Google, Microsoft, Yahoo! y AOL han unido sus fuerzas para intentar acabar de una vez por todas con el phishing, esa táctica de malware que intenta engañar a los destinatarios de los correos electrónicos haciéndoles creer que su contenido proviene de una fuente legítima cuando en realidad los redirige a páginas estafa.
Para ello, junto con otros once socios, han fundado DMARC (Domain-based Message Authentication, Reporting, and Conformance), un proyecto con el que promoverán un conjunto de estándares de autenticación para emails. Gracias a este sistema se podrá verificar si los mensajes proceden o no de una fuente segura.
La idea es que las compañías marquen todos los mensajes salientes asociados con sus dominios y que sean los controladores de autentificación basados en DMARC los que controlen el paso o bloqueo de los mensajes a la bandeja de entrada del receptor. Esto obligará a identificar cada servidor que envía un correo electrónico y asegurar que las tecnologías desarrolladas por DMARC estén operativas.
Algunas de las tecnologías subyacentes ya se utilizan en la actualidad en la protección de correo electrónico. Por ejemplo, basándose en las firmas digitales que ayudan a identificar el remitente de un mensaje. Y, de mejorarse, contribuirían a crear nuevas formas de comunicación o a recuperar hábitos antiguos, como permitir que los bancos envíen un sencillo link con instrucciones a sus clientes para que actualicen sus cuentas. Esto es imposible a día de hoy, ya que los usuarios están acostumbrados a desconfiar de este tipo de técnicas.
Además de Google, Microsoft, Yahoo! y AOL, en el proyecto participan firmas financieras como Bank of America, Fidelity Investments y PayPal, redes sociales como Facebook y LinkedIn, o empresas de seguridad como Agari Data.
Mostrando entradas con la etiqueta phishing. Mostrar todas las entradas
Mostrando entradas con la etiqueta phishing. Mostrar todas las entradas
2011/11/25
Una nueva "ciberestafa" amenaza con cerrar cuentas de Facebook
Una nueva campaña de "phishing" (estafa virtual) intenta engañar a los usuarios haciéndose pasar por Facebook.
Los ciberdelincuentes envían correos a los usuarios haciéndose pasar por la red social.
En los mensajes, aseguran que sus cuentas serán eliminadas en 24 horas por denuncias de otros usuarios y solicitan datos privados y de tarjetas de crédito para evitar el cierre.
Se trata de una nueva estafa que utiliza el nombre de Facebook como reclamo.
La semana pasada, la red social sufrió un ataque de spam que llenó los muros de sus usuarios de imágenes violentas e incluso pornográficas.
La compañía confirmó que se debía a un ataque de spam, uno de los múltiples intentos de los "hackers" para traspasar las medidas de seguridad de Facebook.
La red social se ha convertido en un reto y en un reclamo para los "hackers" y los ciberdelincuentes, que ven en su millones de usuarios un objetivo atractivo para sus ataques.
El último capítulo de ciberdelincuencia que tiene que ver con Facebook se ha destapado gracias al blog Naked Security de Sophos.
La compañía de seguridad denuncia que se está produciendo una campaña de "phishing" que utiliza la imagen de la red social para engañar a los usuarios.
Los ciberdelincuentes se hacen pasar por Facebook en un mensaje en el que aseguran que van a proceder al cierre de la cuenta de los usuarios que reciben en mensaje.
Los ciberdelincuentes aseguran que han recibido denuncias de otros usuarios y que por ello se procederá al cierre de la cuenta en un plazo de 24 horas.
Para evitar el falso cierre, en el mensaje se facilita un enlace que permitiría la reactivación de la cuenta. Los usuarios que hace clic en el enlace acceden a una página que imita la imagen de Facebook. En esta web, se les solicita que introduzcan sus datos personales, como nombre, correo electrónico e incluso sus datos de tarjeta de crédito.
Este mensaje falso tiene como objetivo recopilar el mayor número posible de datos de los usuarios, e incluso, si es posible, conseguir los datos de sus tarjetas, informó la agencia Europa Press.
De esta forma, los ciberdelincuentes pueden vender los datos, intentar acceder a servicios con los datos de los usuarios o realizar pagos gracias a los datos de sus tarjetas.
Desde Naked Security han alertado a los usuarios con el objetivo de que no caigan en la trampa y han aconsejado no dar credibilidad a este tipo de mensajes.
2011/11/24
Un ataque de phishing golpea a cientos de usuarios de Xbox Live
Una vez más los usuarios de videojuegos se han visto afectados por un ataque de hacking. ¿Sony, Sega? No. Esta vez, la estafa se dirige directamente a las cuentas de Xbox Live.
