Recursos Afectados

En el caso de la suplantación a Apple, podemos observar un proceso similar:

Se pretende engañar a la víctima con una falsa factura de una compra que no ha realizado. En este caso, también se utiliza un correo electrónico que no corresponde con el oficial de Apple. Del mismo modo que en el caso anterior, se incita a la víctima a hacer clic para tener acceso a la supuesta factura, pero esta descarga el software malicioso.

Los otros dos casos que se han detectado, hasta el momento, también siguen una estructura similar. El resultado que se pretende obtener siempre es el mismo.

Todos los ejemplos de correos mencionados, contienen un enlace malicioso que descarga el malware. En caso de abrir el archivo .zip, este se descomprimirá y mostrará el archivo que de ser ejecutado infectará el dispositivo.

La entrada Distribución de malware Grandoreiro mediante suplantación a varias entidades a través de facturas falsas se publicó primero en LISOT.

La naturaleza de este engaño mediante phishing se manifiesta en correos electrónicos diseñados para engañar a los receptores haciéndoles creer que su autorización de domiciliación bancaria está obsoleta.

Si al abrir tu bandeja de entrada encuentras un mensaje urgente, con la advertencia: «Evite pagos atrasados» en la línea de asunto, cuidado.

El contenido puede decir algo así: «Su autorización de domiciliación bancaria ha caducado el 12 de noviembre de 2023, por lo que para evitar pagos atrasados debe introducir sus datos en un formulario al que se accede pinchando en un enlace que contiene el mensaje».

El correo electrónico parece legítimo, pero un examen más detenido revela fisuras en su fachada. FACUA destaca que la dirección del remitente no es oficial de Movistar y el enlace proporcionado no corresponde al dominio real de la empresa.

Los más observadores notarán algo aún más insidioso: se menciona una fecha futura como si ya hubiera pasado, algo extraño. ¿Habrá sido escrito con ChatGPT?

Ciberataques como el phishing pueden tener faltas ortográficas

La organización de consumidores pone en perspectiva el método de ataque de ciberdelincuentes con un ejemplo claro: es como si recibiera una carta de un amigo fechada para la próxima semana, pero misteriosamente ya está en sus manos. Algo no cuadra.

Además, la reacción del mensaje sigue una línea coherente de cortesía, oscilando entre un informal tú y un más formal usted, terminando con un poco convincente «esperamos haberos informado».

FACUA aconseja mantener la guardia alta: no interactúes con correos sospechosos, mantente escéptico ante los archivos adjuntos no solicitados y, antes de clicar, examina los enlaces con detenimiento. Además, recuerda actualizar con regularidad tanto el sistema operativo como el software antivirus.

El panorama actual de la ciberseguridad exige vigilancia. Y mientras los detalles específicos de este incidente pueden ser nuevos, la lección es tan antigua como el propio Internet: en el mundo digital, la precaución es la mejor protección.

La entrada Si eres de Movistar cuidado si te llega este correo, es un ataque de phishing se publicó primero en LISOT.

Una brecha de seguridad en los servicios informáticos del PSOE ha dejado expuestas centenares de cuentas de correo electrónico de trabajadores del partido en toda España.

 Según ha podido saber EL ESPAÑOL de fuentes del ámbito de la ciberseguridad del Estado, han quedado expuestas las claves de acceso a las cuentas y la fuga de datos ha sido localizada en foros empleados por internet por piratas informáticos.

La alerta en el PSOE, entre los especialistas de las Fuerzas y Cuerpos de Seguridad del Estado y en empresas dedicadas a la protección contra ciberamenazas se ha disparado al conocer que los datos han aparecido en abierto en diversos canales de aplicaciones de mensajería instantánea. Son canales en los que se encuentran grupos de piratas informáticos de la órbita del Kremlin.

El espacio en el que se ha difundido es un chat empleado por el grupoNoName057. En el chat, uno de los integrantes llega a alentar a otros a lanzar un golpe contra los socialistas, distribuyendo la dirección de su web. «Son el principal partido de España. Ahora mismo, tienen muchos problemas internos. Id fuerte a por ellos y tendréis la atención de los medios», dice un mensaje.

Esta ciberbanda próxima al Kremlin fue la autora del colapso de la web del Ministerio del Interior y otras instituciones públicas el pasado verano, durante la jornada electoral del 23-J. Días después de ese ataque, el mismo colectivo intentó colapsar la web del diario El Español y de otros periódicos de ámbito nacional.

