Categoría: Cuidado

Cuidado con esta citación de la Policía que has recibido por e-mail: es falsa y robará las claves que guardas en el PC

Cuidado con esta citación de la Policía que has recibido por e-mail: es falsa y robará las claves que guardas en el PC

Una de las claves de las estafas basadas en phishing es intentar suplantar a una persona cercana o a una institución que transmita autoridad/fiabilidad. Como, por ejemplo, la Policía Nacional. Y es exactamente esa la estrategia por la que opta la última campaña contra la que nos advierte el INCIBE.

Así, simulando ser la Policía Nacional, los ciberdelincuentes están distribuyendo malware a través de correos electrónicos fraudulentos que contienen supuestas notificaciones oficiales, con menciones poco claras a un informe policial y a una citación para asistir como testigo a una audiencia.

Imagen

Aspecto del email fraudulento

«Se han detectado correos con asuntos como: “INFORME POLICIAL EMITIDO” y direcciones de origen con similar estructura de dominio, donde XXXX son números aleatorios:

“POLICIA NACIONAL”
“POLICIA NACIONAL”
“POLICIA NACIONAL” «

El engaño reside en un enlace incluido en el mensaje, que promete acceso al documento de la citación pero, en realidad, descarga malware en el dispositivo del usuario: este esquema busca engañar a los usuarios para que ejecuten dicho archivo malicioso (un ejecutable con extensión .msi).

El malware difundido por esta campaña ha sido identificado como Mekotio, un troyano especialmente dirigido a países de habla hispana cuya misión consiste en apropiarse de bitcoins o robar credenciales de acceso a webs, aunque también puede inutilizar dispositivos borrando archivos del sistema.

Imagen2 1

Resultado de evaluar con Virustotal el archivo malicioso

Cómo reaccionar

Resulta esencial estar alerta ante correos que presentan determinadas características sospechosas, como la falta de logotipos oficiales o el uso de dominios no relacionados con la Policía Nacional.

Cómo denunciar fraudes en Internet y ciberestafas

En Genbeta

Cómo denunciar fraudes en Internet y ciberestafas

En el caso de que hayas recibido un e-mail como los descritos más arriba, puedes hacer tres cosas:

  • Si has recibido uno de estos correos, pero no has interactuado con el enlace ni descargado el archivo, se recomienda clasificar el mensaje como spam y eliminarlo.
  • En caso de haber descargado el archivo sin ejecutarlo, es crucial eliminarlo de inmediato de la carpeta de descargas y de la papelera de reciclaje.
  • Para aquellos que hayan ejecutado el archivo, se aconseja desconectar el dispositivo afectado de la red, realizar un escaneo completo con un antivirus actualizado y considerar restablecer el dispositivo a su configuración de fábrica si el malware persiste. Capturar pantallas del correo fraudulento y los archivos adjuntos puede ser útil como evidencia si decides presentar una denuncia ante las autoridades.

Contar con un antivirus actualizado y usar un gestor de contraseñas siempre añade una capa extra de seguridad ante troyanos como Mekotio.

Y recuerda: ante cualquier duda sobre la legitimidad de una comunicación supuestamente oficial, se aconseja verificar contactando directamente con la entidad correspondiente. O llamar al 017, el teléfono de dudas de ciberseguridad del INCIBE.

Imagen | Marcos Merino mediante IA

En Genbeta | Si caes en una estafa de phishing, esto es lo que dice la ley sobre si puedes o no reclamar el dinero robado al banco


La noticia

Cuidado con esta citación de la Policía que has recibido por e-mail: es falsa y robará las claves que guardas en el PC

fue publicada originalmente en

Genbeta

por
Marcos Merino

.

Cuidado con esta convincente ciberestafa que se hace pasar por el portal inmobiliario Idealista para robarte los datos

Cuidado con esta convincente ciberestafa que se hace pasar por el portal inmobiliario Idealista para robarte los datos

Las ciberestafas forman parte ya de nuestra experiencia cotidiana en Internet, y raro es ya el día en que no nos llama la atención en redes el relato de alguna clase de engaño de este tipo. Es interesante, al menos, ver cómo van cambiando los anzuelos y cómo se ‘curran’ los estafadores la verosimilitud de sus estrategias.

