El incremento de ataques pone de manifiesto la vulnerabilidad informática, cada día más latente, y la necesidad de concienciación y formación en seguridad on-line de los usuarios tanto en el ámbito personal como en el empresarial.
¿Quién gestiona la información en su empresa? Los usuarios son los encargados de gestionar, procesar y modificar la información. Por lo tanto, tienen que hacer buen uso de los sistemas de informática de la empresa. Son el engranaje principal, pero… ¿Son conocedores de las buenas prácticas de uso de los sistemas?
Puede haber riesgos por desconocimiento y desinformación que sitúen a nuestra empresa en una situación crítica, pero podemos formar a nuestros usuarios en materia de ciberseguridad.
Infordisa pone los medios a través de un programa de formación: KIT de Concienciación, que incorpora múltiples recursos gráficos, elementos interactivos y una programación detallada.

Correo falso

El correo electrónico es sin duda la herramienta de comunicación profesional standard y mas común entre las empresas. Diariamente recibimos infinidad de información mediante este canal y sin duda la mayoria de usuarios no aplicamos las medidas de seguridad mínimas antes de abrir un email de procedencia desconocida. Por este motivo, es un canal muy utilizado por los ciberdelincuentes para

Uno de los casos más habituales es lo que conocemos como email spoofing o suplantación de identidad por correo electrónico. Mediante esta técnica maliciosa se envían correos con remitente falso para enviar spam, difundir malware o llevar a cabo ataques de phishing y suplantar la identidad de directivos de la empresa, proveedores, clientes, etc.

Los métodos cada vez más depurados de los ciberdelincuentes hacen que sea complicado distinguir un correo legítimo de otro que no lo es. Pero, no te preocupes, vamos a darte ventaja explicándote las pautas necesarias para que identifiques cuándo estás recibiendo este tipo de mensajes.

Interpretando las cabeceras de los correos serás capaz de identificar, entre otros, los siguientes datos:

  • La información relativa al emisor y al receptor,  
  • los servidores de correo intermedios por los que pasa el correo desde el origen hasta su destino,
  • el cliente de correo que se utilizó para enviarlo, y
  • la fecha de envío y recepción del email.

Toda esta información está en las cabeceras o encabezados de los correos. Una parte que a simple vista queda oculta, la podemos visualizar con un par de clics.

¿Cómo accedo a las cabeceras de los correos?

Clientes de correo para Windows

Microsoft Outlook 2016, 2013 y 2010

  1. Haz doble clic en el correo sospechoso para abrirlo fuera del panel de lectura.
  2. Seleccionamos la opción Archivo > Propiedades.
Seleccionamos Archivo
Archivo-propiedades
  1. La información del encabezado se muestra en una nueva ventana, en el apartado «Encabezados de Internet», como la que se muestra en la imagen.
Muestra cabeceras

Mozilla Thunderbird

  1. Abre el correo que quieras analizar.
  2. Haz clic en los botones «Más» > «Ver código fuente», situado en la parte superior derecha de la ventana.
Ver código fuente
  1. Las cabeceras del correo se mostrarán en una nueva ventana.
Mozilla cabeceras correo

Clientes de correo para Mac

Mail para Mac

  1. Accede al correo del que quieres ver las cabeceras.
  2. Ve a «Visualización» > «Mensaje» > «Todas las cabeceras».
Cabeceras Mail
  1. A continuación, se mostrará la cabecera completa del correo.

Clientes de correo web

Gmail

  1. Abre el correo cuyas cabeceras quieras obtener.
  2. A continuación, haz clic en la línea de puntos situada a la derecha del icono de «Responder».
  3. Haz clic en «Mostrar original».
Correo Gmail mostrar original
  1. La cabecera completa del email se mostrará en una pestaña nueva.

Outlook

  1. Abre el correo que quieres analizar.
  2. A continuación, haz clic en la línea de puntos situada a la derecha de la opción de «Reenviar»
  3. Haz clic en «Ver origen del mensaje».
Hotmail ver origen del mensaje
  1. Las cabeceras se mostrarán en una ventana nueva.

Yahoo

  1. Selecciona el correo cuyas cabeceras quieras visualizar.
  2. A continuación, haz clic en el icono de la línea de puntos > «Ver mensaje sin formato».
Correo Yahoo ver mensaje
  1. La cabecera completa del correo se mostrará en una nueva ventana.

¿Cómo se interpretan las cabeceras?

Ahora que sabemos cómo obtener las cabeceras, explicaremos su contenido para saber si estamos ante un correo fraudulento.

Para agilizar esta tarea podemos utilizar herramientas como MessageHeader, que nos facilita la identificación de cada campo de la cabecera, mostrando resultados como los que analizamos en las imágenes siguientes.

