Seguretat IT

El correu electrònic és sens dubte l’eina de comunicació professional standard i més habitual entre les empreses. Diàriament rebem infinitat d’informació mitjançant aquest canal i sens dubte la majoria d’usuaris no apliquem les mesures de seguretat mínimes abans d’obrir un email de procedència desconeguda. Per aquest motiu, és un canal molt utilitzat pels ciber delinqüents per a atacar els usuaris informàtics.

Un dels casos més habituals és el que coneixem com a email spoofing o suplantació d’identitat per correu electrònic. Mitjançant aquesta tècnica maliciosa s’envien correus amb remitent fals per a enviar spam, difondre malware o dur a terme atacs de phishing i suplantar la identitat de directius de l’empresa, proveïdors, clients, etc.


Els mètodes cada vegada més depurats dels ciberdelinqüents fan que sigui complicat distingir un correu legítim d’un altre que no ho és. Però, no et preocupis, et donarem avantatge explicant-te les pautes necessàries perquè identifiquis quan estàs rebent aquest tipus de missatges.

Interpretant les capçaleres dels correus seràs capaç d’identificar, entre altres, les següents dades:

  • La informació relativa a l’emissor i al receptor,
  • els servidors de correu intermedis pels quals passa el correu des de l’origen fins a la seva destinació,
  • el client de correu que es va utilitzar per a enviar-lo, i
  • la data d’enviament i recepció de l’email.

Tota aquesta informació està en les capçaleres o encapçalats dels correus. Una part que a simple vista queda oculta, la podem visualitzar amb un parell de clics.

Com accedeixo a les capçaleres dels correus?

Clients de correu per a Windows

Microsoft Outlook 2016, 2013 i 2010

  1. Fes doble clic en el correu sospitós per a obrir-lo fora del panell de lectura.
  2. Seleccionem l’opció Arxiu > Propietats.
Seleccionamos Archivo
Archivo-propiedades
  1. La informació de l’encapçalat es mostra en una nova finestra, en l’apartat «Encapçalats d’Internet», com la que es mostra en la imatge.
Muestra cabeceras

Mozilla Thunderbird

  1. Obre el correu que vulguis analitzar.
  2. Fes clic en els botons «Més» > «Veure codi font», situat en la part superior dreta de la finestra.
Ver código fuente
  1. Les capçaleres del correu es mostraran en una nova finestra.
Mozilla cabeceras correo

Clients de correu per Mac

Mail per Mac

  1. Accedeix al correu del qual vols veure les capçaleres.
  2. Veu a «Visualització» > «Missatge» > «Totes les capçaleres».
Cabeceras Mail
  1. A continuació, es mostrarà la capçalera completa del correu.

Clients de correu web

Gmail

  1. Obre el correu les capçaleres del qual vulguis obtenir.
  2. A continuació, fes clic en la línia de punts situada a la dreta de la icona de «Respondre».
  3. Fes clic a «Mostrar original».
Correo Gmail mostrar original
  1. La capçalera completa de l’email es mostrarà en una pestanya nova.

Outlook

  1. Obre el correu que vols analitzar.
  2. A continuació, fes clic en la línia de punts situada a la dreta de l’opció de «Reexpedir»
  3. Feix clic a «Veure origen del missatge».
Hotmail ver origen del mensaje
  1. Les capçaleres es mostraran en una finestra nova.

Yahoo

  1. Selecciona el correu les capçaleres del qual vulguis visualitzar.
  2. A continuació, fes clic en la icona de la línia de punts > «Veure missatge sense format».
Correo Yahoo ver mensaje
  1. La capçalera completa del correu es mostrarà en una nova finestra.

Com s’interpreten les capçaleres?

Ara que sabem com obtenir les capçaleres, explicarem el seu contingut per a saber si estem davant un correu fraudulent.

Per a agilitzar aquesta tasca podem utilitzar eines com MessageHeader, que ens facilita la identificació de cada camp de la capçalera, mostrant resultats com els que analitzem en les imatges següents.

