Ahondando en Deep Web

Vincenzo Ciancaglini, Senior Threat Researcher  

Mencionar “Deep Web” hace que la mayoría de las personas lo asocien con la parte de Internet que se utiliza para actividades ilegales. Para otros, es esa parte inaccesible de la web, la que requiere de mucha habilidad técnica y conocimientos. Aunque estas suposiciones son en parte  correctas, lo cierto es que sólo explican una pequeña parte de lo que hay en Deep Web.

TrendLabs Research Paper

TrendLabs Research Paper

Durante más de dos años, el Equipo de Investigación de Amenazas de Trend Micro (FTR) ha realizado un estudio en profundidad explorando Deep Web, recogiendo y analizando el contenido y manteniéndose al tanto de las actividades en curso. El resultado ha sidoPor debajo de la superficie: exploración de Deep Web” (“Below the Surface: Exploring the Deep Web”), un trabajo de investigación que tiene como objetivo ofrecer a sus lectores una mejor comprensión de lo que realmente sucede en Deep Web y las darknets, así como los efectos que estas podrían tener en el mundo real.

Sigue leyendo

Redes sociales seguras para adolescentes y familias: consejos sobre las últimas apps

Cualquier padre con hijos adolescentes se preocupa por sus hábitos en las redes sociales, la seguridad y privacidad (o la falta de ella). Al igual que la lectura de un buen libro, su hijo puede transportarse a un lugar diferente con tan sólo  hacer clic gracias a las conexiones facilitadas por las plataformas de redes sociales.

Debido a que las redes sociales han abierto las puertas de par en par apersonas que desean conectarse, compartir y crear su propia presencia online, ha aparecido toda una generación de adolescentes que buscan un lugar en el que puedan crear su realidad en sus propios términos. Esto cuenta con múltiples beneficios pero también tiene sus riesgos.

Vea: Cómo mejorar nuestra privacidad y seguridad en las redes sociales

Sigue leyendo

Cómo detectar fraudes en las redes sociales

Por Cedric Pernet, Trend Micro Threat Researcher

LinkedIn, con 364 millones de usuarios activos en todo el mundo, se ha convertido en uno de los servicios de redes sociales profesionales más populares a día de hoy. Viadeo, un servicio similar, también está registrando un constante aumento de su base de usuarios, que ya ronda los 65 millones. Contanta gentepublicando susperfiles profesionales online, es naturalque los atacantestomen nota y hagan algo conesos datos.En las manos equivocadas, ese tipo de información puede ponerle a usted o a su empresa en riesgo.

A continuación, Trend Micro ofrece una serie de consejos para detectar si alguien está tratando de engañarle para que divulgue información confidencial de la empresa.

¿Quién querría engañarle en las redes sociales profesionales?

  1. Los atacantes / creadores de APT. Estos agentes buscan obtener cualquier tipo de información que puedan utilizar para infiltrarse en la red de la Utilizarán técnicas de ingeniería social para tratar de llamar la atención para que acepte sus invitaciones. Es probable que también envíen mensajes de correo electrónico con archivos adjuntos o enlaces maliciosos, que terminarán infectando tu equipo con malware. Una vez instalado, el malware, que sirve de puerta trasera, otorgará estos atacantes el acceso a tu sistema y a la red de corporativa. A partir de ahí, pueden hacer casi cualquier cosa: desde robar secretos de la compañía hasta manipular la infraestructura, etc
  2. Competencia. Utilizando identidades y empresas falsas, estas personas solicitan amistad en las redes sociales para estar en contacto, siendo muy amables y ganándose la confianza poco a poco. Una vez que lo han logrado, abusarán de esa confianza. Le pedirán que revele la información que necesitan o hacer el trabajo por ellos cuando comparta demasiados datos sobre su trabajo o sus empleados. Los competidores pueden utilizar esta información para obtener ventajas y ponerse por delante de su compañía.
  3. Cazatalentos y empresas de selección de personal. Estas personas querrán recopilar tantos contactos como sea posible. Lo hacen para crear bases de datos completas acerca de su empresa, sus empleados y de los proyectos específicos en los que están trabajando. Utilizan estas bases de datos para reunir talento y encontrar a los candidatos adecuados para contratar o hacer contraofertas a la competencia.