Noname es un colectivo prorruso que se conoció por primera vez en marzo de 2022, tras el inicio de la invasión rusa a Ucrania. Es el mismo grupo que la pasada primavera tumbó la web de Puertos del Estado con una agresión similar.

Los datos han sido expuestos en la red y han estado al alcance de terceros. La advertencia le llegó al PSOE a través de un informe de la empresa Quantika14, una compañía de élite en el mundo de la ciberseguridad que trabaja habitualmente con la Policía Nacional, el Ministerio del Interior y diversos gobiernos autonómicos.

Los especialistas de dicha firma reportaron a los socialistas esa información que localizaron en foros públicos. La compañía detectó el problema en la red y redactó un informe con esa información. Posteriormente, remitieron ese documento tanto a los expertos en ciberseguridad de Ferraz como a la Policía Nacional, que ya investiga el origen de la brecha.

Los datos en cuestión son centenares de direcciones de email junto con sus respectivas contraseñas. Según la compañía, los accesos y credenciales de los trabajadores del PSOE podrían seguir siendo accesibles. «Esto implicaría que terceros se hayan podido descargar esas comunicaciones o esos mensajes de diferentes cuentas expuestas».

Esa brecha detectada contiene datos que, según apuntan a este periódico fuentes expertas en ciberseguridad, ya habían sido expuestos previamente en otras publicaciones realizadas por diversos grupos de hackers.

Recomendaciones

Según Quantika14, aquella fuga de datos no se subsanó de manera conveniente, modificando las contraseñas de acceso, y por ello esas direcciones continúan siendo vulnerables.

En el informe de Quantika14, recomiendan a los especialistas del PSOE en seguridad informática que implementen nuevos protocolos como la autenticación de los correos electrónicos. Es decir, el sistema de doble confirmación que muchas compañías están utilizando para asegurar al máximo los datos personales de sus clientes.

A su juicio, resulta «crucial identificar a los propietarios y autores del foro» en el que se ha producido la fuga. Recomiendan a la Policía Nacional que tomen medidas cautelares como el bloqueo de esa web, algo que ya se ha realizado en otras ocasiones con espacios virtuales dedicados a la piratería.

«Se debe fortalecer la seguridad», recomiendan en su informe al PSOE. Concretamente, con medidas adicionales en los inicios de sesión de las direcciones de correo.

La entrada Un fallo de seguridad deja expuestas las claves de acceso a cientos de correos del PSOE en internet se publicó primero en LISOT.

Los delincuentes se habrían adentrado en su servidor ClassPad, orientado al segmento educativo de la compañía. Desde Casio afirman en comunicado oficial que los atacantes se han hecho con el control de cientos de miles de “ítems” pertenecientes a usuarios y organizaciones de todo el mundo.

Irrumpen en los servidores de Casio

Según la información, los atacantes accedieron a unos 91.921 ítems pertenecientes a los usuarios de la compañía japonesa y a otros 1.108 clientes de instituciones educativas. Además, también se habrían hecho con el control de unos 35.049 ítems de usuarios de otros 148 países.

Entre la información obtenida por los delincuentes se encuentran nombres, correos electrónicos, datos sobre el país de residencia, información de transacciones, datos sobre métodos de pago, códigos de licencia, e información de uso del servicio como datos de inicio de sesión e identificadores.

Según la compañía, no hay indicios de que los atacantes se hayan hecho con el control de la información bancaria de sus usuarios. Al parecer, un empleado descubrió que alguien había accedido a los sistemas el pasado 11 de octubre, ya que detectó un error en la base de datos de la compañía.

«En este momento, se ha confirmado que algunos de los ajustes de seguridad de la red en el entorno de desarrollo se desactivaron debido a un error operativo del sistema por parte del departamento encargado y a una gestión operativa insuficiente,» según se puede leer en el comunicado oficial.

Según apunta la compañía, estos fueron los motivos por los que los intrusos pudieron acceder a la base de datos sin autorización previa.

En respuesta al problema, Casio ha bloqueado el acceso externo de todas las bases de datos del entorno de desarrollo. Además, la compañía ha afirmado estar trabajando con una firma de seguridad externa para investigar la brecha de seguridad y responder de forma eficaz al ataque.

Casio también ha reportado el problema a las autoridades pertinentes, aunque por el momento se desconoce quiénes han sido los autores de esta brecha de seguridad. Según la compañía, todos los usuarios que han sido afectados serán contactados por Casio.

La entrada Casio sufre una brecha de seguridad y se filtran datos personales de miles de usuarios de todo el mundo se publicó primero en LISOT.

