Archivo de la etiqueta: Twitter

Twitter solicita el reseteo de las passwords de sus usuarios tras un ataque masivo de secuestro de cuentas

Twitter admite que resetearon muchas cuentas de usuarios el 7 de Noviembre tras intentos  de secuestro de cuentas por parte de cibercriminales. Los ataques comenzaron en China.

Si recibes un email similar al de  abajo, seguramente no sea falso y necesites resetear tu cuenta de Twitter.

Para estar totalmente seguro de que no es un phishing, en vez de entrar a los links del email, teclea www.twitter.com en tu navegador e intenta autenticarte. En caso de que se requiera que resetees tu cuenta, tu session se redirigirá a una página de cambio de password.

Estos emails se mandan normalmente cuando un gran número de cuentas de Twitter han sido secuestradas. A veces, para su propia tranquilidad, Twitter envía estos emails a gran parte de sus usuarios, incluso aunque sus cuentas no se hayan visto comprometidas, para descartar futuros problemas.

¿Cómo se secuestran las cuentas?

Cuando una cuenta de Twitter es secuestrada, la razón más común es que la persona a quien pertenece se haya metido en una página falsa de Twitter.

Cuando tecleas tu contraseña en una página de este estilo (falsa web de Twitter), tu password es  robada. Pensarás: ¿pero quién se va a meter en páginas falsas de Twitter?

El truco consiste en que los “secuestradores” hacen que la apariencia de estas webs sea exactamente igual que la página de Twitter original; excepto la URL de la web.

Puedes entrar en una de estas falsas páginas  desde otras webs en Internet en las que aparecen enlaces a Twitter que son falsos. De  repente aparece la web de acceso a Twitter que es exacta a la verdadera, pero que es un “fake”.  Si introducimos en esos campos de texto nuestras credenciales, seguro ya estaremos comprometidos…Pore so, es  fundamental, chequear la URL que aparece en el navegador.

En resumen, el engaño consta de dos partes: (1) Acceso a un link que es supuestamente un acceso a Twotter  (2) Introducir las credenciales en los falsos campos de acceso.  El ataque no se habrá completado hasta que no se haya cursado el paso 2.

Recuerda: ¡aunque parezca Twitter, no tiene por qué serlo!

Siempre  chequea la URL de una página web, o major todavía, accede tú a www.twitter.com.

Lo siguiente que suelen hacer los hackers cuando roban cuentas de Twitter, es enviar mensajes directos desde tu cuenta, normalmente, con el propósito de atacar otras cuentas. Pueden ser mensajes como: “¿estabas tú en esta foto?” o “la gente está hablando mal sobre tí aquí”.  Y se incluyen links a sitios maliciosos al lado de los mensajes.

Twitter suele bloquear los links en estos mensajes bastante rápido; pero puede que en ocasiones no de tiempo a bloquear el acceso de ciertos usuarios.

Este tipo de ataques son cada vez más frecuentes.  Pueden llegar a producirse varias veces al año.

@TrendMicroES:

Ya podéis seguirnos en Twitter. Desde @TrendMicroES os informaremos de noticias relacionadas con la seguridad, malware, y nuevos productos. También podréis contactarnos con vuestras sugerencias o preguntas sobre Trend Micro.

Periódicamente  sortearemos entre los participantes en nuestro blog y Twitter licencias de nuestro producto Titanium Maximun Security 2012 para proteger vuestros equipos y dispositivos móviles Android, protegeros en las redes sociales y mantener vuestros documentos seguros con SafeSync.

Empezaremos aprovechando que ayer fue el día internacional del cambio de contraseña. Cuéntanos tus mejores trucos para mantener tu password segura y las peores prácticas que os habéis encontrado. Mándanos por Twitter usando el el hashtag #AskTrend.

El próximo jueves se entregará la licencia a uno de los participantes.