Aunque sus motivaciones son diferentes, el objetivo final es siempre el mismo: conectar para recoger. Generalmente, estas personas comienzan con el envío de una invitación. Fingen ser compañeros de trabajo, clientes o un jefe. Si aceptas, serán capaces de ver tu perfil y tener acceso a tus contactos. Quieren añadirte o unirse a los grupos privados a los que perteneces para así poder conocer lo más posible tu compañía.

Caso de Trend Micro Francia

Como gran proveedor de seguridad de TI, Trend Micro es a menudo blanco de atacantes y cazatalentos en las redes sociales.

Recientemente, la compañía ha identificado una oleada de invitaciones de Viadeo que llegan a Trend Micro Francia y que involucran un perfil de esta red social que está dirigido a varios empleados. La persona detrás del perfil fingía ser un director de TI de 18 años de Trend Micro Australia. El perfil de esta persona estaba bastante vacío y contenía sólo 4 contactos.

El perfil decía que esta persona estudió en “havard, new yord”, una errata obvia para “Harvard, New York”. Esto fue suficiente para levantar sospechas, y una comprobación rápida en el directorio de empresa confirmó que no había ningún empleado con el nombre que aparecía en este misterioso perfil. Se hizo otra comprobación para asegurar que la persona no era un ex-empleado; tampoco estaba.

Este ha sido un intento claro de recopilar contactos e información de Trend Micro.

Como respuesta inmediata, se lanzó una alama internamente para informar de este perfil a todos los empleados y evitar cualquier problema.

¿Qué convierte en sospechoso un perfil en una red social?

  • ¿El perfil contiene toda la información? Las redes sociales profesionales se utilizan para hacer contactos y mejorar la visibilidad ante posibles empresas de contratación y head hunters. ¿Quién registraría una cuenta en este tipo de redes sólo para poner su nombre y el de la empresa, pero sin dar más detalles sobre sus actividades pasadas o actuales?
  • ¿El perfil contiene errores tipográficos y faltas de ortografía? Un perfil en páginas como LinkedIn o Viadeo es casi similar a un currículum Tiene que contener buena información acerca de la persona y también debe estar bien escrito, es decir, sin faltas de ortografía u otro tipo de erros gramáticos. Un perfil lleno de errores no es atractivo para ningún potencial empleador.
  • ¿El perfil tiene muy pocos contactos?En general, los estafadores crean estas cuentastemporales para dirigirse a las entidadeso individuosobjetivo;no necesitan añadir demasiados contactos. No obstante, y dado que hay personasrealescon muy pocoscontactos,este indicadoren particular debeser considerado solamente como algo orientativo y después de detectarotros signoso actividades
  • ¿El perfil muestra inconsistencias en la trayectoria profesional de la persona? Si bien es probable que un empleado puede hacer grandes cambios en su perfil, un perfil que cambia constantemente y lo hace de forma drástica, y en un lapso corto de tiempo, es más probable que se utilice como un señuelo. Cuando el estafador quiere apuntar a un tipo de empresa o sector, sólo añade un nuevo trabajo que podría ser relevante para alcanzar sus objetivos. Así que durante unos meses puede ser director de recursos humanos, después un experto en marketing, acto seguido un ingeniero de software, etc.
  • ¿El perfil contiene actividad sospechosa? Algunas redes sociales profesionales permiten ver todo el historial de las acciones que hace el propietario del perfil. Si de repente un nuevo perfil aparece y añade a personas sin relación que proceden de diferentes mercados verticales, o se une a una gran cantidad de grupos que parecen completamente ajenos entre sí, podría ser un ejemplo de actividad sospechosa.

¿Qué debe hacerse cuando se ven estos signos?

  • Leer los perfiles con cuidadoytratar de buscaranomalías yseñales de alarmacomo las mencionadas
  • Cruzar la información para verificarla. Si la persona dice ser dela misma empresa, eche un vistazo y compruebe el directorio de la empresa,yno dude enverificarlocon Recursos
  • Preguntar a la persona. Una vez verificada la identidad de la persona, llámele o envíele un correo electrónico para ver si, de hecho, envió la invitación. No hay nada de malo en Incluso podría salvarle por si alguien copia el perfil de un compañero o usurpa su cuenta real. Si el perfil es de otra compañía, trate de llegar a alguien que trabaje allí y que pueda hacer estas comprobaciones.
  • Evite descargar o hacer clic en archivos o enlaces sospechosos.