En el caso que os traemos hoy, protagonizado por Miguel A. Díez y relatado en X, es un ejemplo de que los portales de alquiler son una forma como otra cualquiera de atraer posibles víctimas. Todo empezó cuando, tras publicar un piso en el conocido portal inmobiliario Idealista, Miguel recibió un SMS de una supuesta interesada en alquilarlo:

Email

El timo ideal(ista)

Esta usuaria le proporcionó a Miguel un correo electrónico para continuar por esa vía la conversación. No había nada fuera de lo normal en la misma… hasta que un enlace sospechoso apareció en la conversación:

«¿Sospechoso, por qué?», estaréis pensando. Ciertamente, no hay nada de raro en esa URL, pues muestra la típica estructura de los enlaces de esa plataforma. Cedamos la palabra, sin embargo, a Miguel:

«Hago click y me lleva, en lugar de a una página con un inmueble, a ésta otra para que me identifique».

Login

Quise vender mi casa en Idealista y acabé recibiendo una oferta de un ucraniano que me pedía ayuda: así funciona esta estafa

En Genbeta

Quise vender mi casa en Idealista y acabé recibiendo una oferta de un ucraniano que me pedía ayuda: así funciona esta estafa

«Me ha resultado extraño [entendemos que él ya tenía iniciada la sesión, por lo que no debería haberle pedido que volviera a introducir las credenciales], así que he vuelto al email para comprobar si había pasado algo raro»

… y efectivamente, el enlace real al que dirigía el texto clicable no coincidía con la URL que mostraba, sino que era un link al redireccionador Tinyurl, que a su vez nos redirige a:

Url

Esta página falsa al que se redirige al usuario está diseñada para capturar el nombre de usuario y la contraseña del incauto que cayera en la trampa. Concretamente, una trampa de phishing diseñada para suplantar a una empresa fiable (en este caso Idealista) y convencer a la víctima de que ceda su información personal (en este caso, nombre de usuario y contraseña).

La falsa página, alojada en un dominio completamente diferente del oficial, conducía a una web fake

No es el único caso similar reportado por los usuarios. De hecho, otro ha respondido al hilo de Miguel con una captura de pantalla en el que se muestra un mensaje (enviado por el chat interno de Idealista, pero recibido por e-mail) en el que alguien intenta convencer a la víctima de clicar en un enlace falso al portal, en este caso, haciéndose pasar por el equipo de soporte del mismo.

Sospechoso

Si no sabes cómo está estructurada una URL, podría ser fácil leer ese mensaje y no ver nada raro. Sin embargo, en esa imagen el dominio no es ‘idealista.com’: ‘idealista’ es sólo el subdominio de ‘com-87489852.info’, lo que ya deja claro que el mensaje no es trigo limpio.

Imagen principal | Marcos Merino mediante IA

Imágenes | @ferrenet en X

En Genbeta | Saber qué partes componen una dirección web te evitará caer en este nuevo timo


La noticia

Cuidado con esta convincente ciberestafa que se hace pasar por el portal inmobiliario Idealista para robarte los datos

fue publicada originalmente en

Genbeta

por
Marcos Merino

.

Cuidado si recibes un email desde la Agencia Tributaria o la FNMT: aunque el remitente parezca oficial, puede infectar tu PC

Cuidado si recibes un email desde la Agencia Tributaria o la FNMT: aunque el remitente parezca oficial, puede infectar tu PC

Según ha revelado la empresa de ciberseguridad ESET, se ha detectado durante los últimos días la difusión de dos campañas de e-mail a empresas españolas —unos, haciéndose pasar por la Agencia Tributaria, otros por la FNMT (Fábrica Nacional de Moneda y Timbre)— que se ajustan, sin embargo, a pautas muy similares.

Ambos correos recurren a asuntos que llaman poderosamente la atención (avisos de notificación relativa al pago de impuestos o a la supuesta caducidad de un certificado) para favorecer su apertura y lectura. Igualmente, ambos han sido enviados en horarios similares y muestran poca diferencia en las fechas de modificación de los archivos maliciosos adjuntos.