Egipto: Internet sucumbe a una “plaga de oscuridad”

Por Iberia Marketing Team

Aproximadamente a las 10:30 UTC de la noche de ayer, Internet en Egipto comenzó a apagarse. Muchos de los principales proveedores de servicios de Internet (ISPs) desaparecieron por completo de la Red incluyendo LINKdotNET, RAYA Telecom, Internet-Egypt, Vodafone-EG e IDSC.  La mayoría del resto de proveedores de servicios también vieron significativamente mermada la conectividad ayer en dicho momento. El único ISP que actualmente parece que no ha sido afectado es Noor Data Networks que permanece 100% disponible.

Incluso la Agencia Nacional de Regulación de las Telecomunicaciones se encuentra actualmente inaccesible como lo están los principales medios de noticias oficiales y no oficiales, así como las fuentes de información extraoficiales. SANS informa de que el acceso externo para resolver cualquier dirección en el dominio .eg es inaccesible.

Esta repentina interrupción de la conexión a Internet parece haber ocurrido en todos los casos a la misma hora y la hipótesis que se baraja es que debe de ser parte de las tácticas de sanción oficiales para tratar de contener la creciente agitación y malestar político en el país. La ofensiva inicialmente comenzó con la censura de la red social en el país, pero como se aprendió de Irán, la gente ha encontrado rápidamente alternativas para resolver esto con la ayuda del exterior.

“Según las pruebas que he realizado, el servidor de dominios de primer nivel en la Red de Universidades Egipcias no puede ser analizado sobre DNS y no responde a las comunicaciones TCP/IP, poniendo de manifiesto la eficacia de esta desconexión temporal utilizando tanto enfoques de Domain Name System (DNS) como Border Gateway Protocol (BGP). DNS es el protocolo utilizado para traducir las direcciones web legibles para el humano a direcciones IP numéricas, mientras que BGP es el protocolo que los Proveedores de Servicios de Internet utilizan para anunciar las direcciones IP de las que ellos son responsables”, explica Rik Ferguson, Consultor Senior de Seguridad de Trend Micro.

Si realmente esta acción está dirigida oficialmente, entonces parece que el régimen en Egipto ha aprendido las lecciones de los intentos de Irán para censurar las comunicaciones el año pasado, e incluso ha tomado medidas aún más drásticas. Esta acción no tiene precedentes en la historia de Internet.

Actualmente, Egipto esta aislado de Internet y existe constancia de que acciones similares se han tomado contra las redes de telefonía móvil, interrumpiendo de este modo las comunicaciones por teléfono y texto.

Se están realizando solicitudes y consultas para que radioaficionados entusiastas presten su apoyo para dar un medio de comunicación que permita devolver la opinión pública a la población egipcia.

Europa domina el crecimiento del spam, mientras Norteamérica es líder en URLs maliciosas

Por Iberia Marketing Team


Durante la primera mitad de 2010, Europa sobrepasó el límite en lo que a generación de spam se refiere, superando tanto a América del Norte como del Sur y a la región Asia-Pacífico, haciéndose con el título de “Mayor Productor de Spam”.

Así se pone de manifiesto en el Informe de Amenazas de Trend Micro correspondiente a la primera mitad de 2010 (disponible en su versión completa aquí), y en el que se revela que el spam continuó creciendo entre los meses de enero y junio de 2010, registrando una breve pausa durante abril. A pesar de la percepción general, los contenidos pornográficos sólo representaron el 4% de todo el spam. Las categorías comerciales, los timos o scams y la información sobre salud y medicinas constituyeron el 65% del correo basura generado en todo el mundo, siendo el spam HTML la técnica más utilizada por los spammers.

Primera mitad de 2010: tendencias de amenazas web
De acuerdo con el informe, las URLs maliciosas se incrementaron durante los seis primeros meses del año, pasando de los 1.500 millones en enero a más de 3.500 millones. Norteamérica fue la región de origen de las URLs más dañinas, mientras que Asia-Pacífico registró el mayor número de víctimas de infecciones de malware. Las principales URLs bloqueadas por Trend Micro fueron websites de adultos, así como páginas que alojaban variantes maliciosas tales como código IFRAME, TROJ_AGENT, y JS_DLOADR.ATF.