Ejemplo de correo legítimo:

Ejemplo de correo legítimo

En primer lugar, observamos que el correo fue entregado en 1 segundo («Delivered after 1 sec») lo que significa que tardó 1 segundo en llegar a su destinatario desde que se envió (en el último destacado pueden verse las direcciones de los servidores por las que pasa el correo hasta que es entregado). Como se verá en el ejemplo siguiente, un tiempo de entrega excesivo suele ser indicativo de correo fraudulento.

En el campo «From:» vemos que el dominio linkedin.com coincide con el emisor del mensaje que hemos recibido (no hay suplantación).

Los registros SPFDKIM y DMARC han sido verificados correctamente. Aunque es bastante intuitivo interpretar la verificación de estos registros a través de esta herramienta, puedes consultar más información sobre los registros SPF, DKIM y DMARC en Encabezados de mensajes de correo no deseado.

Ejemplo de correo ilegítimo:

Ejemplo de correo ilegítimo

El correo fue entregado pasadas 2 horas, es decir, tardó 2 horas en llegar desde que se envió (en el último destacado pueden verse las direcciones de los servidores por las que pasa el correo hasta que es entregado).

En el campo «From:» observamos que el dominio chukzem.xyz no coincide con el supuesto emisor del mensaje que en este caso dice ser una empresa de ventas online.

Los registros DKIM y DMARK no han pasado el control de verificación. Tanto el tiempo de entrega, como el remitente y los registros SPF, DKIM y DMARK nos están indicando que se trata de un claro ejemplo de email spoofing.

Ahora no tienes excusas, ya sabes cómo evitar caer en la trampa de los ciberdelincuentes. Se cuidadoso con tu correo electrónico y protege tu empresa.

Si quieres leer el artículo completo de Incibe, puedes hacerlo aquí.

Ojo

Los ciberataques son cada día más comunes, los ciberdelinquentes desarrollan nuevos métodos para atacar las víctimas. Por esto es imprescindible trabajar la concienciación de los usuarios para evitar caer en ataques como el phishing o el ransomware entre muchos otros.

¿Quieres estar al día de todas las amenazas y evitar el desastre? Suscríbete a la lista de concienciación Infordisa




¿A quien afecta?

A cualquier cliente de ING ya sea como empleado, autónomo o empresa que sea usuario de operaciones de banca electrónica.

¿En que consiste?

Utilizando la técnica phishing se realiza un envío de correos electrónicos fraudulentos que suplantan la identidad de ING. El objetivo es dirigir a la víctima a una página web con un dominio falso para robar sus credenciales de acceso e información bancaria y poder acceder a su cuenta libremente.

Prevención

Por defecto todos deberíamos estar siempre alerta al recibir correos con datos sensibles, pero en caso de alerta phishing, debemos aún mas atentos y extremar las precauciones ya sea a título personal o aviando a los empleados de la empresa para que estén alerta de los correos que reciban de origen sospechoso, especialmente si contienen archivos adjuntos o como en este caso, enlaces externos a páginas de inicio de sesión.

He sido víctima. ¿Que hago?

Si has sido víctima del phishing y has accedido al enlace e introducido los datos de acceso a la cuenta bancaria, debes modificar lo antes posible la contraseña de acceso a la banca online, así como contactar con la entidad bancaria para informarles de la situación. Además es recomendable modificar la contraseña de todos aquellos servicios en los que se utilice la misma contraseña. A parte, te aconsejamos que contactes con Infordisa para prevenir futuros ataques y conocer el KIT concienciación

Como pautas generales, para evitar ser víctima de fraudes de este tipo, se recomienda:

  • No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
  • En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
  • No contestar en ningún caso a estos correos.
  • Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus comprobar que está activo.
  • Asegúrate que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.

Además, para prevenir y reforzar estos consejos, es importante realizar acciones de concienciación en ciberseguridad entre los empleados.

Descubre el kit concienciacion

El phishing a ING paso a paso

  • La campaña de correos electrónicos fraudulentos que suplanta a ING tiene como asunto «Verificación de datos personales» aunque es posible que puedan utilizar otro tipo de asuntos. En la comunicación se informa al usuario que debe actualizar los datos personales asociados a su cuenta, para ello debe acceder al «Área de clientes» facilitando un enlace en el correo.
Pishing ing
  • Si se selecciona el enlace incluido en el correo, el usuario será redirigido a una página web que suplanta ser la legítima. En ella se solicita que el usuario introduzca su documento de identificación y fecha de nacimiento.
Página web que suplanta a la de ING con un formulario de donde solicita documento de identificación y fecha de nacimiento
  • A continuación indicará que introduzca su clave de seguridad, la contraseña con la que accede a la banca online de ING.
Formulario que solicita la clave de seguridad.
  • Después deberá introducir su número de teléfono móvil.
Formulario que solicita el número de teléfono.
  • E introducir la posición número 48 de su tarjeta de coordenadas.
Formulario que solicita introducir la posición 48 de la tarjeta de coordenadas.
  • Por último requiere que el usuario envíe una foto de su tarjeta de coordenadas para poder utilizar su cuenta.
Páqina donde los ciberdelincuentes solicitan una foto de la tarjeta de coordenadas para que la cuenta quede activada.
  • Una vez que se envía la foto el usuario será redirigido a la página web legítima de ING. Así, todos sus datos personales y bancarios ya estarán en posesión de los ciberdelincuentes.
Página web legítima del banco ING.


