El mercado de las herramientas de software que permiten llevar a cabo todo tipo de fraudes a través de internet está en pleno auge. ¿Qué quieres crear páginas que roben datos bancarios o contraseñas de PayPal? Acudes a una página web y descargas varios programas que se encargan de crear páginas que aprovechan las vulnerabilidades de los navegadores para engañar a los incautos. La venta de estos instrumentos es de lo más común hoy en día.
No lo es tanto que escondan una sorpresa para quienes, sin tener grandes conocimientos de programación, intentan lucrarse aprovechando la imprudencia ajena. Netcraft le sigue los pasos últimamente a un grupo de hackers marroquíes que se hace llamar Mr-Brain, al que le ha descubierto un sucio truquillo. Sus ‘kits de estafa’ envían a su creador todos los datos que el quien los usa ha recopilado. El que sea más rápido usando los datos de la tarjeta antes de que la cancelen será el que se lleve el gato al agua, pero al que perseguirán, seguramente, serán al aprendiz de hacker. Quien roba a un ladrón… habrá pensado el ’señor cerebro’.
…nosotros nos encargamos!!! Este banner detectado por un lector de Adrants se aprovecha, una vez más, de la candidez de algunos internautas, para lucarse. “Escriba aquí su número de tarjeta y fecha de caducidad, y le diremos si ha caído en manos en alguna ocasión”. Claaaaaaaro que si, esperen que busque en la cartera.
Los navegadores incorporan barras de herramientas que, leyendo el contenido de las páginas o consultando bases de datos sobre phishing, puede determinar si una página supone un riesgo para la integridad de tus datos y avisarte para que no des información a quien no debes. Una defensa que los malos se han ocupado de sortear creando webs inaccesibles que el navegador no puede leer. Páginas en flash que imitan a PayPal para que des tus contraseñas sin que recibas alertas de seguridad. A la estafa por la inaccesibilidad.
Tras un par de semanas disfrutando de la Wii (gracias al olfato de Pixel) llega el navegador que Opera ha creado para la consola más buscada por los reyes magos. Podéis comprobarlo, no es mala opción para llevar la red al salón, la descarga es gratuita y el programa se maneja con mucha sencillez, el funcionamiento del puntero del ratón y el del mando de la Wii es bastante parecido. Y aunque el empeño de Nintendo por la facilidad de uso y la seguridad pueda haber dejado en el tintero algunas características para muchos este browser será suficiente.
El hecho de que la resolución de pantalla elegida sea baja (parece que es 550 x 460) puede dificultar la lectura de algunas webs, pero es posible usar un aumentador o ver las páginas en una única columna como cuando navegas con el móvil. Quienes hayan hecho diseños accesibles y organizados con cierta proporcionarán a sus usuarios una experiencia de navegación mucho más satisfactoria, demostrándose una vez más que el cuidado de esta materia no atiende sólo las necesidades de las personas con discapacidad, sino las de todo aquel que accede a Internet desde dispositivos diferentes a un ordenador convencional.
La sencillez tiene en todo caso algunos peligros. Al introducir una palabra cuando el navegador pide una dirección de Internet, la consola realiza una búsqueda y te lleva al primero de los resultados, un proceso que no es visible para el usuario, que puede así acabar aterrizando en un clon de gmail o flickr destinado a robar su contraseña. Como la consola no muestra una barra de direcciones no es posible saber si realmente estás en la página que deseas o en otra creada por un phisher.
Al parecer Nintendo y Opera han puesto especial empeño en lograr que Youtube funcione a la perfección, y para mi que lo han logrado, abriendo así el televisor a otra programación y otras posibilidades. Hay páginas en flash que no se visualizan correctamente, y radios online que no logro escuchar, pero con un buscador, un lector de feeds, Flickr, el correo, y otros favoritos que consulto habitualmente no ha habido problemas. El navegador es una Beta que debía haber estado lista para el lanzamiento de la consola, y su inclusión, aunque tardía, abre todo tipo de posibilidades. Para el lanzamiento definitivo pediría un historial de páginas visitadas, mejoras en el tratamiento de flash y ajax (los mapas serían muy útiles) o la posibilidad de fijar una página de inicio. Ah, y no tengo a mano un teclado USB para probarlo, pero sería muy útil que funcionara para poder postear en la tejedora sin tener que encender el ordenador. El blog, por cierto, se ve de miedo en la Wii, enhorabuena Emilio.