Según las denuncias de los propios jugadores, durante los últimos meses se habrían estado realizando pagos no autorizados desde cientos de cuentas para comprar Puntos Microsoft que después eran intercambiados por Ultimate Team Packs para FIFA 12, Madden y NBA.
Se trata de un caso de phishing en toda regla, aunque tal y como informa The Guardian, de uno muy sofisticado. Si por lo general las estafas se realizan a través de páginas web falsas con apariencia de ser oficiales, donde se prometen puntos gratuitos a cambio de la introducción de los datos de usuario y número de cuenta, esta vez se ha utilizado otro método y las personas afectadas sólo han sido conscientes de lo que estaba ocurriendo al revisar sus estractos bancarios.
Es decir, la información personal habría sido obtenida a través de terceras partes, y no directamente de los afectados. Hay quien apunta a que procede de los servicios online de EA Sports, aunque esta sospecha no ha podido ser demostrada todavía.
Microsoft ya ha emitido una declaración oficial, insistiendo en que la seguridad de su servicio no ha sido violada y que su equipo “toma medidas continuamente para proteger Xbox Live contra amenazas en constante cambio”.
Según las denuncias de los propios jugadores, durante los últimos meses se habrían estado realizando pagos no autorizados desde cientos de cuentas para comprar Puntos Microsoft que después eran intercambiados por Ultimate Team Packs para FIFA 12, Madden y NBA.
Se trata de un caso de phishing en toda regla, aunque tal y como informa The Guardian, de uno muy sofisticado. Si por lo general las estafas se realizan a través de páginas web falsas con apariencia de ser oficiales, donde se prometen puntos gratuitos a cambio de la introducción de los datos de usuario y número de cuenta, esta vez se ha utilizado otro método y las personas afectadas sólo han sido conscientes de lo que estaba ocurriendo al revisar sus estractos bancarios.
Es decir, la información personal habría sido obtenida a través de terceras partes, y no directamente de los afectados. Hay quien apunta a que procede de los servicios online de EA Sports, aunque esta sospecha no ha podido ser demostrada todavía.
Microsoft ya ha emitido una declaración oficial, insistiendo en que la seguridad de su servicio no ha sido violada y que su equipo “toma medidas continuamente para proteger Xbox Live contra amenazas en constante cambio”.
2010/06/21
Microsoft crea una lista negra para alertar de ataques de phishing
Fuente: iProfesional.
Microsoft lanzó el nuevo Internet Fraud Alert, un sistema para alertar a las empresas de ataques de phishing contra sus cuentas.
En el proyecto participan también Paypal e instituciones estadounidenses como la Comisión Federal de Comercio, la Liga Nacional de Consumidores y la Asociación Americana de Banqueros.
El programa ayudará a mitigar las pérdidas potenciales ocasionadas por fraudes "online" que comprometan cuentas de grandes entidades de las que los ciberdelincuentes sustraigan datos sobre los clientes.
Entre las medidas que contempla Internet Fraud Alert destaca la elaboración de una lista negra en la que publicará los casos de phishing, informó la agencia Europa Press.
Según un comunicado de Microsoft, publicado en su página web, a través de un sistema centralizado de alerta que Microsoft ha desarrollado específicamente para este programa, Internet Fraud Alert informará inmediatamente a las empresas sobre las credenciales comprometidas, lo que les permitirá tomar las medidas apropiadas para ayudar a proteger a sus clientes.
La compañía destacó en el comunicado que este programa "representa un importante paso adelante en la lucha contra el fraude online", ya que constituye "una herramienta muy necesaria" para permitir a los investigadores de seguridad compartir información de forma sistemática y más segura con los proveedores de servicios, minoristas, instituciones financieras y entidades gubernamentales sobre incidentes de phishing.
Como creador y patrocinador de esta tecnología, Microsoft ha donado la herramienta a la National Cyber-Forensics y Training Alliance (NCFTA), una organización sin fines de lucro dedicada a facilitar la asociación público-privada entre la industria, las autoridades legales y las universidades sobre cuestiones de seguridad cibernética.
Microsoft lanzó el nuevo Internet Fraud Alert, un sistema para alertar a las empresas de ataques de phishing contra sus cuentas.
En el proyecto participan también Paypal e instituciones estadounidenses como la Comisión Federal de Comercio, la Liga Nacional de Consumidores y la Asociación Americana de Banqueros.
El programa ayudará a mitigar las pérdidas potenciales ocasionadas por fraudes "online" que comprometan cuentas de grandes entidades de las que los ciberdelincuentes sustraigan datos sobre los clientes.
Entre las medidas que contempla Internet Fraud Alert destaca la elaboración de una lista negra en la que publicará los casos de phishing, informó la agencia Europa Press.