Primera mitad de 2010: tendencias de amenazas basadas en archivos
TrendLabs, la red global de investigadores de amenazas de Trend Micro, actualmente maneja alrededor de 250.000 muestras diarias de amenazas. Estimaciones recientes situaron el número de nuevos ejemplos de malware único introducido en un solo día en más de 60.000.
Los troyanos representan alrededor del 60% de las nuevas firmas, o antídotos, creados por TrendLabs, y el 53% de las detecciones totales realizadas en junio. Las puertas traseras y el spyware con troyanos, a menudo definidos como crimeware, o malware para el robo de datos, se sitúan en segundo y tercer lugar, respectivamente. La mayoría de los troyanos se dirigen a la creación del malware para el robo de datos.
India y Brasil se han distinguido en este período por poseer la mayoría de ordenadores robot, herramientas elegidas por los cibercriminales para crear botnets para la distribución de malware, perpetrar atraques y enviar spam. Los “pastores de botnets”, es decir, los cibercriminales que están detrás de los botnets, ganan millones de dólares de dinero robado de los equipos de usuarios inocentes.

Primera mitad de 2010: tendencias de la industria
Cuando se trata de infecciones de malware en el sector industrial, el de la educación se alzó con el liderazgo durante los primeros seis meses de 2010 –casi el 50% de todas las infecciones por malware tuvieron lugar dentro de colegios y universidades, donde las TI y los empleados de seguridad se enfrentan al reto de contar con una infraestructura diversa, compleja y distribuida que soporte a un número indefinido de estudiantes que es probable que no sigan ninguna medida de seguridad. Al ámbito de la educación le sigue el de la Administración Pública y el sector de las tecnologías, que acumulan el 10% de todas las infecciones por malware.

Primera mitad de 2010: “malos actores”
Según el informe, ZeuS y KOOBFACE tuvieron el mayor impacto durante el primer semestre del año. ZeuS, elaborado por una red de crimen organizado de Europa del Este, es principalmente un kit de crimeware diseñado para robar credenciales de registro de los usuarios de banca online y otros datos personales. Las pequeñas empresas y sus bancos están siendo el blanco preferido por estos ladrones. Trend Micro ha detectado a diario cientos de nuevas variantes de ZeuS, y esto no parece que vaya a cambiar en un futuro cercano.
El botnet KOOBFACE logró la mala fama de la mayor amenaza de las redes sociales hasta la fecha. En la primera mitad del año, los expertos de TrendLabs señalaron que la banda de KOOBFACE estaba actualizando continuamente su botnet: la arquitectura cambiante del botnet, introduce nuevos componentes binarios y la combinación de funciones de botnets con otras binarias. Estos también iniciaron la encriptación de sus comandos y el control de comunicaciones (C&C) para evitar la monitorización y su desmantelación por los investigadores de seguridad y las autoridades.

Ciber-ataques relámpago: vulnerabilidades “drive-by”
Las vulnerabilidades en aplicaciones siempre han formado parte del panorama de la seguridad. En la primera mitad de 2010, el equipo de investigación de amenazas de Trend Micro informó de que un total de 2.552 Vulnerabilidades y Exposiciones Comunes habían sido publicadas, muchas más de las que son comunicadas de forma privada a los fabricantes y, por tanto, no publicadas externamente.

Para los usuarios finales, las vulnerabilidad han facilitado las amenazas “drive-by”, donde para ser infectados por malware basta con visitar una página web comprometida. Los servidores también están siendo objeto de ataque, a través del aprovechamiento y explotación de vulnerabilidades que no han sido parcheadas por parte de los cibercriminales. Si bien esto puede ser más difícil que comprometer un sistema de usuario único, el potencial de recompensa para los delincuentes es mucho mayor.

Protección basada en cloud de Trend Micro
Trend Micro™ Smart Protection Network™ proporciona la infraestructura que hay detrás de muchos de los productos de Trend Micro y suministra protección avanzada desde la nube bloqueando las amenazas en tiempo real antes de que alcancen los sistemas. Actualmente, Smart Protection Network analiza 45.000 millones de peticiones al día, bloquea 5.000 millones de amenazas y procesa 2,5 terabytes de datos a diario. Una media de 80 millones de usuarios están conectados a la red cada día.
Smart Protection Network utiliza “tecnología de correlación in-the-cloud” pendiente de patente con análisis de comportamiento para correlacionar combinaciones de actividades de amenazas web, email y archivos con el fin de determinar si éstos son maliciosos. Gracias a la correlación de diferentes componentes de amenazas y la continua actualización de su base de datos de amenazas, Trend Micro cuenta con la ventaja competitiva de ser capaz de responder en tiempo real, proporcionando protección inmediata y automática del email, los archivos y frente a las amenazas web.