Invertir en seguridad, en sistemas más estables y una gestión de los datos más fiable es un proyecto honorable, pero también es una tarea que se enfrenta a retos cada vez mayores (y no todos tienen solución). Es raro que Microsoft hablé tan abiertamente de estos asuntos y que, además, reconozca que la labor es enorme visto el nivel de ataques al que se enfrentan. Pero quizá el peor enemigo, la falla más importante y la que no tiene solución posible es “la estupidez humana”?. Al menos esto aseguran desde Redmond para justificar las oleadas de “˜phishing”™ de los últimos tiempos.
Social engineering is a very, very effective technique. We have statistics that show significant infection rates for the social engineering malware. Phishing is a major problem because there really is no patch for human stupidity.
La verdad es que si cabe cierta sensación de que esta afirmación, quizá tan gruesa, tiene una parte importante de verdad visto el bajísimo nivel de los correos electrónicos que suelen propagar este tipo de ataques.
vía> ZdNet > Eweek
El informe lleva circulando ya una semana pero lo reseñamos ahora a raíz de la nota que han sacado en DiarioTi. Según el analista de malware Yuri Mashevsky la creación y distribución de código maligno (en todas sus variantes, virus,troyanos, rootkits -de esto sabe mucho Sony-) es más rentable que toda la industria encargada de dar seguridad a los clientes. En las conclusiones del informe también se menciona que la tendencia que se consolida es la de lanzar grandes ataques contra servicios públicos o grandes corporaciones ya que los usuarios finales individuales apenas si satisfacen la rentabilidad del ataque. Al final se trata de una industria como cualquier otra en la que hay que ahogar a los rivales y buscar dinero sin perder ojo a las tendencias del mercado y cuidando la publicidad.
La compañía especializada en seguridad S21sec ha pasado un 2005 movidito, según el informe que han presentado hoy en Madrid a lo largo de los últimos meses (desde marzo a enero) han detectado y solucionado 609 casos de fraude online. Esto se resume en dos casos diarios (en su mayoría de phishing) con picos de absoluto vértigo, como el mes de octubre en el que combatieron contra más de 150 intentos de ataque.
En un negocio como el de la seguridad los activos fundamentales son la confianza y la agilidad: cada uno de estos casos se solucionó, de media, en menos de dos días, lo que supone detectar, comunicar y cerrar sitios con vocación delictiva a lo largo y ancho de todo el mundo a cualquier hora y en cualquier idioma (gracias, cuentan, al apoyo de la red de Verisgn). Cerrar una página en España es fácil, pero no lo es tanto en Corea (o Francia”¦)
Los detalles del informe los podéis consulta en el web de la compañía. En el turno de preguntas se han comentado un par de detalles significativos sobre el lado oscuro de la Red: en contra de lo que pueda parecer el negocio del fraude online vive su mejor momento ahora, las cantidades de dinero que se mueven son cada vez mayores. Dos ejemplos, las mulas, personas encargadas de “˜cobrar”™ el dinero de los ataques pueden embolsarse entre 1.000 y 4.000 euros al mes. Sin duda es un trabajo de riesgo, pero la cantidad, estaremos de acuerdo, no está mal si todo lo que tienes que hacer es mirar tu pantalla”¦
Otro sueldo majo es el que cobran los programadores. Si antes un “˜sploid”™ se cobraba a unos 500 dólares, ahora esa cifra se ha multiplicado por 7. 3.500 dólares por un programita”¦.
Esto de la orilla peligrosa ha perdido todo su romanticismo, nada de chavales jugando a piratas, el perfil de los ciberdilencuentes es mucho más gris: profesional, de unos 40 años y asalariado.
Los estafadores son cada vez más listos, aunque parece que no lo suficiente para evitar ser grabados en vídeo…
Vía>Blog Hispasec