El phishing es una técnica de ingeniería social que consiste en enviar comunicaciones (también por correo electrónico) en las que los ciberdelincuentes suplantan la identidad de compañías para solicitar información personal y bancaria de sus víctimas.

La DGT ha alertado recientemente a través de su cuenta de X (Twitter) de una nueva campaña con fines maliciosos consistente en el envío de comunicaciones vía SMS de presuntas sanciones a los conductores de España.

En concreto, este organismo ha adelantado que únicamente comunica estas infracciones en la vía pública bien a través de correo postal o bien a través de la Dirección Electrónica Vial (DEV). Esto último solo ocurre en caso de que los usuarios estén dados de alta en dicho sistema de notificaciones electrónicas.

Con ello, la DGT ha matizado que, en caso de que estos usuarios hayan recibido SMS o correos electrónicos, se trata de un intento de estafa, por lo que no deben hacer clic sobre el enlace que estos incluyen.

Conviene recordar que la DGT no es el único organismo afectado por este tipo de fraudes, ya que los ciberdelincuentes han intentado engañar a sus víctimas en otras ocasiones a través de SMS enviados presuntamente por la Guardia Civil.

La entrada La DGT avisa de otra campaña de ‘phishing’ que informa de falsas infracciones por SMS se publicó primero en LISOT.

Hasta la Asociación Española de Consumidores han llegado diversos avisos de fraude relacionados nuevamente con supuestos correos electrónicos recibidos cuyo “remitente” se señala que sería la plataforma Disney+ indicando que se daría de baja la cuenta que tengamos abierta.

Durante los últimos años, los intentos de estafa por medio de técnicas de suplantación de identidad han estado creciendo de una manera alarmante. Mediante estos fraudes, los ciberdelincuentes aprovechan para tratar de robar nuestros datos a través de estos mails en los que se hacen pasar por una determinada empresa, en este último caso sería Disney Plus.

Entre los correos electrónicos fraudulentos que se hacen pasar por Disney Plus, algunos de los más comunes son los que solicitan que se actualice la información de pago o la cuenta del usuario será suspendida a menos que se realice una acción inmediata.

Al contestar a este mail con lo que nos piden estamos revelando información personal o bancaria.

Se trata de una nueva presunta estafa de phishing, haciéndose pasar los estafadores por Disney Plus y amenazan con suspender la cuenta del usuario a menos que actualice sus datos personales.

El enlace que proporcionan en el correo electrónico es fraudulento y redirige a una página web falsa en la que se solicita al usuario que ingrese información confidencial, como datos bancarios y personales. Una vez que la víctima proporciona esta información, los delincuentes la utilizarán para cometer fraudes y suplantaciones de identidad.

En primer lugar, cabe señalar que, desde las empresas, mediante correo electrónico, nunca nos solicitan información confidencial.

Como consejos para evitar ser víctimas de estos fraudes, ASESCON recomienda:

• Verificar el remitente: Los correos electrónicos fraudulentos suelen utilizar direcciones de correo electrónico que parecen similares a los reales.
• Verificar la dirección URL: Si se solicita que se haga clic en un enlace en un correo electrónico, debemos comprobar la dirección URL antes de hacerlo. Los enlaces fraudulentos suelen usar direcciones URL que parecen similares a las reales, pero que en realidad redirigen a un sitio web falso.
• En el caso de Plataformas de contenidos audiovisuales como esta objeto de este fraude, recomendamos que se vaya al perfil que tengamos abierto, sin entrar en ningún enlace que te envíen, y que se compruebe que la cuenta esté bien sin ningún cargo pendiente de cobro ni ningún mensaje de actualización de datos.
• Los mails fraudulentos suelen tener errores ortográficos o gramaticales y un tono de urgencia o amenaza para presionar al usuario. No nos dejemos llevar por un impulso.
• No debemos revelar información personal: Nunca des datos confidenciales por correo electrónico a menos que estés seguro de que el mensaje es oficial y que la persona o empresa que lo envía es segura.
• Además, a los afectados les solicitamos que hagan denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado con el fin de que sean investigados estos hechos

La entrada ASESCON alerta de un nuevo fraude relacionado con la plataforma Disney+ se publicó primero en LISOT.

El proveedor de soluciones de seguridad basadas en la nube Barracuda Networks acaba de publicar su quinto informe anual sobre amenazas de ransomware, con algunos resultados interesantes. Este trabajo analiza los patrones de este tipo de ciberataques entre agosto del año pasado y julio de este año.