Según un comunicado de Microsoft, publicado en su página web, a través de un sistema centralizado de alerta que Microsoft ha desarrollado específicamente para este programa, Internet Fraud Alert informará inmediatamente a las empresas sobre las credenciales comprometidas, lo que les permitirá tomar las medidas apropiadas para ayudar a proteger a sus clientes.
La compañía destacó en el comunicado que este programa "representa un importante paso adelante en la lucha contra el fraude online", ya que constituye "una herramienta muy necesaria" para permitir a los investigadores de seguridad compartir información de forma sistemática y más segura con los proveedores de servicios, minoristas, instituciones financieras y entidades gubernamentales sobre incidentes de phishing.
Como creador y patrocinador de esta tecnología, Microsoft ha donado la herramienta a la National Cyber-Forensics y Training Alliance (NCFTA), una organización sin fines de lucro dedicada a facilitar la asociación público-privada entre la industria, las autoridades legales y las universidades sobre cuestiones de seguridad cibernética.
2010/02/04
Twitter restaura contraseñas después de un ataque de phishing
Fuente: ITespresso.
Twitter ha restaurado las contraseñas de un número desconocido de usuarios ayer, después de descubrir que sus cuentas parecían haber sido comprometidas a través de Phishing.
Aparentemente algunos usuarios utilizaron su nombre de usuario y contraseña de Twiterr para registrarse es una aplicación poco fiable, a la que accedieron a través de un ataque de Phishing, que después envió Tweets a sus cuentas, explicaba la compañía.
Tweeter asegura que siguen investigando y asegurándose de que se ha informado a todas las partes comprometidas en este asunto. Además, ha dicho que los usuarios que quieran información sobre qué hacer si sus cuentas se han visto comprometidas pueden visitar esta página y aprender cómo utilizar Twitter de forma segura.
2007/07/28
Una herramienta de phishing construye nuevos sitios en dos segundos
Los desarrolladores de software pueden realizar instalaciones de sus programas de manera cada vez más sencilla y rápida. Pero también los hackers.
Analistas de RSA Security han detectado una pieza única de código PHP que instala un sitio de phishing sobre el servidor comprometido en el ataque en unos dos segundos, según indica la firma en su informe online mensual correspondiente a junio.
El código contiene todo el HTML y los gráficos necesarios para poner en marcha un sitio Web fraudulento, que, de hecho, consiguió usurpar la identidad de una identidad financiera cuyo nombre RSA no ha revelado. Se trata de un archivo “.exe” que instala automáticamente el código y los gráficos en las direcciones indicadas.
Esto significa que el hacker no se ve obligado a acceder repetidamente al servidor comprometido para cargar gráficos y otros códigos necesarios para el sitio, y, por tanto, se reducen las oportunidades en que el software de seguridad del ordenador o de la red pueda detectar algo sospechoso.
“Utilizando estos kits, los delincuentes pueden aumentar la automatización del proceso de secuestro de los servidores y crear nuevos sitios de phishing de manera significativamente más rápida y sencilla”, subraya RSA en su informe. Una noticia en absoluto positiva para los encargados de combatir el phishing, un tipo de ataque que persigue la consecución de contraseñas e información financiara de manera ilícita invitando a los usuarios a facilitarlas en sitios Web que simulan páginas auténticas y de confianza para éstos.
Fuente: IDG.es.
Analistas de RSA Security han detectado una pieza única de código PHP que instala un sitio de phishing sobre el servidor comprometido en el ataque en unos dos segundos, según indica la firma en su informe online mensual correspondiente a junio.
El código contiene todo el HTML y los gráficos necesarios para poner en marcha un sitio Web fraudulento, que, de hecho, consiguió usurpar la identidad de una identidad financiera cuyo nombre RSA no ha revelado. Se trata de un archivo “.exe” que instala automáticamente el código y los gráficos en las direcciones indicadas.
Esto significa que el hacker no se ve obligado a acceder repetidamente al servidor comprometido para cargar gráficos y otros códigos necesarios para el sitio, y, por tanto, se reducen las oportunidades en que el software de seguridad del ordenador o de la red pueda detectar algo sospechoso.
“Utilizando estos kits, los delincuentes pueden aumentar la automatización del proceso de secuestro de los servidores y crear nuevos sitios de phishing de manera significativamente más rápida y sencilla”, subraya RSA en su informe. Una noticia en absoluto positiva para los encargados de combatir el phishing, un tipo de ataque que persigue la consecución de contraseñas e información financiara de manera ilícita invitando a los usuarios a facilitarlas en sitios Web que simulan páginas auténticas y de confianza para éstos.
Fuente: IDG.es.
Suscribirse a:
Entradas (Atom)