Exemple de correu legítim:

Ejemplo de correo legítimo

En primer lloc, observem que el correu va ser lliurat en 1 segon («Delivered after 1 sec») el que significa que va trigar 1 segon a arribar al seu destinatari des que es va enviar (en l’últim destacat poden veure’s les adreces dels servidors per les quals passa el correu fins que és lliurat). Com es veurà en l’exemple següent, un temps de lliurament excessiu sol ser indicatiu de correu fraudulent.

En el camp «From:» veiem que el domini linkedin.com coincideix amb l’emissor del missatge que hem rebut (no hi ha suplantació).

Els registres SPF, DKIM i DMARC han estat verificats correctament. Encara que és bastant intuïtiu interpretar la verificació d’aquests registres a través d’aquesta eina, pots consultar més informació sobre els registres SPF, DKIM i DMARC en Encapçalats de missatges de correu no desitjat.

Exemple de correu il·legítim:

Ejemplo de correo ilegítimo

El correu va ser lliurat passades 2 hores, és a dir, va trigar 2 hores a arribar des que es va enviar (en l’últim destacat poden veure’s les adreces dels servidors per les quals passa el correu fins que és lliurat).

En el camp «From:» observem que el domini chukzem.xyz no coincideix amb el suposat emissor del missatge que en aquest cas diu ser una empresa de vendes online.

Els registres DKIM i DMARK no han passat el control de verificació. Tant el temps de lliurament, com el remitent i els registres SPF, DKIM i DMARKens estan indicant que es tracta d’un clar exemple d’email spoofing.

Ara no tens excuses, ja saps com evitar caure en el parany dels ciberdelinqüents. Tingues compte amb el teu correu electrònic i protegeix la teva empresa.

Si vols llegir l’article complet d’Incibe, pots fer-ho a aqui.

Coneixem Matrix, la nova amenaça en format ransomware dirigit la qual exigeix 2.500€ de rescat per a recuperar les dades.

La ciberdelinqüència està evolucionant. S’ha substituït el bot que produïa els devastadors atacs massius de ransomware com WannaCry o NotPetya pels ciberatacs personalitzats que fa seguiment a les víctimes. Després de l’augment d’aquest nombre d’atacs en 2018, que van aconseguir popularitat gràcies a l’èxit econòmic de SamSamBitPaymer Dharma, es ha detectat un nou ransomware dirigit denominat Matrix que exigeix rescats per valor de 2.500 euros.

Per a entendre de quina manera estan operant els ciberdelincuentes, SophosLab, el laboratori on treballen els experts de Sophos ha realitzat una deconstrucción de Matrix, és a dir una enginyeria inversa del codi en evolució i de les tècniques emprades pels atacants, així com dels mètodes i notes de rescat utilitzats per a aconseguir els diners de les víctimes.

En la recerca en la qual es van analitzar 96 mostres en estat salvatge d’aquest ransomware que està actiu des de 2016, es va poder detectar que els ciberdelinquents darrere de Matrix van canviant els seus paràmetres d’atacs a mesura que passa el temps, afegint nous arxius i scripts per a desplegar diferents tasques i càrregues útils en la xarxa.

Igual que BitPaymerDharma i SamSam, Matrix obté l’accés a través d’una contrasenya RDP (Remote Desktop Protocol) feble, una eina d’accés remot integrada per a ordinadors amb Windows. No obstant això, a diferència d’aquestes altres famílies de ransomware, Matrix només es dirigeix a un únic dispositiu en la xarxa, en lloc d’estendre’s àmpliament a través d’una organització.

Les notes de rescat de Matrix estan incrustades en el codi de l’atac, però les víctimes no saben quant han de pagar fins que es posen en contacte amb els atacants. Al principi, els autors de Matrix utilitzaven un servei de missatgeria instantània anònima que es trobava protegit criptogràficament, anomenat bitmsg.me, però aquest servei és va interrompre, per la qual cosa els autors han tornat a utilitzar comptes de correu electrònic normals.