Los investigadores encontraron 175 ataques de ransomware exitosos reportados públicamente en todo el mundo en esos 12 meses.

Además, Barracuda subraya que la mayoría de incidentes han apuntado contra los organismos locales, la atención médica y la educación.

La cantidad de ataques reportados se ha duplicado desde 2022 y se ha más que cuadruplicado desde 2021.

Los investigadores también han descubierto que se ha dado un aumento significativo en la cantidad de incidentes dirigidos a industrias relacionadas con la infraestructura. Aunque los ataques exitosos en este caso tienen un volumen menor en comparación con los tres sectores principales también experimentaron más del doble de ataques en comparación con el año pasado.

Los autores del estudio han observado que durante el intervalo analizado se han dado incidentes como compromiso del correo electrónico empresarial (BEC), infección de malware, amenazas internas, robo de identidad y fuga de datos. El ransomware representó el 27,3% de los incidentes, sólo superado por BEC, con el 36,4%.

Generando el mal

En esta edición del estudio los investigadores de Barracuda han decidido analizar más de cerca el impacto de las tácticas de IA generativa en los ataques de ransomware, evaluando formas en las que los ciberdelincuentes pueden usar estas capacidades para atacar más rápido y con mayor precisión.

La firma es consciente de que la proliferación de estos potentes chatbots puede ayudar a las pandillas de ransomware a aumentar la tasa de ataque con armas cibernéticas más efectivas.

El uso de estas herramientas también puede ayudar a los ciberdelincuentes a redactar textos para correos electrónicos de phishing muy convincentes y elaborados. Antes, los errores gramaticales y las faltas de ortografía podían dar pistas de que se trataba de un correo malicioso, pero ahora todos estos errores pueden ser eliminados fácilmente.

Igualmente, los investigadores de seguridad muestran cómo los atacantes pueden utilizar las capacidades de generación de código de la IA generativa para escribir código malicioso y explotar las vulnerabilidades del software.

Con estos cambios, la habilidad necesaria para iniciar un ataque de ransomware podría reducirse a construir un indicador de IA malicioso y tener acceso a herramientas de ransomware como servicio, lo que daría lugar a una ola completamente nueva de ataques, según se hace eco Intelligent CIO.

Por otro lado, los investigadores también están topándose con muchos incidentes en los que las organizaciones con pocos recursos parecen ser víctimas del ransomware varias veces, debido a que sus planes de continuidad del negocio y recuperación ante desastres están muy atrasados. En este sentido, los actores de amenazas van tras los backups, especialmente si se almacenan en el mismo dominio.

La entrada Se duplican los ataques de ransomware contra entidades locales, la atención médica y la educación se publicó primero en LISOT.

El proceso, explican, «se inicia tras participar en una oferta de Infojobs (portal de ofertas de empleo) donde las personas candidatas reciben una oferta de la supuesta empresa contratante a lo que le sigue la petición de descargar y rellenar un formulario del SEPE con datos personales y el número de cuenta bancaria». No es real, así que, cuidado si te has visto en esta situación. Siempre ten en cuenta que el Sepe nunca solicitará información personal y confidencial si no ha sido previamente autorizado por la persona usuaria y en los canales puestos a disposición del organismo, y no pedirá información personal hasta que no se formalice el contrato de trabajo.

Desde el organismo aconsejan:

– Sospecha si recibes un correo, SMS o WhatsApp.

– No te fíes si ves que contiene faltas de ortografía y/o un lenguaje no apropiado-

– Cuidado si te solicita aportar la información bancaria sin que se haya firmado el correspondiente contrato.

– Mantente alerta si te solicita aportar copias del DNI, NIE, pasaporte o carnet de conducir sin haber terminado el proceso selectivo y firmar el contrato.

– Recuerda que los correos del Sepe siempre llevan la terminación @sepe.es.

Para obtener asesoramiento técnico, psicosocial y legal cuentas con el número 017, puesto a disposición de la ciudadanía por el Instituto Nacional de Ciberseguridad (INCIBE): es un servicio gratuito y confidencial que funciona en horario de 9 de la mañana a 9 de la noche los 365 días del año.

La entrada Alerta del Sepe: Si te inscribes a esta oferta de empleo pueden robarte tus datos bancarios se publicó primero en LISOT.