Descubre las amenazas de seguridad y anticipate al desastre

LAS ENTRADAS Y LA INFORMACIÓN SOBRE CONCIENCIACIÓN, VULNERABILIDADES INFORMÁTICAS Y CIBERATAQUES PROVIENEN DEL INSTITUTO NACIONAL DE CIBERSEGURIDAD, INCIBE.

Matrix blog esp

Conozcamos Matrix, la nueva amenaza en formato ransomware dirigido la cual exige 2.500€ de rescate para recuperar los datos.

La ciberdelincuencia está evolucionando. Se ha sustituido el bot que producía los devastadores ataques masivos de ransomware como WannaCry o NotPetya por los ciberataques personalizados que hace seguimiento a las víctimas. Tras el aumento de este número de ataques en 2018, que alcanzaron popularidad gracias al éxito económico de SamSamBitPaymer y Dharma, se ha detectado un nuevo ransomware dirigido denominado Matrix que exige rescates por valor de 2.500 euros.

Para entender de qué manera están operando los ciberdelincuentes, SophosLab, el laboratorio donde trabajan los expertos de Sophos ha realizado una deconstrucción de Matrix, es decir una ingeniería inversa del código en evolución y de las técnicas empleadas por los atacantes, así como de los métodos y notas de rescate utilizados para conseguir el dinero de las víctimas.

En la investigación en la que se analizaron 96 muestras en estado salvaje de este ransomwareque está activo desde 2016, se pudo detectar que los ciberdelincuentes detrás de Matrix van cambiando sus parámetros de ataques a medida que pasa el tiempo, añadiendo nuevos archivos y scripts para desplegar diferentes tareas y cargas útiles en la red.

Al igual que BitPaymerDharma y SamSam, Matrix obtiene el acceso a través de una contraseña RDP (Remote Desktop Protocol) débil, una herramienta de acceso remoto integrada para ordenadores con Windows. Sin embargo, a diferencia de estas otras familias de ransomware, Matrix solo se dirige a un único dispositivo en la red, en lugar de extenderse ampliamente a través de una organización.

Las notas de rescate de Matrix están incrustadas en el código del ataque, pero las víctimas no saben cuánto deben pagar hasta que se ponen en contacto con los atacantes. En un principio, los autores de Matrix utilizaban un servicio de mensajería instantánea anónima que se encontraba protegido criptográficamente, llamado bitmsg.me, pero ese servicio se interrumpió, por lo que los autores han vuelto a utilizar cuentas de correo electrónico normales.

Los actores de la amenaza detrás de Matrix exigen el rescate en criptomonedas, pero teniendo como equivalente el valor de dólar, lo que es inusual ya que en estos casos se suele usar solo criptodivisas. No está claro si la demanda de rescate es un intento deliberado de desviar la atención, o simplemente un intento de navegar por los tipos de cambio de criptomonedas que fluctúan de manera incontrolable. Por lo general, los ciberdelincuentes empiezan solicitando 2.500 dólares, pero a medida que las victimas disminuyen su interés por pagar el rescate, la cifra puede finalmente disminuir.

Se podría decir que Matrix es la navaja suiza del mundo del ransomware, con algunas novedades, como su amplia capacidad de analizar y encontrar potenciales víctimas una vez logra entrar en la red. Matrix está evolucionando y aparecen versiones más nuevas a medida que el atacante aprenden de cada ataque.

¿Qué medidas de seguridad implementar contra Matrix?

  • Restringir el acceso a aplicaciones de control remoto como Remote Desktop Protocol (RDP) y Virtual Network Computing (VNC).
  • Realizar análisis de vulnerabilidades y pruebas de penetración completas y regulares en toda la red.
  • Hacer una autenticación multifactorial para sistemas internos sensibles, incluso para empleados en la LAN o VPN.
  • Crear copias de seguridad offline and offsite, y desarrollar un plan de recuperación de información que cubra la restauración de datos y sistemas para organizaciones enteras, todo a la vez.

¿Quieres estar al día de todas las amenazas y evitar el desastre? Suscríbete a la lista de concienciación Infordisa



SI QUIERES LEER EL ARTÍCULO COMPLETO DE Cyber Security, PUEDES HACERLO A aquí.