Els actors de l’amenaça darrere de Matrix exigeixen el rescat en criptomonedes, però tenint com a equivalent el valor de dòlar, la qual cosa és inusual ja que en aquests casos se sol usar només criptodivisas. No és clar si la demanda de rescat és un intent de desviar l’atenció, o simplement un intent de navegar pels tipus de canvi de criptomonedas que fluctuen de manera incontrolable. En general, els ciberdelincuents comencen sol·licitant 2.500 dòlars, però a mesura que les victimes disminueixen el seu interès per pagar el rescat, la xifra va reduint.

Es podria dir que Matrix és la navalla suïssa del món del ransomware, amb algunes novetats, com la seva àmplia capacitat d’analitzar i trobar potencials víctimes una vegada aconsegueix entrar en la xarxa. Matrix va evolucionant evolucionant i apareixen versions més noves a mesura corretgint o millorant sempre els atacs anteriors.

Quines mesures de seguretat implementar contra Matrix?

  • Restringir l’accés a aplicacions de control remot com Remote Desktop Protocol (RDP) i Virtual Network Computing (VNC).
  • Realitzar un anàlisi de vulnerabilitats i proves de penetració completes i regulars a tota la xarxa.
  • Fer una autenticació multifactorial per a sistemes interns sensibles, fins i tot per a empleats en la LAN o VPN.
  • Crear còpies de seguretat offline and offsite, i desenvolupar un pla de recuperació d’informació que cobreixi la restauració de dades i sistemes per a organitzacions senceres, tot alhora.

Vols estar al dia de totes les amenaces i evitar el desastre? Subscriu-te a la llista de conscienciació Infordisa



SI VOLS LLEGIR L’ARTICLE COMPLET DE CyberSecurity, POTS FER-HO A aquí.

A continuació us presentem un article molt interessant publicat per Computer Hoy, on descobrim la major amenaça de seguretat de cara al 2019..

Fileless malware l’amenaça més perillosa pel 2019

El Fileless malware o malware sense arxius està creixent a passos de gegant durant els últims anys, i es posiciona com una de les principals amenaces de seguretat per a la pròxima dècada.

Si bé existeixen multitud d’amenaces de seguretat per al nostre ordinador, potser el Fileless malware sigui el menys conegut atès que no ha sortit a l’excés en els mitjans de comunicació. Però en vista del seu creixement durant aquest any, cal començar a parlar d’això, i molt seriosament.

Com a resum, el Filess Malware és una amenaça per al nostre ordinador que no necesita suport d’un fitxer, emparant-se i executant-se a través de la memòria RAM del dispositiu. El principal problema, i a diferència d’altres malware, és que pràcticament no existeixen solucions d’antivirus que siguin capaces de netejar aquest tipus d’amenaces.

 2018 12 14 11 21 00
Si bé és un atac que s’amaga i executa a través de la memòria RAM del dispositiu, això podria significar que si s’apaga l’ordinador, se’ns netejaria. En part això és vàlid per a un ordinador d’usuari, però no per a un sistema d’empresa que es manté encès les 24 hores del dia i que el seu apagat podria ser nefast en certs casos.

És per aquest motiu que aquest tipus de malware sense arxius té una gran taxa d’èxit en sistemes d’empreses, que són els que gestionen la informació més valuosa. I és que tal com ha passat amb el ransomware, els hackers s’estan adonant que és molt més rendible atacar a les empreses que als propis usuaris.

Com s’assenyala en l’informe Under the Radar de Malwarebytes, aquest tipus d’atac ha representat un 35% del total d’atacs registrats en ordinadors durant 2018. El més cridaner, és que des de la primera presència d’aquest tipus d’atacs l’any 2014, no ha fet més que créixer, i s’estima que de cara al prèxim any podrien aconseguir representar el 50% dels atacs totals de malware.

A causa de la  dificultat que presenta la seva detecció, així com el seu comportament, i al seu posterior bloqueig i eliminació, fa que aquest tipus d’atacs necessitin al més aviat possible una solució d’antivirus per poder parar el seu creixement que es creu que serà imparable durant els propers anys.