Lo primero que explica el banco es la forma en la que actúan, a través del ‘phising’. En este caso, primero el ciberdelincuente manda un mail haciéndose pasar por una entidad o marca. Posteriormente, redirigen a una web falsa donde piden los datos o incluso un pago. En en ese momento cuando ganan el acceso a la cuenta.

¿Cuál es la mejor forma para detectarlo? CaixaBank explica distintas directrices. Por ejemplo, desonfiar en mails inesperados o respuestas no solicitadas. Otro de los consejos está en fijarse bien en el remitente del mensaje, ya que este puede ser una señal clara de la que no hay que fiarse.

Por otro lado, indican que «¡las urgencias son una alarma clara!». Además, el hecho de que se sepan el nombre o información de la persona en cuestión no quiere decir que haya que creer en ello, señalan. También inciden en los enlaces, los cuales hay que comprobar dos veces antes de clicarlo.

Las últimas dos advertencias tienen que ver la primera con el tipo de escritura, al considerar que «las faltas ortográficas son una red flag» y la segunda con las dudas, ya que si no hay confianza aconsejan preguntar al remitente por otro canal.

La entrada CaixaBank lanza una alerta a sus clientes por la estafa que pueden sufrir se publicó primero en LISOT.

Alta

Descripción:

Desde INCIBE se han detectado varias campañas de SMS y correos electrónicos (smishing y phishing) que suplantan a la Agencia Tributaria. El objetivo es que el receptor acceda a un enlace que le redirige a una página fraudulenta de aspecto similar a la legítima para sustraer los datos de su tarjeta bancaria.

En los SMS identificados varía el mensaje, pero siguen una estructura común. En todos ellos, se hace creer al usuario que tiene derecho a una devolución, incitándolo a seguir el enlace fraudulento e ingresar sus datos bancarios.

Recursos afectados:

Cualquier empleado, autónomo o empresa que haya recibido un mensaje suplantando a la Agencia Tributaria, solicitando datos bancarios.

Solución:

Si ya has accedido al enlace y has dado tus datos para recibir el reembolso, siguiendo sus indicaciones, procede de la siguiente forma:

• Contacta lo antes posible con tu entidad bancaria para informarles de lo sucedido y cancelar posibles transacciones que se hayan podido efectuar.
• Si has facilitado también datos personales, como el número de teléfono o el correo, permanece atento y revisa para comprobar que no seas objeto de otro tipo de fraude por esos medios o que no te suplanten.
• Por último, siempre puedes denunciar esta situación ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).

Evita ser víctima de smishing y phishing siguiendo nuestras recomendaciones:

• No abras mensajes de usuarios desconocidos o que no hayas solicitado, elimínalos directamente. No contestes en ningún caso a estos SMS y correos.
• Ten precaución al seguir enlaces, aunque sean de contactos conocidos. Debemos comprobar el enlace siempre, situándonos sobre el para ver si es el de la entidad legítima o usando herramientas para expandirlo si está acortado.
• Si el SMS o correo tiene ficheros adjuntos, será mejor no descargarlos sin comprobar que conocemos al remitente y confirmar que nos lo ha enviado. Si los hemos descargado, debemos utilizar herramientas como VirusTotal antes de ejecutarlos.
• Revisa la página web y sigue estas buenas prácticas y los consejos para navegar seguro (parte I y parte II). Comprueba la URL para ver si se trata de la entidad que esperas y si tienen certificado web. Si no es así, no facilites ningún tipo de información personal: nombre de usuario, contraseña, datos bancarios, etc.
• En caso de duda, consulta directamente con la entidad implicada a través de sus canales oficiales.

Detalles sobre los SMS:

En los SMS y correos detectados, que suplantan a la Agencia Tributaria, con la excusa de recibir un reembolso, se insta al receptor a pulsar en un enlace que redirige a una página falsa, en la que se le solicitan datos bancarios para abonar la cantidad.

La página fraudulenta tiene un diseño muy parecido al de la legítima, por lo que no hace sospechar al receptor de encontrarse ante una web fraudulenta. La forma de comprobarlo es revisando la URL de la web, que no se trata del dominio legítimo, sino de uno que trata de simularlo. La cantidad indicada varía en función del mensaje recibido.

Si el usuario introduce sus datos bancarios, estos pasarán a manos de los ciberdelincuentes.

Desde LISOT, como empresa de ciberseguridad, os ayudamos a securizar e implementar estas buenas prácticas de seguridad en los equipos de vuestra empresa.

La entrada Múltiples campañas de SMS y correos electrónicos fraudulentos que suplantan a la Agencia Tributaria se publicó primero en LISOT.