Fnmt

Similitudes entre ambos e-mails

Además, los ciberdelincuentes han sido capaces de suplantar las direcciones de email legítimas (ya hemos abordado en el pasado esta táctica) para que los e-mails recibidos por las víctimas parezcan estar relacionados con el organismo oficial correspondiente. Así, el usuario, convencido de su autenticidad, estará menos predispuesto a desconfiar de las peticiones del e-mail.

Otro detalle relevante es que ambos e-mails (el de la Agencia Tributaria y el de la FNMT) comparten infraestructura para el envío de las credenciales robadas, utilizando servidores de empresas españolas que previamente han sido comprometidas.

No te fíes de ese e-mail ni aunque conozcas al remitente: puede falsificarse… pero con este truco puedes salir de dudas

En Genbeta

No te fíes de ese e-mail ni aunque conozcas al remitente: puede falsificarse… pero con este truco puedes salir de dudas

Un análisis detenido de ambos e-mails podría revelar sutiles errores en la redacción y uso del lenguaje, lo que debería servir de indicativo de la naturaleza engañosa de estos correos. Pese a ello, si el receptor no presta suficiente atención, podría considerar estos mensajes como legítimos.

Agent Tesla ataca de nuevo

Una de las tácticas adoptadas por estos ciberdelincuentes es adjuntar a los e-mails archivos comprimidos en formato RAR, que ocultan en su interior un ejecutable malicioso. A pesar de ser una técnica algo arcaica, aún logra engañar a usuarios que, inadvertidamente, podrían descargar y ejecutar dicho archivo en sus sistemas.

Exe

Estos archivos maliciosos contienen el conocido Agent Tesla —que lleva años siendo uno de los malwares más detectados en España— y, una vez activados, buscan robar información vital del equipo. En concreto, van tras los datos de inicio de sesión almacenados en aplicaciones habituales como navegadores web, clientes de correo, clientes VPN, etc.

La naturaleza coordinada de estos ataques sugiere que no estamos ante dos campañas aisladas, sino ante una operación mayor y más organizada, probablemente gestionada por un único grupo de ciberdelincuentes.

Vía | ESET

Imagen | Marcos Merino mediante IA

En Genbeta | Así funciona la estafa que muestra un falso SMS del BBVA y otros en el mismo hilo que los verdaderos (y es más fácil de lo que parece)


La noticia

Cuidado si recibes un email desde la Agencia Tributaria o la FNMT: aunque el remitente parezca oficial, puede infectar tu PC

fue publicada originalmente en

Genbeta

por
Marcos Merino

.

Cuidado con ese documento de Office adjunto: una vulnerabilidad de hace seis años lo convierte en arma para una estafa

Cuidado con ese documento de Office adjunto: una vulnerabilidad de hace seis años lo convierte en arma para una estafa

Mantener nuestro software lo más actualizado posible suele ser una buena idea, que evitar exponer nuestro sistema a malware capaz de aprovechar sus vulnerabilidades. Pero, en muchos casos, la desidia de los administradores / usuarios provoca que la instalación de las actualizaciones y parches de seguridad se demore durante meses. O incluso años.

Pero, por sonada que sea la vulnerabilidad, muchas veces nos encontramos con que los responsables de las actualizaciones no se preocupan: recuerdo el caso reciente de Log4J, en el que tras detectarse la peligrosa vulnerabilidad Log4Shell (y ser parcheada gracias a programadores que se quedaron muchas horas sin dormir), un año después entre 3 y 4 de cada 10 instalaciones sigue sin estar parcheada.

Y, sin embargo, ahora nos llegan noticias de que una nueva campaña de envío de documentos fraudulentos destinada a la difusión de malware se aprovecha de una vulnerabilidad de MS Office detectada a finales de 2017, hace casi 6 años. Como explican desde la firma de ciberseguridad ESET,

«tiempo más que suficiente para que todos los afectados hayan podido aplicar el parche correspondiente o cambiar a una versión de Office que no sea vulnerable».