2018 12 14 11 21 17

Si vols llegir l’article complet de Computer Hoy, pots fer-ho a aquí.

A continuació us presentem un article molt interessant publicat per El Economista, on parlem sobre les amenaces de seguretat i les seves conseqüències. El 70% de les empreses que perden les seves dades es veuen obligades a tancar Alberto Fernández, expert en Cloud i Seguretat per a empresa de Telefónica España parla en una entrevista […]

Has rebut una amenaça online en format  software RAT?

Les amenaces de vulnerabilitat informàtica posen en manifest la necessitat de protegir la base de dades i informació de la teva empresa.

Tant si ja has rebut una amenaça en format software RAT com si la reps pròximament, no perdis els nervis. Davant la possibilitat que l’amenaça sigui certa, posa’t en contacte amb els tècnics d’Infordisa i es posaran a la feina.

Com és el patró d’una amenaça software RAT?

  1. L’amenaça entra via correu. Freqüentment l’emissor i el receptor del correu són el mateix usuari.
  2. Anuncia l’objecte del xantatge: publicació de vídeos realitzats amb la camera frontal, liquidació de la base de dades de la teva empresa, publicació d’arxius confidencials…
  3. Demana una recompensa. Normalment en BTC en una billetera Bitcoina(exemple: 1DxiWwJrJFRrMiwzddx9Gfkjdk2MP5AcjA) a canvi de no dur a terme l’amenaça.
  4. Fixa les condicions del pagament.

Rat

Exemple d’atac Software RAT

Aquest atac posa de manifest la vulnerabilitat informàtica, cada dia mes latent i la necessitat de conscienciació i formació en seguretat on-line dels usuaris tant a nivell personal com a empresarial.

Quina és la pitjor amenaça d’un atac online?

En el cas que hem mostrat, l’amenaça consisteix a enviar un vídeo íntim de l’usuari als seus contactes, un fet desagradable, però molt millor que perdre la base de dades de l’empresa, o que aquesta sigui difosa o venuda a les empreses de la competència entre molts altres possibles riscos.

La perduda de la base de dades i informació d’aquesta, o la difusió pública, pot significar l’inici de la fi de qualsevol empresa. Com destaquen els estudis realitzats, el 60% de les empreses que perden la seva base de dades es veuen obligades a tancar.

 

I la teva empresa, sobreviuria un la perduda de la base de dades?

Núria Baró, Consultora IT en Infordisa, ens dóna el consell de seguretat IT amb les pinzellades generals del nou reglament RGPD en vigor des del passat 25 de maig i els tres principis:

  1. Relatius a la protecció de dades.
  2. Relatius al tractament de dades
  3. Relatives a l’enviament de les dades.

I presenta especial atenció en el principi relatiu a la protecció de dades, la vessant del RGPD en la qual Infordisa podrà assessorar-te amb la finalitat de complir la llei i prevenir futures multes o sancions.

 

Ja han arribat les primeres denúncies per incompliment RGPD

Facebook, Google, Instagram i WhatsApp, els gegants de la comunicació s’emporten les primeres denúncies per incompliment de la normativa RGPD. A les quatre empreses se les acusa de forçar als usuaris a donar el seu consentiment per a l’ús de les seves dades. Aquestes plataformes obliguen als qui vulguin seguir utilitzant-les a acceptar tots els nous termes de privadesa.

Un dels principis bàsics del RGDP és brindar als usuaris l’opció de decidir lliurement si acceptar o no l’ús de les seves dades. En els casos citats, els usuaris tansols tenen la possibilitat de donar al botó de “acceptar, doncs en cas de no fer-ho, deixarien d’accedir al servei de missatgeria o a la xarxa social.

Segons Max Schrem, capdavanter de Noyb “És totalment contrari a la llei”.

Què proposa Infordisa per aplicar el nou RGPD?

Coneix com aplicar rgpd

Boto contacta