lento.

Económicas:
Dada la maravillosa idiosincrasia de México y otros países latinos. Hubo gente que se dio cuenta de esto y pensó: “Joder que son muchos los correos que se pueden adquirir de este modo” Por lo que se inventan alguna tontería que suene más o menos creíble y lo condimentan con un nombre, un puesto y un teléfono que también, pocas personas se atreven a marcar para comprobar la veracidad de lo recibido.

Qué ganan? El reunir una lista de nombres y direcciones de email, con una confiabilidad de casi el 99% misma que después vende como base de datos al mejor postor para enviar anuncios no deseados y SPAM en general.
Cada basesita vendida tiene un valor que va desde los 10centavos hasta el dólar por correo en ella. Es decir, de una base de datos con 10,000 correos, dependiendo de la confiabilidad de ésta, se puede cobrar entre 1000 hasta 10,000 dólares por ella. Si la venden a unos 10 contactos ya tienen un buen billete por hacer su gracia.

Por otro lado, está también la de colocar «Caballos de troya» en los equipos de la gente para poder tener un ejército de computadoras zombies y desde ahí seguir enviando SPAM y poder atacar otros equipos como en el caso del W32 blaster Worm

Tipos: Hay muchísimos, niños con cáncer o alguna enfermedad terminal, los que asientan que el que lo envíe recibirá dinero o un equipo telefónico gratis, los de un virus ultra malo que te borrará hasta la raya de las nalgas, de fantasmas, los powerpoints con bendiciones del papa o que comenzaron en 1800 y que un monje descalzo comenzó en una corteza de árbol mientras defecaba al aire libre, de fraudes telefónicos, de robos en zonas de México, los de lapidación y difamación de gente real… en fin…

Esto no quiere decir que todos sean mentira. He visto algunos que previnieron respecto  los troyanos que se enviaban a través del Windows Live Messenger y que era 100% genuino. También el de un par de niñas que fueron secuestradas y que sus padres mandaron un correo para ayudar a localizarlas.

Qué se puede hacer?

Ayudaría no sólo para minimizar esto ya que eliminar es imposible ya que cada minuto nace un necio o un ignorante o un huevón que le da flojera pensar, el CUESTIONARSE no tragarnos todo lo que nos dan a ver o a leer. Si al recibir estos correos, en vez de inmediatamente reenviarlos, nos detuviéramos a pensar por un momento el fin para el cual se envía o si es genuino, se reduciría considerablemente.

Si se tiene el tiempo, llamar al teléfono para saber si es verdad (ya que hasta nos hizo derramar la lagrimita en ojos de Remi)

O finalmente, mándarlo a estos lares y con mucho gusto les indico si es un hoax o broma o si es genuino.

Shit happens… and happens most to the foolish

Hackeo de vulnerabilidad de Modems 2Wire simulando el sitio de Banamex

Antecedentes:
El viernes pasado quise acceder a mi cuenta de Banamex para realizar una transferencia. Confiado en tener todo al día: Antivirus, firewall, anti hack y por mi arrogancia, introduje número de cliente, clave personalizada y la clave dinámica que el «Net Key» me proporciona.

Sorpresa!!! Se despliega un mensaje de que el servidor se encuentra en mantenimiento y que lo intente en 24hrs. Como ya había visto este mensaje en un equipo hackeado de un cliente de inmediato entro en terror buscando el origen de la redirección. Banamex y ningún otro banco te informarán que están en mantenimiento una vez introducidos tus datos, sino antes de hacerlo. Acababa de ser víctima de un truco conocido como Pharming.

Pharming: Es la modificación de los registros (DNS) logrando redireccionar las peticiones de algún sitio (En este caso fue Banamex) hacia otro sitio preparado por un hacker o espía.

¿Quiénes son suceptibles al ataque?
Cualquier usuario de Prodigy Infinitum con los siguientes modelos de Routers:
2Wire 2071 Gateway 5.29.51
2Wire 2071 Gateway 3.17.5
2Wire 2071 Gateway 3.7.1
2Wire 1800HW 5.29.51
2Wire 1800HW 3.17.5
2Wire 1800HW 3.7.1
2Wire 1701HG 5.29.51
2Wire 1701HG 3.17.5
2Wire 1701HG 3.7.1
2Wire 2701HG-T  (actualizado al 30 de Julio de 2008)

¿Desde cuándo se conoce la vulnerabilidad?
15 de agosto de 2007 siendo hkm@hakim.ws y Eduardo Espina G. los acreditados con el descubrimiento.

Descripción de la vulnerabilidad:
Los ruteadores 2Wire listados arriba son susceptibles a la vulnerabilidad cross-site request-forgery (XSRF) Un ataque remoto explota ésta vulnerabilidad para ejecutar acciones arbitrarias en el dispositivo afectado. Estas acciones pueden ser: Cambio de contraseña del router, Adición de rutas fijas DNS, Desactivar autenticación inalámbrica, resetear el modem, etc.

