Tag Archive for phishing

Matias Katz | 19:44 hrs.
No comments

CXO Community – V Jornada de Gestión de la Identidad en la Era Digital

V Jornada de Gestión de la Identidad en la Era Digital

Este miércoles 21 de Marzo, CXO Community organiza su quinta Jornada de Gestión de la Identidad en la Era Digital.

El evento se realizará en la Universidad del CEMA, ubicada en Reconquista 775 (Ciudad de Buenos Aires).

Este evento tiene como objetivo el informar, actualizar y brindar a los ejecutivos y especialistas de un profundo conocimiento del actual impacto en las organizaciones sobre la gestión de identidades, medios de identificación y protección de la información confidencial y personal.

Mkit Argentina ha sido invitada a participar en el evento, dando una charla.

Estaremos demostrando los riesgos aparejados al uso de las redes sociales, utilizando preferentemente como único vector de ataque, Facebook. Se tomará provecho del uso de funciones nativas de Facebook para realizar un ataque de Ingenierí­a Social creando notas falsas, perfiles falsos, envio de mensajes falsos. El objetivo final es realizar un Profiling completo de la ví­ctima accediendo a sus datos privados sin tener un previo contacto, y en el mejor de los casos, tomar control de su equipo.

Link a la agenda completa

Los esperamos ahi!

Fuente: Blog de Mkit Argentina

Category: Seguridad | Tags: , , , , , , , , , , , ,
Matias Katz | 18:19 hrs.
2 comments

Facebook o SET ?

El título hace referencia a SET (Social Engineering Toolkit), ya que en reiteradas y comprobadas ocasiones, facebook actúa como plataforma de propagación de phishing.

Una vez más, hemos detectado un modesto y permisivo error de diseño por parte de Facebook que permitiría a un atacante, generar un vector de propagación de phishing. Nuevamente, no hay reportes hasta el momento sobre el mal uso de dicha funcionalidad.
Anteriormente publicamos 1 artículo que se relaciona directamente con este ataque: Ingenieria Social A traves Del boton “Me Gusta” , si no lo leyeron todavía, los invitamos a hacer una revisión rápida para una mejor comprensión de las posibles combinaciones.

Como se detalla en el artículo anterior, un atacante puede hacerse del fallo de diseño para aumentar la confiabilidad y reputación de una nota, para luego modificarla y publicar links con contenido malicioso en ella. En este caso particular sumamos la posibilidad de generar 2 nuevos aditivos que hacen más “Llamativa” la nota a la hora de hacer click sobre un supuesto link inofensivo.

En primer lugar, podemos insertar fotos en la nota, algo conocido ya hace mucho tiempo. En nuestro caso fuimos capaces de insertar la imagen desde una URL externa utilizando sobre la nota código HTML.

Ejemplo:

<img SRC=”http://www.mkit.com.ar/imagen.jpg” alt=”imagen”></img>

En segundo lugar, a base de prueba y error, logramos insertar un “a href” con la posibilidad de moficar el nombre del hipervinculo.

Ejemplo:

<a href=”http://www.dominiomalicioso.com/malware.exe”>http://www.mkit.com.ar/blog</a>

Nuevamente, un atacante puede “Esconder” gracias a estas funcionalidades, su redirección a un sitio contaminado o bien con algún engaño elaborado para hacer que el usuario caiga en su trampa.

En las pruebas de rutina del funcionamiento del “Posible” ataque, logramos comprobar cierto comportamiento:

  1. Si se comparte la nota sobre el muro y, si se agrego como nombre de hipervínculo la expresión “http://”, y se intenta hacer click EN el link de la nota EN el muro, el usuario va a ser redirigido hacia el sitio que dice el NOMBRE del hipervínculo sin importar cual sea el “a href”. En el caso del ejemplo de arriba, se redirecciona hacia “http://www.mkit.com.ar/blog” en vez de “http://www.dominiomalicioso.com/malware.exe”.
    Redireccion EN muro
  2. Si se comparte la nota sobre el muro y, si NO se agrego como nombre de hipervínculo ninguna expresión del tipo “http://”, el mismo aparece en la publicación del muro como texto plano, si es que llegara a entrar en el preview de la nota.
    Redireccion EN muro SIN “http”
  3. Si se intenta hacer click sobre el hipervínculo DENTRO de la nota, entonces de cualquier forma vamos a ser dirigidos hacia el lugar donde apunte nuestro “a href”.
    Redireccion DESDE la nota

También podríamos utilizar Short URLs para ofuscar un poco más la lectura de la barra de estado para evitar a aquellos usuarios que prestan un poco más de atención.