Macros de Excel: qué son, cómo funcionan y cómo crearlos

En Xataka

Macros de Excel: qué son, cómo funcionan y cómo crearlos

Así son los e-mails

Pero los cibercriminales saben que los equipos siguen siendo vulnerables, y se aprovechan de ello, enviando toda clase de documentos ofimáticos como ficheros adjuntos a e-mail… especialmente modificados para ejecutar malware que se aproveche de la falta de actualización de Office.

Así, por ejemplo, nos encontramos con e-mails que nos envían archivos de hojas de cálculo pensados para que, al abrirlos con MS Excel, el malware infecte nuestro equipo. El texto del e-mail (por ahora sólo detectado en inglés) nos anima a «comprobar las facturas adjuntas» tras haber «actualizado su estado de pagos».

Theword1

(Imagen: ESET)

Más interesante aún es la supuesta notificación que, en nombre de iCloud, nos da a conocer amablemente la noticia que hemos excedido la capacidad máxima de nuestra cuenta en la citada plataforma cloud de Apple.

En este caso, el documento adjunto es un fichero de texto para MS Word, que nos llega bajo el nombre de ‘order’ (encargo o pedido) y un número. Una vez que lo abrimos nos encontramos ante un confuso texto sobre marketing que nada tiene que ver con el tema del e-mail.

The Real Word

(Imagen: ESET)

No importa que lo cerremos en ese preciso instante, nuestro equipo ya está infectado. Pero, ¿cómo? Si estamos tratando con documentos, y no con archivos ejecutables, ¿cómo se infecta nuestro sistema?

El problema de las macros

Con las macros, por supuesto: fragmentos de código insertados en documentos de Office que permiten automatizar (ejecutar) tareas. Su utilidad para difundir malware sigue siendo tal que Microsoft tuvo que tomar medidas recientemente, forzando su bloqueo en las nuevas versiones de Office para todo fichero descargado de Internet.

Volviendo al caso concreto de la campaña de e-mails fraudulentos que comentábamos, ESET afirma lo siguiente:

«[Vulnerabilidades como la CVE-2017-11882 ] son una llave maestra que permite la ejecución de todo tipo de malware: si un atacante consigue explotar este agujero de seguridad en un sistema vulnerable, podrá descargar y ejecutar malware. [En estos e-mails] vemos como los delincuentes hacen peticiones GET a un servidor controlado por ellos donde alojan una muestra de malware».

En este caso hemos detectado el uso del RAT [troyano de acceso remoto] conocido como Agent Tesla […] lo que indicaría que los delincuentes andan detrás de las credenciales almacenadas en aplicaciones de uso cotidiano en empresas como navegadores de Internet, clientes de correo, clientes FTP o VPN, pero también otras de uso doméstico como aplicaciones de mensajería, sistemas de distribución de videojuegos o carteras de criptomonedas.

Excel bloqueó las macros para evitar la entrada de malware, pero la alternativa que nos ofrece también es cada vez menos segura

En Genbeta

Excel bloqueó las macros para evitar la entrada de malware, pero la alternativa que nos ofrece también es cada vez menos segura

Recomendaciones

  • Mantén actualizada tu aplicación anti-malware.
  • Mantén actualizado, en general, todo el software de tu equipo.
  • Intenta usar la previsualización de documentos en tu cliente de e-mail (si cuenta con esa función) antes de proceder a descargarlos a tu equipo y abrirlos. Así podrás descartarlos como ‘spam’ sin dar ocasión a que se active la macro.
  • Usa gestores de contraseñas para obstaculizar el robo de credenciales en tu equipo.

Fuente | ESET

En Genbeta | Hackers que engañan a hackers: programas maliciosos en foros para robar a ciberdelincuentes inexpertos


La noticia

Cuidado con ese documento de Office adjunto: una vulnerabilidad de hace seis años lo convierte en arma para una estafa

fue publicada originalmente en

Genbeta

por
Marcos Merino

.