Si desea consultar el informe de amenazas completo, así como un amplio número de consejos sobre cómo las empresas y usuarios pueden protegerse, puede visitar la página de TrendWatch: http://us.trendmicro.com/us/trendwatch/research-and-analysis/threat-reports/index.html

Twitter afectado por vulnerabilidad

Por Iberia Marketing Team

Navegando en la red social Twitter el día de hoy notamos que las palabras claves más usadas (trending topics) son bastante inusuales, como por ejemplo:

  • XSS
  • OnMouseOver
  • MouseOver
  • Exploit
  • Security Flaw

Al hacer una búsqueda cualquiera de las palabras mencionadas anteriormente nos damos cuenta de lo que está ocurriendo. Básicamente lo que sucede es que hay un fallo en Twitter que permite insertar código JavaScript en un Tweet. ¿Y cómo funciona?

Cuando se inserta una URL en un Tweet, Twitter lo reconoce automáticamente. Entonces cuando ese Tweet aparece en el navegador lo que sucede es que la URL se ve “envuelta” por lo siguiente:

<a href=”SU_ENLACE” class=”tweet-url” rel=”nofollow” target=”_blank”>SU_ENLACE</a>

El problema está en que Twitter no limpia la URL en cuestión. En este caso, no revisa si hay comillas, lo que permite a un usuario hacer un post como:

http://www.a.bc/@”onmouseover=alert(‘Sanitize user input!’)//

Twitter cree que esta es una URL correcta y la convierte en un enlace, lo cual es un problema ya que el signo de exclamación en la URL provoca que el comando “onmouseover” sea añadido al tag del enclace () como un atributo, lo cual permite que se aproveche tal vulnerabilidad para lanzar una ataque.

<a href=”http://www.a.bc/@”onmouseover=alert(‘Sanitize user input!)//” class=”tweet-url web” rel=”nofollow” target=”_blank”>http://www.a.bc/@”onmouseover=alert(‘Sanitize user input!)//</a>

El atributo “onmouseover” define un script que se ejecutará cuando el usuario mueva el cursor del ratón sobre el enlace, normalmente se tratará de un código JavaScript. Usando este bug los usuarios de Twitter pueden insertar de manera sencilla código JavaScript en sus Tweets (de momento llevamos contabilizados más de 50.000 usuarios que lo han hecho en los últimos 5 minutos). En el ejemplo que os mostramos anteriormente, vemos como resultado de esta inserción como una ventana aparecerá con la frase “Sanitize your Input!” cuando se pase el cursor sobre el enlace.

Es de esperar que otros usuarios conocedores de JavaScript hagan un uso menos benevolente de esto. Esta URL podría incluso provocar que el usuario que navegue sobre este enlace peligroso genere un Tweet tan solo pasando el cursor sobre el mismo.

http://a.bc/@”onmouseover=”document.getElementById(‘status’).value=’RT YourTwitterId’;$(‘.status-update-form’).submit();”class=”modal-overlay”/

Todo esto no parece muy dañino aunque debemos esperar códigos más peligrosos en un futuro cercano.

Mientras tanto se recomiendo a los usuarios de Twitter hacer lo siguiente:

  • Utilizar aplicaciones de terceros para acceder a su cuenta de Twitter al menos hasta que el problema se resuelva.
  • Si desea utilizar su navegador instale la extension NoScript para Firefox para evitar que corra cualquier código JavaScript.

ACTUALIZACIÓN: Twitter informa que han solucionado la vulnerabilidad en los últimos minutos.

Más información en: http://blog.trendmicro.com/twitter-mouseover-flaw-allows-script-injection/#ixzz10AyjJEfq