En este caso particular, seleccione un tema de interés del momento para comprobar la curiosidad del usuario. La redirección se hace hacia un script dentro de este mismo dominio que lleva la cuenta de los visitantes para medir el impacto que tendría si publicáramos contenido malicioso.

En un conjunto aproximado de 300 nodos, un día lunes 1:30 de la madrugada, a tan solo 40 minutos de la publicación, este es el resultado Parcial:

Contador de Victimas

Actualizacion Lunes 10:25 A.M:

Contador de Victimas

Ya este numero implica aproximadamente el 15% de mis contactos.

Por más que mis contactos confíen en mi y sé que por esa misma razón entran sin preocuparse (espero al menos..), hay que crear un habito en el usuario para suplir las falencias a nivel de diseño por parte de las aplicaciones de hoy en día.

En este caso, es una cuenta personal, con pocos nodos. Imaginemos si la cuenta de alguien con más de 1000 contactos fuese robada! En cuestión de minutos un atacante seria capas de robar cientos y cientos de datos o bien comprometer esa cantidad de equipos.

Posible solución:

No permitir al usuario utilizar HTML tags en la creación de notas: Ciertamente, es poco “estético” dejar la URL cruda sin cambiar su nombre. Sin embargo, podría hacerse una diferenciación entre usuarios “Corporativos” y “Regulares” y dar permisos extras a los primeros que muy probablemente hagan buen uso de dicha funcionalidad.

Concientizar al usuario: Visto el “Avance” de los vectores de phishing anteriormente denunciados, creemos que en este y en la mayoría de los casos, la forma más eficiente y eficaz de evitar un ataque, es disciplinar al usuario e inculcar poco a poco las practicas seguras a la hora de navegar tanto en las redes sociales como en cualquier red. La lectura de la barra de estados sigue siendo de extrema importancia ANTES de hacer click sobre CUALQUIER HIPERVÍNCULO.

Fuente:  Gustavo Nicolas Ogawa, de la redacción del Blog de Mkit Argentina

Category: Seguridad | Tags: , , , , , , , , , , ,
Matias Katz | 14:01 hrs.
No comments

Facebook Simplifica Ataques De Phishing

Una vez más, vamos a presentar un 0-day en técnicas de phishing de facebook. Afortunadamente todavía no hemos visto la técnica en funcionamiento. Mediante una continua investigación de la plataforma, logramos deducir ciertos vectores de ataque para prevenir a los especialistas en seguridad y desarrolladores, antes de que los vectores sean explotados de forma masiva, reduciendo de esta forma su futura efectividad.

Cada vez que publicamos un Link, ya sea en nuestro muro o en el muro de alguien más, se genera un contenido al cual Facebook llama “Vista Previa”.

Una vez copiado el link en el sector para hacer la publicación, la vista previa se genera sola y da información sobre la pagina a la cual redirecciona el link, léase Nombre de link + Dominio De Redirección.

Si quisiésemos, podríamos borrar el link del sector de publicación y que se vea solamente la vista previa. De esta forma solo bastaría con hacer un click en la Imagen o Link de vista previa para ser redirigidos.

Post Sin Link En Comments

De esta misma forma, podríamos publicar contenido Malicioso ya que Facebook nos permite “Linkear” más de 1 contenido por post, pero solo permite 1 vista previa.

2 Links en 1 Post

Como vemos en la imagen, aparece tanto el link + vista previa de Hotmail, y ademas aparece en el Comment el link para acceder al sitio de Gmail.

Ahora, aprovechando dichas facilidades otorgadas por la aplicación y haciéndose de los acortadores de URL, un atacante sería capaz de aumentar su probabilidad de infección mediante una UNICA publicación que contenga 3 direcciones:

  1. Link Malicioso
  2. Nombre del supuesto link al que se va a redirigir
  3. Link Original

Si observamos con detalle la imagen con redirección verdadera podemos distinguir lo siguiente:

  1. Texto de Comment de FB.
  2. Nombre de hipervinculo (Sign In)
  3. Link en texto plano (login.live.com)
  4. Comentario de la página

Si observamos con detalle la imagen con redirección falsa dennotamos:

  1. Texto de Comment FB + Short URL (A modo de PoC, redirige a gmail.com) —> Se incita al usuario a iniciar sesión desde el link
  2. Nombre de Hipervínculo (Sign UP) —> Si se apretara Sign Up, la redirección sería hacia el sitio Origianal , por eso su modificación para EVITAR de alguna forma que el usuario haga Click.
  3. Comentario de la página :

Si desea iniciar sesion, siga el LINK DE ARRIBA o el siguiente LINK: http://goo.gl/93aP6 . Para Crear una cuenta, aprete SIGN UP

Otro Ejemplo:

Redireccion Maliciosa

Si utilizamos algun servicio para “Descomprimir” el link recortado nos arroja el siguiente resultado:

Expand

Sitio Utilizado: http://longurl.org/

Como vemos en el resultado, la redirección se hace hacia http://login.liveS.com/ que no es lo mismo quehttps://login.live.com/, dando lugar a un ataque de Phishing.