Cuidado con la ‘estafa triangular’: cuando tú no eres el estafado… sino el que asume las culpas del estafador

Cuidado con la 'estafa triangular': cuando tú no eres el estafado… sino el que asume las culpas del estafador

Son numerosos los casos de estafas en compraventas online, en las que alguien paga por un producto y, sencillamente, nunca llega a recibirlo (ni recupera el dinero, claro está). Pero los estafadores nunca dejan de innovar y de buscar el ‘más difícil todavía’.

Así que inventaron la ‘estafa triangular’: una estafa en la que hay un estafador, un estafado (que paga sin recibir nada a cambio) y alguien que sí recibe el producto (o el pago por un producto) que solicitó… pero también se queda con el ‘marrón’ legal de tener que dar explicaciones por un delito cometido por otra persona (el estafador).

Cuando tú eres el que compra

La Policía Nacional ha difundido recientemente en redes un vídeo en el que aborda una de las variantes de esta modalidad de estafa:

«¿Utilizas plataformas de venta online para ofertar o hacerte con productos de segunda mano?, pues cuidado, porque los ciberdelincuentes también lo hacen Se aprovechan de tu confianza para venderte productos que han sido comprados de forma ilegal.»

Advierten de dos elementos que tienen en común los anuncios de vendedores que recurren a la estafa triangular:

  • Productos a muy bajo precio: Los delincuentes ofertan productos a un valor menor a los del mercado para llamar nuestra atención.
  • Contactan contigo para que realices el pago y facilites tus datos personales para enviártelo.

En esta modalidad, tú eres el tercer eje del triángulo: el producto te llega sin problemas, pero en realidad la compra se ha realizado usando datos fraudulentos de una tarjeta de crédito por el importe real de dicho producto.

Así pueden recurrir al 'carding' y usar los datos de tu tarjeta para pagarse las compras online: a esto se dedican los bineros

En Genbeta

Así pueden recurrir al ‘carding’ y usar los datos de tu tarjeta para pagarse las compras online: a esto se dedican los bineros

El problema es que la compra se ha realizado a tu nombre (tú mismo le diste al estafador tus datos, ¿recuerdas?), por lo que cuando el dueño real de la cuenta denuncia la compra fraudulenta, será a ti a quien pidan cuentas (y que repongas el dinero gastado).

Mientras, el estafador (que no ha gastado nada de su bolsillo y sí ha recibido tu pago) puede seguir usando tus datos para futuros fraudes, que además de operaciones como ésta pueden incluir la apertura de cuentas bancarias o la contratación de líneas telefónicas.

Los consejos de la Policía Nacional para evitar verte en esa situación son claros:

  • Desconfía de chollos.
  • Revisa los comentarios sobre el vendedor.
  • Comprueba que la foto del artículo ofertado no esté, en realidad, sacada de alguna web.
  • Nunca realices pagos fuera de los cauces oficiales de la plataforma.
  • No envíes datos personales ni fotos de tu DNI, porque serán usados por los ciberdelincuentes en futuras estafas.

Cuando tú eres el que vende

Pero hay otras variantes de estafa que también se consideran ‘estafa triangular’. En ellas, tú eres el que oferta un producto, y el estafador usa el dinero de un tercero para pagarte la compra (y recibir tu producto)… hasta que alguien (ese tercero, el estafado) contacta contigo diciendo que ya te ingresó el dinero solicitado, pero que no le has enviado tu producto: un producto que, en realidad, no tenía nada que ver con lo que realmente ofertas (y cuya compra negoció realmente con el estafador, no contigo).

En algunos casos, lo que hacen es indicar al estafado que pague más de lo que el estafador te debe a ti… para que tú —además— le devuelvas la diferencia, supuestamente ingresada por error.

Podemos encontrar varios ejemplos de esta variante en la red, tanto en el ámbito de las operaciones de criptomonedas como en el del comercio informal a través de mensajería instantánea.

En Genbeta | Qué es el carding y cómo puedes protegerte frente a esta modalidad de estafa cada vez más frecuente


La noticia

Cuidado con la ‘estafa triangular’: cuando tú no eres el estafado… sino el que asume las culpas del estafador

fue publicada originalmente en

Genbeta

por
Marcos Merino

.