Sitios que son simulados por el hacker al 2 de febrero de 2008
banamex.com
http://www.banamex.com
http://www.banamex.com.mx
boveda.banamex.com
boveda.banamex.com.mx
http://www.boveda.banamex.com
http://www.boveda.banamex.com.mx
bancanetempresarial.banamex.com
bancanetempresarial.banamex.com.mx
http://www.bancanetempresarial.banamex.com
http://www.bancanetempresarial.banamex.com.mx
Sitios susceptibles de ser impersonados:
Bancos en general, PayPal, eBay, sitios que requieran de usar un login

Ejemplo de sitio falso de Banamex

a) La fecha y la información busátil son incorrectas.
b) Los tipos de cambio y sobretodo la cotización del Centenario son evidentemente incorrectos.

¿Cómo identificar y neutralizar el ataque por pharming o de hackeo?
Hackeo en tu PC
1. Archivo de HOSTS
Revisa el archivo HOSTS en la ruta c:\Windows\System32\Drivers\etc\
– Si encuentras los listados de banamex o de cualquier otra dirección que no sea
Localhost 127.0.0.1
fuiste hackeado.

Acción: Borra el contenido del archivo HOSTS y guarda los cambios.
Nota: en Windows Vista requieres ejecutar el Bloc de Notas como Administrador, si no, no te dejará realizar cambios al archivo HOSTS.

2. Proxy en navegadores
Abre una ventana de Internet Explorer o del Navegador que uses
Accede al menu Herramientas o Preferencias
Entra en la sección de Conexión y luego a Red Local o LAN
– Si está activo el uso de un servidor PROXY
fuiste hackeado.

Acción: Desactiva la casilla de proxy y acepta los cambios.

3. Router 2Wire
En una ventana de Internet Explorer o del Navegador que uses teclea la dirección siguiente:
http://home/management
– Si anteriormente habías configurado una contraseña y al colocarla no te permite entrar
– Si nunca configuraste una contraseña y ahora te la está pidiendo
fuiste hackeado.

Acciones:
1. Presiona la liga «No recuerdo la contraseña»
2. Sigue las instrucciones para restablecer la contraseña del sistema.
3. Vuelve a introducir la dirección http://home/management
4. Ingresa la contraseña
5. Del menú de la izquierda busca dentro de Avanzada «Resolución de DNS»
6. Presiona el botón REMOVE o QUITAR sobre cada dirección agregada que aparezca

¿Cómo evitar el hack de mi modem 2Wire en el futuro?
1. Contra el hacking de tu PC necesitas instalar un antivirus de verdad 😉 Combinaciones de antivirus y firewall gratis han demostrado detener la mayoría de las amenazas informáticas (80%) pero ese remanente que no protegen son más de 1000 amenazas.

Las herramientas Antivirus que recomiendo en estricto orden
– Kaspersky Internet Security 2009
– Kaspersky Antivirus 2009
– Norton 360

Adicionalmente necesitarías una auditoría manual de procesos y de aplicaciones potencialmente peligrosos.Ya que en este caso, el hackeo es realizado por un Caballo de troya (Trojan) y un gusano (Worm)

2. Contra el pharming de tu router 2Wire NO existe, al 2 de febrero de 2008, una solución; ni por parte de Telmex, ni por parte de 2Wire.

La mejor protección es: conocimiento y perspicacia al usar internet.

He leído que ésta vulnerabilidad es explotada a través de un correo falso que puede llegar:

– De una tarjeta electrónica de gusanito.com. (La cual no envía Gusanito.com)
Ejemplo de tarjeta falsa de gusanito.com

– De un correo falso del periódico El Universal con una liga a un video
Ejemplo de correo falso de una noticia del Universal.

Cómo identificar que un sitio es genuino:

Sin embargo, el acceso a ciertas páginas también puede hacerte susceptible a un ataque de pharming, por lo que hay que fijarse en lo siguiente antes de introducir contraseñas y claves. Lo mostraré con el ejemplo de la página de Bancanet.

a) La direción debe comenzar con https y no sólo http. La «s» básicamente indica que es una conexión segura.

b) Habiendo la «s» entonces también existirá un certificado que autentica al sitio que accesas, donde la conexión entre el servidor web y el cliente está cifrada.

Habrá que estar alertas.

Saludos

Fuentes:
http://www.securityfocus.com
http://www.2Wire.com

P.D. El hacking del 2Wire dado que afecta todos los equipos conectados al mismo,
estará afectando equipos Windows, Mac, Linux, Unix, etc.

Inclusive si te conectas por equipos móviles: Blackberries, Palms, Cliés, UMPCs, etc.

Actualización Agosto 2008

A estas alturas el redireccionamiento a otro sitio distinto al de Banamex sólo puede causar molestias gracias a que Banamex ahora requiere que para poder realizar cualquier transferencia, introduzcas nuevamente tu clave dinámica del NetKey. 🙂 así que gracias a todos esos intentos de fraude, lograron que la seguridad fuera relamente efectiva.

Actualización Enero 2010

Por ahí me encontré el blog de Jesus Rizo… que me supongo que es robot o algo así porque se fusiló en tu totalidad esta entrada… en fin. Shit happens! Éste es el bueno 😉 Si hasta Adela Micha se copia el texto de este blog, que otros lo hagan pues ya que, la cuestión es informar y éste por lo menos puso la fuente de donde lo copió jajaja