Hay 4 factores clave en el ataque:

  1. Facebook nos permite escribir mas de 1 hipervínculo por publicación
  2. Facebook crea una “Vista previa” de la página
  3. Facebook dentro de la vista previa, hace un detalle del “Nombre de link” (Manipulable)
  4. Facebook nos permite la modificación del contenido de la publicación.

Hay 1 factor negativo en el ataque:

  1. El Hipervínculo de redirección original en vista previa, NO SE PUEDE MODIFICAR. Ergo, por más que el atacante cambie el nombre del link de redirección, si el usuario presiona sobre ese link va a ser redireccionado al original de todas formas.

Del factor negativo, deducimos (Muy fácilmente), que las probabilidades de efectividad, se reducen al 50%, ya que de 2 link con redirección 1 nos guía hacia un Sitio Atacante, y 1 nos guía a el Sitio Autentico. Sin embargo, como demostramos en el caso de Sign In/Sign Up, lograríamos una desviación “Semántica” de dicha redirección.

De los factores clave del ataque, podemos deducir:

  • Facilmente un usuario caería en la trampa por ser un phishing 0-day.
  • La Vista Previa aumenta la confiabilidad de la redirección
  • Facebook mismo aumenta la confiabilidad de la publicación
  • El “Nombre de Link” es la segunda clave del phishing ya que podemos modificarlo a nuestro antojo, aumentando así la confiabilidad por parte del usuario dispuesto a hacer Click.

Para evitar ser víctima de un phishing de esta índole, recomendamos un uso consciente de las redes sociales. No hay que confiar de todo lo que aparenta ser.

- Leer atentamente la barra de estado posando el mouse sobre el hipervínculo para ver la dirección a la que apunta.

- Si es una “Short URL” ingresar a algun sitio de expansión de links para ver la redirección original.

Fuente: Gustavo Nicolas Ogawa, de la redacción del Blog de Mkit Argentina

Category: Seguridad | Tags: , , , , , , ,
Matias Katz | 16:09 hrs.
No comments

Phishing Banco Comafi Argentina

Hoy a la mañana recibí un mail con las siguientes características:

Mail Phishing

Una vez entrado en el dominio falso nos redirecciona a una página IDÉNTICA a la de Banco Comafi, hasta toma las imagenes del site original.

Aunque por error de certificados, la primera impresión es la siguiente:

Error de Certificado

Pero la página debería verse de la siguiente manera:

Phishing con imagenes originales

Una vez ingresados los datos en la página falsa, nos redireccionara a una Script “Verifica.php” Todavía dentro del dominio FALSO, para luego advertirnos sobre la supuesta restauración de nuestra cuenta y ser redireccionados hacia el sitio original http://www.comafi.com.ar

Envio de Parametros con Metodo GET forzado
Supuesta Reactivacion de Cuenta

No es la primera ni la ultima vez que nos crucemos con este tipo de engaños, donde los “Cyber-Criminales” se aprovechan de la falta de atención por parte del usuario.

Para evitar este tipo de engaños, es necesario prestar atencion sobre el dominio que indica la barra de estado abajo del todo en nuestro navegador, para poder determinar hacia que dominio estamos siendo redireccionados. Si el dominio es consistente con la supuesta información otorgada (Esto podríamos comprobarlo a través de cualquier motor de busqueda, Ej: buscar la pagina oficial de COMAFI Argentina), entonces podríamos proceder.

De todas formas, cabe destacar que NINGUNA empresa pide información Sensitiva a través de medios electrónicos.

Espero que esta información sea de ayuda para prevenir el robo de credenciales.a

Fuente: Gustavo Nicolas Ogawa, de la redacción del Blog de Mkit Argentina

Category: Seguridad | Tags: , , ,
Matias Katz | 17:22 hrs.
No comments

Encuesta de Segu-Info sobre phishing

 

Segu-Info, la comunidad de seguridad de la información de habla hispana más grande del mundo, está realizando una encuesta para averiguar el nivel de conocimiento que poseen los usuarios de internet sobre temas relacionados con phishing.

La encuesta es anónima y muy rápida de completar (menos de 1 minuto), y el completarla colaborará a establecer los niveles de concientización sobre phishing existentes.

Link a la encuesta: http://segu.info/enc1

 

Category: Seguridad | Tags: , , , , , ,
« Older Entries