Si después de esto, no está seguro de si aceptar una invitación, es mejor que no lo haga. En realidad no es un gran problema. Más vale prevenir que curar.

El malware bancario DYRE resurge en el primer trimestre del 2015: Cómo hacerle frente

En la industria de la seguridad cibernética a menudo hay un enfoque abrumador sobre las amenazas de última hora y las técnicas de ataque – tanto es así que existe el peligro de olvidar el asombrosamente gran volumen de malware de Internet existente. Una de estas amenazas es el troyano bancario DYRE especialmente prolífico en lo que va de año.
Investigadores de Trend Micro han observado un asombroso aumento de 125% en las infecciones globales – de 4000 en Q4 de 2015 a 9000 en Q1. Parece que los ciberdelincuentes han estado trabajando duro mejorando la amenaza para eludir filtros de seguridad y mejorar sus posibilidades de éxito.

Una breve historia de DYRE
Dyre o DYREZA, aparece por primera vez alrededor de septiembre de 2014, cuando los expertos advirtieron de un troyano bancario similar a Zeus diseñado para evitar SSL – el protocolo de uso común para proteger las transacciones bancarias en la web. Por lo general, llega a través del descargador UPATRE, que normalmente se oculta en un archivo adjunto en un mensaje de spam. El malware fue diseñado para llevar a cabo alguno o todos de estos ataques: ataques man-in-the-middle via inyecciones de explorador; capturas de pantalla del navegador; robo de certificados de seguridad personales y credenciales de banca en línea; seguimiento de la ubicación del usuario a través de STUN.
Los ciberdelincuentes están constantemente adaptando y evolucionando sus amenazas para eludir las defensas de seguridad y DYRE no es distinto al resto en esto. En enero, por ejemplo, se observó una nueva variante que secuestra Microsoft Outlook en el equipo de la víctima para disparar mensajes de correo electrónico que contienen el programa de descarga UPATRE a los destinatarios. También se observó que la banda detrás de él había comenzado a utilizar la red anonymizada I2P para ocultar la ubicación de los servidores C & C. Otra variante fue descubierta utilizando técnicas anti-sandboxing avanzadas para eludir los filtros de última generación.

Qué hay de nuevo?
La actual campaña de spam DYRE observado por Trend Micro se ha dirigido principalmente a APAC (43%) y EMEA (34%), aunque la mayoría de las infecciones actuales se centran en la región EMEA (39%) y América del Norte (38%) en el Q1. El Reino Unido representó poco más del 3% de las infecciones mundiales.
La razón de que la mayoría de las infecciones sea en EMEA y América del Norte podría ser porque la mayoría de las muestras de email visto han recibido Inglés. Por lo general utilizan la ingeniería social para asustar al destinatario a abrir el archivo adjunto malicioso que contiene UPATRE. En esta versión, sin embargo, los autores de malware han ajustado el programa de descarga no sólo para descargar DYRE en equipos de las víctimas, sino también para desactivar firewalls y otra seguridad a nivel de red y apagar de Windows por defecto anti-malware.
Es otro gran ejemplo del juego del gato y el ratón sin fin jugado entre los sombreros blancos y los criminales cibernéticos. También es una excelente razón para estar alerta de los correos electrónicos no solicitados en su bandeja de entrada.

Deteniendo la amenaza
Hay varios pasos que los usuarios de banca en línea pueden tomar para reducir el riesgo de infección.

• Conocer las políticas de su banco con respecto a las notificaciones de correo electrónico. Siempre llame primero para verificar si un correo electrónico es auténtico, antes de abrir.
• Borre cualquier correo electrónico no solicitado que contenga archivos adjuntos o correos electrónicos de aspecto sospechoso
• Instale antimalware completo. La tecnología de Trend Micro Custom Defense le protegerá de UPATRE y DYRE
• Si sospecha que DYRE puede haber sido descargado, cambie las contraseñas de banca en línea de inmediato usando una máquina diferente. Póngase en contacto con su banco para alertarlos de cualquier transacción sospechosa.